Español | Deutsch | English

Prevención de pérdida de datos (DLP): atajar el problema en el código fuente

enero 13, 2017 | De Virtual Forge GmbH

La salida no deseada de datos sensibles de SAP supone un gran riesgo para las empresas, tanto a nivel jurídico como financiero. Una solución desarrollada por Virtual Forge y KPMG aborda el problema desde la raíz, es decir, directamente en el código de programación.

Por SEBASTIAN SCHÖNHÖFER de VIRTUAL FORGE
y EDUARD LORENZ de KPMG

La fuga de datos en entornos SAP se puede producir en múltiples puntos. Al ejecutar programas ABAP, se extrae la información necesaria de las tablas de la base de datos de SAP, poniéndose a disposición de los usuarios a través de diferentes canales de comunicación. Estos usuarios pueden acceder tanto a listas de salida clásicas mediante determinadas interfases de SAP, como a través de los más modernos servicios web. Los usuarios de un programa ABAP pueden incluso escribir un correo electrónico y adjuntar los datos de SAP como anexo. 

La alarma salta demasiado tarde

Los métodos y herramientas para la prevención de pérdida de datos (DLP) convencionales monitorizan el flujo de datos solamente en el momento en que la información ya está en manos del usuario o cuando ya ha salido del entorno del sistema a través de interfases técnicas. Para ello se aplican las soluciones DLP individuales en diferentes niveles de la infraestructura IT. Y de este modo, se sirven de herramientas que permiten a las empresas supervisar la información que almacenan los empleados en dispositivos móviles, como puede ser un dispositivo de memoria USB. Pero todas estas herramientas tienen algo en común: la alarma solo salta cuando se detecta un envío al exterior no autorizado de información sensible o incluso cuando dicho envío ya ha sido realizado.

Una mejora significativa mediante un análisis previo en el proceso

Las soluciones DLP convencionales resultan especialmente costosas a la hora de identificar de forma segura los datos de SAP sensibles y controlar eficazmente los puntos de salida de la red de empresas. Para reducir este coste, Virtual Forge ha desarrollado con CodeProfiler un nuevo método que trata el problema en un punto significantemente anterior del proceso. Gracias al Análisis DLP estático es posible identificar los canales de salida de datos críticos de SAP directamente en el código fuente. Comparado con los métodos DLP anteriores de carácter reactivo, el análisis DLP estático es un análisis DLP preventivo. Se identifican los puntos vulnerables ya en el código fuente, puntos que tanto un atacante externo con intención fraudulenta como un empleado de forma accidental podrían utilizar para extraer datos de SAP, primero de las tablas de la base de datos y después de las aplicaciones SAP.

Datos sensibles clasificados

Para ello es necesario esclarecer qué información es especialmente sensible y por tanto debe ser protegida. Dependiendo del sector, estos datos pueden provenir de diferentes áreas de la empresa, tales como finanzas, desarrollo o comercial. Mientras que para una empresa farmacéutica resultaría especialmente dañino que las fórmulas de sus medicamentos llegaran a manos de la competencia, en el caso de una entidad de crédito, la pérdida de datos bancarios de sus clientes tendría las más graves consecuencias. Por no hablar de la consiguiente amenaza de pago de compensaciones por daños y perjuicios, así como el daño irreversible en la reputación de la propia compañía.

Es vital que cada empresa revise continuamente los requisitos para el cumplimiento de las normas y la protección de datos (LOPD), así como los acuerdos comerciales entre empresas y los acuerdos firmados con el Comité de Empresa. No hay que olvidar que una salida no autorizada de datos personales de los empleados también acarrea graves consecuencias jurídicas. Una vez identificada cual es la información crítica para la empresa, deberá garantizarse que solo puedan acceder a ella aquellos usuarios dotados de las autorizaciones SAP necesarias.   

Necesidad de conocimientos técnicos

Clasificar los datos de SAP sensibles no es una tarea fácil, y requiere de sólidos conocimientos técnicos. Es por este motivo que Virtual Forge cuenta con la colaboración de la empresa de auditoría y consultoría KPMG en todos sus proyectos de cliente DLP. Los asesores de KPMG a su vez utilizan los análisis DLP estáticos de Virtual Forge cuando son llamados por empresas en las que se han producido fugas de datos SAP no deseadas. Y es que cada vez más existe una demanda creciente de las empresas por encontrar un método eficaz para evitar las pérdidas de forma proactiva. Departamentos especializados, como los representantes de las áreas de Gestión de Riesgos y cumplimiento de normativa (GRC), los responsables internos de la protección de datos, así como los Comités de Empresa, demandan proyectos de DLP realmente efectivos.

No sin razón, porque, con el aumento del número de sistemas SAP, muchas empresas ya no saben a ciencia cierta qué programas ABAP procesan qué datos y en qué contexto. Con este entorno cambiante, cada vez es mayor el riesgo de que la información de la empresa acabe en manos de destinatarios no autorizados, tanto de dentro como de fuera de la empresa.

Paquete de servicios combinado

Para los clientes a los que les gustaría iniciar un proyecto DLP, disponemos de una oferta común de Virtual Forge y KPMG. El paquete de servicios combina la tecnología y el conocimiento de ambos socios y se divide en cinco fases:

1. Definición de los requisitos técnicos y jurídicos
En estrecha colaboración con el cliente, definimos qué información de los sistemas SAP es especialmente sensible y, por lo tanto, necesita ser salvaguardada.

2. Identificación de los campos de datos y programas ABAP relevantes que procesan los datos
En esta fase se investiga qué usuarios están autorizados para ejecutar qué programas SAP y si existen autorizaciones concedidas por error. Con estos datos podemos elaborar un mapa teórico de las salidas de datos permitidas y no permitidas.

3. Utilización de CodeProfiler
Para el análisis asistido por herramientas del código de programación, se parametrizan los requisitos técnicos, es decir, se traducen a un lenguaje técnico. Cuando CodeProfiler analiza el código ABAP con los algoritmos de búsqueda definidos, obtenemos un mapa real de las posibles salidas de datos.

4. Comparación del mapa real y el teórico
Aquí se comparan los resultados del análisis de CodeProfiler con los requisitos jurídicos y técnicos de la empresa.

5. Recomendaciones de actuación
El cliente recibirá recomendaciones de actuación concretas al finalizar el proyecto, sobre cómo puede lograr el objetivo definido, así de cómo evitar las fugas de datos de SAP. Entre otras acciones, se encuentra la limpieza del código fuente en las diferentes aplicaciones.

Se recomienda realizar escaneos regulares

Aquellas empresas que deseen aislar de forma permanente las posibles fugas de datos de SAP, deberían aplicar los análisis DLP estáticos con Virtual Forge CodeProfiler de forma regular. Solo así se puede garantizar que, con los continuos nuevos desarrollos y revisiones dentro de los sistemas SAP, no vuelvan a aparecer nuevas posibilidades de fugas de datos no autorizadas.