Español | Deutsch | English

¿Cómo se lo digo al cliente?

junio 7, 2016 | De Virtual Forge GmbH

Ésta es una de las tareas cotidianas de un consultor preventa para software de seguridad de SAP

Se suele decir que los sistemas SAP son el corazón de las empresas. ¿Cómo se sentirá la persona responsable de proteger este "órgano" central de los ataques? Sin duda, Arndt Lingscheid lo sabe. Posee una larga trayectoria como experto en TI y actualmente es consultor de preventa en Virtual Forge, proveedor de productos de seguridad para sistemas SAP.


Aktentasche.jpg

Los expertos afirman que sin SAP nada funcionaría en la economía. ¿Está de acuerdo?

Arndt Lingscheid: Absolutamente. Con más de 300.000 clientes, SAP es el mayor proveedor de aplicaciones empresariales del mundo y está presente en el 74% de todas las transacciones financieras. Las empresas que utilizan software de SAP transportan más de mil millones de pasajeros en avión anualmente y producen 77.000 vehículos por día, por citar solo algunos datos.

Espionaje, sabotaje o fraudes: ¿por qué son tan atractivos los sistemas SAP para tales intentos de ataque?

Arndt Lingscheid: En las aplicaciones SAP se almacenan no sólo los datos comerciales de las empresas, como los referentes a contabilidad financiera y personal, sino también información sobre el producto relevante para la competencia, como formulaciones o planos de diseño industrial. Tener acceso a tales datos significa conocer todos los secretos de la empresa. Además de tener consecuencias económicas fatales, la reputación de la empresa se vería seriamente dañada.

¿Son especialmente altos los riesgos en cuestión de seguridad en el entorno de SAP?

Arndt Lingscheid: Sin duda, cada vez más. Con la aparición de nuevas necesidades en distintos ámbitos y mercados de clientes, los sistemas SAP en las empresas son cada vez más complejos y ofrecen innumerables posibilidades de configuración que pueden afectar a la seguridad. Asimismo, hay que tener en cuenta que el usuario complementa muchos sistemas SAP con sus propios desarrollos, con frecuencia no suficientemente verificados en cuanto a calidad y seguridad, tal y como demuestra nuestro Informe de referencia de código cliente 2016. La creciente interconexión de los sistemas SAP, por ejemplo, en cadenas de suministro internacionales, ofrece cada vez más vías de entrada a los potenciales atacantes.

¿Y es justo aquí donde comienza su tarea?

Arndt Lingscheid: Exacto. Concretamente, mi primer paso es ir al lugar de trabajo de los clientes con mis colegas para evaluar sistemas SAP seleccionados con nuestro software de análisis y valorar los errores y riesgos existentes en el código ABAP propio y en la configuración del sistema. Mi tarea como consultor preventa consiste en evaluar los resultados, presentárselos al cliente y explicarle cómo un atacante podría aprovecharse de los puntos débiles encontrados y las consecuencias que tendría para su empresa.

¿Cuál es su "cuota de éxito" de este examen en la práctica?

Arndt Lingscheid: Del 100%, porque suelo tardar apenas dos horas en descubrir los fallos de seguridad que presenta el código de cliente ABAP. En promedio, todos los sistemas de cliente contienen 16 "errores fatales", y solo hace falta uno de ellos para que un atacante pueda aprovecharse y robar, borrar o manipular todos los datos, por ejemplo, para falsear el resultado del balance de una empresa. En el peor de los casos, un sistema se puede sabotear totalmente desde fuera o incluso llegar a desconectarse. Aunque desde un punto de vista puramente estadístico, los ataques se producen muchas más veces desde dentro de la propia empresa. Es decir, son los propios empleados quienes representan la mayor amenaza, fundamentalmente por la facilidad de acceso a la red y con ello también a los sistemas y aplicaciones empresariales.

Arndt_Lingscheid_im_Interview.png¿Cuál ha sido el fallo de seguridad que le ha puesto realmente la piel de gallina?

Arndt Lingscheid: Fue en una empresa que cotizaba en bolsa. En un programa ABAP desarrollado por el propio cliente dimos con una dirección de correo electrónico altamente codificada a la que se transmitían los resultados trimestrales actuales, antes incluso de publicarlos en la bolsa. Las investigaciones revelaron que tras esa dirección de correo electrónico se encontraba un antiguo empleado que utilizaba esta información para sus propias operaciones en bolsa y que además la vendía al mercado negro. Como sucede en muchos otros casos, esta fuga de datos era totalmente desconocida hasta ese momento.

¿Cómo reaccionan las empresas cuando se enfrentan a estos riesgos para la seguridad?

Arndt Lingscheid: De forma muy variada. A menudo, lo primero que hacen es guardar los explosivos resultados en el cajón porque no saben muy bien cómo abordar el tema. Al mismo tiempo, crece la presión en las empresas para que se esfuercen más por garantizar la seguridad de sus sistemas TI. Por un lado, se trata de adquirir una mayor conciencia pública de los peligros de los delitos cibernéticos. Y, por otro, en los últimos tiempos está aumentando el número de sentencias judiciales contra directivos de empresa considerados responsables por no tomar las medidas de seguridad necesarias en materia de TI o por no tomarlas en absoluto.

En cuestión de seguridad TI es imprescindible estar al día de los últimos avances. ¿Qué es lo más importante en su tarea como consultor preventa?

Arndt Lingscheid: A mí siempre me resulta particularmente interesante ir directamente a las empresas y trabajar conjuntamente con mis colegas para descubrir fallos de seguridad reales a partir de su consulta. También me seduce trabajar en soluciones junto con los clientes: cómo corregir los fallos de seguridad existentes y cómo poder evitar nuevos errores en la codificación y configuración del sistema.

A pesar de que a menudo esté fuera de la oficina visitando clientes, en la empresa tiene que haber un buen clima de trabajo. ¿Qué cree que es lo más importante?

Arndt Lingscheid: Además de una atmósfera muy abierta y solidaria, en Virtual Forge valoro, sobre todo, la organización del trabajo, tanto en lo relativo a horarios como en la posibilidad de trabajar desde casa. Esto se traduce en que, si no tengo citas con clientes, la mayor parte de mi jornada laboral la puedo organizar y estructurar a mi manera. Lo mismo sucede con los campos de actuación a abordar o con las tareas que me gustaría realizar y con las muchas ideas que surgen en las citas con clientes. Tras tres años en la empresa, para mí está claro que una empresa mediana como Virtual Forge puede satisfacer mucho mejor mi necesidad de trabajar codo con codo con el cliente y poder tomar decisiones rápidamente. Ventajas que difícilmente me permitiría un gran grupo.

Para poder abrir nuevos mercados e impulsar la expansión internacional, su empresa contrata constantemente nuevos empleados. ¿Qué vacantes existen en la actualidad?

Arndt Lingscheid: Se buscan consultores para el área Preventas y Comercial, así como asesores con dominio de programación ABAP y configuración SAP. Los candidatos y candidatas ideales son aquellos y aquellas que aportan un espíritu abierto, pensamiento positivo e ilusión, porque las citas con clientes in situ no siempre son fáciles, y es imprescindible saber mantener la cabeza fría.