Las entidades que utilizan SAP (sistemas, aplicaciones y productos) como su aplicación comercial o el marco ERP (planificación de recursos empresariales) almacenan con frecuencia sus recursos más básicos, incluidas las propiedades intelectuales dentro de SAP (sistemas, aplicaciones y productos). Esta información debe protegerse contra el acceso no autorizado tanto desde dentro como desde fuera de la asociación. Los marcos de SAP requieren monitorización de seguridad y protección extensa.
Los resultados de un proceso de diseño de seguridad de SAP mal ejecutado son muchos: acceso no autorizado, mayor potencial de fraude, aprovisionamiento de acceso ineficiente para los usuarios finales y numerosos problemas de auditoría. Con demasiada frecuencia, las empresas que no han identificado y abordado de manera proactiva los problemas de seguridad potenciales enfrentan proyectos de rediseño costosos y desafiantes dentro de uno o dos años después de la implementación inicial de SAP.
Aquí tienes una completa guía sobre la seguridad de SAP: qué es, conceptos básicos, mejores prácticas y arquitectura de seguridad SAP.
Indice
¿Qué es la seguridad de SAP?
SAP Security es un acto de equilibrio para proteger los datos y las aplicaciones de SAP del uso y acceso no autorizados. SAP ofrece diferentes herramientas, procesos y medidas de control de seguridad para proteger estos datos. La seguridad de SAP ayuda a garantizar que los usuarios solo puedan utilizar la funcionalidad de SAP, que es parte de su trabajo.
Los sistemas SAP contienen datos muy sensibles y confidenciales de tus clientes y negocios. Por tanto, es necesario realizar una auditoría periódica de un sistema informático de SAP para comprobar su seguridad e integridad de los datos.
Por ejemplo, un empleado de un almacén que es responsable de crear una orden de compra no aprobará una orden de compra legítima o, de lo contrario, podrá crear y aprobar tantas órdenes de compra sin ningún uso.
En tal escenario, la aprobación de la orden de compra debe ser controlada por una autoridad superior, que es una característica de seguridad estándar.
Existen diferentes ángulos para la seguridad de SAP, como la seguridad de la base de datos, la seguridad del sistema operativo, la seguridad de la red y la seguridad de la infraestructura. La siguiente capa es el código seguro, que incorpora mantener la seguridad de SAP y el código de SAP en código personalizado. Es necesaria una disposición segura de los servidores SAP.
SAP Security cubre la seguridad de los datos, la seguridad en términos de comunicación del sistema, la habilitación del registro de seguridad y la configuración de un servidor. Las autorizaciones y los usuarios no son menos críticos. En general, es vital para garantizar la coherencia del marco con la ayuda de auditorías continuas, monitorización y la base de ideas de emergencia.
Conceptos de seguridad para SAP
A continuación se muestran los principales conceptos de seguridad en SAP:
Datos STAD
Los códigos de transacción son la puerta de entrada para acceder a la funcionalidad de SAP. Los datos STAD brindan seguridad contra el acceso a transacciones no autorizadas. ¿Mantienes un registro de información de quién accedió a ciertas funciones críticas? ¿Y cuándo? Los datos STAD se pueden utilizar para monitorizar, analizar, auditar y mantener el concepto de seguridad.
Biblioteca criptográfica de SAP
La biblioteca criptográfica de SAP es el producto de cifrado predeterminado que entrega SAP. Se utiliza para proporcionar comunicación de red segura (SNC) entre varios componentes del servidor SAP. Para los componentes frontales, debes comprar un producto de socio certificado por SNC.
Seguridad del servidor de transacciones de Internet (ITS)
Para que la aplicación del sistema SAP esté disponible para el acceso desde un navegador web, se utiliza un componente de middleware llamado Internet Transaction Server (ITS). La arquitectura ITS tiene muchas características de seguridad integradas, como ejecutar Wgate y Agate en hosts separados.
Conceptos básicos de la red (SAPRouter, firewalls y DMZ, puertos de red)
Las herramientas de seguridad básicas que utiliza SAP son firewalls y DMZ, puertos de red, SAPRouter, etc. Un firewall es un sistema de componentes de software y hardware que definen las conexiones que deben pasar de un lado a otro entre los socios de comunicación. SAP Web dispatcher y SAPRouter son ejemplos de pasarelas de nivel de aplicación que puede utilizar para filtrar el tráfico de red de SAP.
Seguridad Web-AS (equilibrio de carga, SSL, seguridad del portal empresarial)
SSL (Secure Socket Layer) es una tecnología de seguridad estándar para establecer un enlace cifrado entre un servidor y un cliente. Con SSL puedes autenticar a los socios de comunicación (servidor y cliente), determinando las variables del cifrado.
Con SAP cyber security, ambos socios están autenticados. Los datos transferidos entre el servidor y el cliente estarán protegidos por lo que se detectará cualquier manipulación en los datos. Además de que los datos transferidos entre el cliente y el servidor también están encriptados. La guía de seguridad del portal empresarial puede ser útil para proteger el sistema siguiendo sus pautas.
Inicio de sesión único
La función de inicio de sesión único de SAP te permite configurar las mismas credenciales de usuario para acceder a varios sistemas SAP. Ayuda a reducir los costes administrativos y los riesgos de seguridad asociados con el mantenimiento de múltiples credenciales de usuario. Asegura la confidencialidad a través del cifrado durante la transmisión de datos.
AIS (Sistema de información de auditoría)
AIS o Audit Information System es una herramienta de auditoría que puedes utilizar para analizar en detalle los aspectos de seguridad de tu sistema SAP. Está diseñado para auditorías comerciales y auditorías de sistemas. AI presenta su información en la InfoStructura de auditoría.
¿Cómo funciona la seguridad de SAP?
Las ofertas de SAP ERP incluyen software que se ocupa de bienes y servicios, ventas, finanzas, contabilidad, recursos humanos, fabricación y logística. Todas las empresas necesitan sistemas que estén interconectados con la capacidad de compartir información entre diferentes partes de la empresa según sea necesario. Los sistemas ERP integran funciones de back-office, como planes organizativos, análisis de datos, gestión de existencias y planificación de la gobernanza, así como funciones de front-office, incluida la gestión de relaciones con los clientes (CRM) y el comercio electrónico.
ERP se compone de varias aplicaciones, incluidas las relacionadas con recursos humanos, contabilidad, CRM, ventas, etc. Al integrar estos procesos y centralizar su gestión, puedes ahorrar tiempo y dinero.
Una vez que el sistema SAP está configurado, la seguridad de SAP está ahí para ayudar a garantizar que el sistema funcione según lo previsto, sin ningún problema con la seguridad o el acceso a los datos. Hay tres áreas de las que se ocupa la seguridad de SAP:
- Confidencialidad. Esto significa que no se deben divulgar datos de forma no autorizada.
- Integridad. Ningún dato debe modificarse de forma no autorizada.
- Disponibilidad. Los ataques distribuidos de denegación de servicio (DDoS) no deberían ocurrir.
Seguridad de SAP para aplicaciones móviles de SAP
Las aplicaciones de SAP ahora están disponibles en dispositivos móviles con un aumento en los usuarios móviles. Pero esta exposición es una amenaza potencial. La mayor amenaza para una aplicación de SAP es el riesgo de que un empleado pierda datos importantes de los clientes.
Lo bueno de SAP móvil es que la mayoría de los dispositivos móviles están habilitados con capacidades de borrado remoto. Y muchas de las funciones relacionadas con CRM que las organizaciones buscan movilizar están basadas en la nube, lo que significa que los datos confidenciales no residen en el dispositivo en sí.
Algunos de los proveedores de seguridad de SAP móviles más populares son SAP Afaria, SAP Netweaver Gateway, SAP Mobile Academy y SAP Hana cloud.
Lista de verificación de las mejores prácticas de seguridad de SAP
Las listas de verificación para la seguridad de SAP son:
- Evaluación de la arquitectura del paisaje y la configuración de la red.
- Evaluación de la coherencia con los estándares OWASP, DSAG, ISACA, SAP.
- Valoración de la estrategia de transporte y cambio.
- Evaluación de seguridad DBMS.
- Evaluación de la seguridad del sistema operativo donde se transmite SAP (sistemas, aplicaciones y productos).
- Tasación interior de control de acceso.
- Evaluación de partes de SAP como SAP GUI, SAP Router, SAP Portal, SAP Messenger Server, SAP Gateway.
- Evaluación de seguridad de SAP NetWeaver.
¿Cómo configurar la seguridad de SAP?
Cuando se utilizan sistemas SAP, se debe controlar el acceso tanto a los servidores de aplicaciones como a los servidores de bases de datos. Las cuentas de usuario que se configuran en un sistema SAP deben definirse claramente como roles con permisos específicos (o falta de ellos) para evitar el acceso no autorizado a los datos. Esto ayuda a evitar la modificación no autorizada de datos y protege el sistema, en su conjunto, de daños o pérdidas de datos.
La seguridad debe extenderse sobre múltiples capas y aspectos diferentes del sistema, como el uso de un firewall, el control de acceso, la encriptación de datos y el uso de certificados digitales, así como software antivirus y de administración de seguridad. Con eso en mente, estos son los pasos clave para proteger tu sistema SAP:
Alinear configuración
La configuración de seguridad de SAP debe estar alineada con las políticas de la organización sobre quién tiene acceso a qué datos y qué datos deben protegerse cuidadosamente o mantenerse confidenciales. También debes asegurarte de que tu organización siga los protocolos de seguridad básicos, como exigir a los usuarios que utilicen contraseñas que tengan una longitud mínima o una combinación de caracteres y evitar el acceso a un sistema o base de datos después de un número determinado de intentos fallidos de contraseña.
Asegúrate de saber quién tiene un rol sensible en tu organización, ya que los roles más poderosos (con más acceso) son también los que conllevan el mayor riesgo.
Crear procedimientos de emergencia
En caso de que surja un problema de seguridad de SAP, los administradores de red deben tener los permisos adecuados para poder cambiar y eliminar privilegios de otros usuarios en el sistema SAP. Esto es necesario para que los administradores de red gestionen el proceso de seguridad de SAP, y todo debe estar preestablecido y configurado para que puedan reaccionar rápidamente en caso de un problema.
Limpieza y revisión
Siempre controla quién tiene acceso a qué datos, cuándo tienen acceso, dónde y por qué. Una buena limpieza significa que debes mantener esta lista actualizada con regularidad. Cuando las personas cambian de roles dentro de una organización o se unen nuevas personas, las listas de acceso de seguridad pueden quedar obsoletas rápidamente.
Herramientas de seguridad
El uso de herramientas de seguridad que monitorizan el acceso a SAP puede resaltar más fácilmente cualquier problema o brecha en los procesos que has establecido y reducir el riesgo de que ocurra un ataque interno o una violación de datos. Esto también libera a tu equipo de TI para que se concentre en otras tareas.
Hay varias herramientas diferentes que puede utilizar para ayudar a establecer la seguridad de SAP, incluido el software de gestión de acceso y otros tipos de herramientas de seguridad.
1. SolarWinds Access Rights Manager (ARM)
Mi herramienta recomendada para administrar la seguridad del acceso es SolarWinds Access Rights Manager (ARM). ARM ahora también incluye soporte para SAP R / 3. Esto te permite buscar códigos de transacción críticos para la seguridad y reconocer simultáneamente múltiples autorizaciones. También puedes ver qué usuarios de Active Directory están asignados a cada cuenta de SAP a través de la interfaz ARM y puedes crear, modificar o eliminar el acceso de los usuarios a diferentes archivos o tipos de archivos según lo desees.
ARM puede monitorizar y auditar los cambios tanto en Active Directory como en la Política de grupo, lo que te ayuda a realizar un seguimiento de los usuarios potencialmente no autorizados, así como de los daños de datos maliciosos o accidentales. El sistema de alerta también funciona bien y puede marcar rápidamente los cambios en los archivos y los permisos que no se esperan, lo que puede ayudar al administrador de la red a ver rápidamente que ha surgido un problema potencial.
ARM te permite básicamente automatizar la tarea de administración de derechos de acceso y crear informes de acceso de usuarios listos para auditores con fines de cumplimiento, lo que puede ahorrar una gran cantidad de tiempo a los profesionales de TI. En general, es fácil de usar y es una excelente herramienta versátil para ayudar a tu empresa a mantenerse al tanto de los riesgos de seguridad internos.
2. Symmetry SAP Access Control Suite
Symmetry Access Control Suite funciona para proporcionar análisis de riesgos de SAP y determinación de datos confidenciales para que puedas evitar fallas de cumplimiento o violaciones de datos no autorizadas. También te permite solucionar fácilmente los conflictos de segregación de funciones (SOD) y controlar el acceso a tu software SAP. Incluye procedimientos de acceso de emergencia de SAP y puede registrar y rastrear todo lo que hace un usuario dentro de una sesión en particular.
3. Auditor de Netwrix
Netwrix Auditor trabaja para identificar y clasificar información sensible o regulada de manera consistente y precisa, ya sea almacenada en las instalaciones o en la nube. Ofrece inteligencia de seguridad para realizar un seguimiento de quién tiene acceso a qué, cuándo y cómo acceden los usuarios a los datos de tus servidores. También produce informes que pueden cumplir con una amplia gama de estándares de seguridad, incluidos PCI DSS, HIPAA, SOX, GDPR, GLBA, FISMA / NIST y CJIS.
Soluciones de seguridad de SAP
Más allá de la administración básica del sistema y la seguridad específica de la solución, SAP ofrece múltiples productos relacionados con la seguridad para ser utilizados en conjunto con la funcionalidad existente. Estas son las soluciones de seguridad clave de SAP.
Gobernanza de acceso a SAP Cloud Identity
SAP Cloud Identity Access Governance es una herramienta basada en la nube que los administradores pueden utilizar para simplificar los procesos de gobierno. La funcionalidad incluye análisis de acceso continuo, optimización de la asignación de usuarios, informes de auditoría preconfigurados y más.
Analizador de vulnerabilidades de código de SAP
También conocido como SAP NetWeaver AS Code Vulnerability Analysis (CVA), SAP Code Vulnerability Analyzer es un complemento de ABAP que analiza el código fuente y lo protege de posibles ataques antes de entregar aplicaciones a los usuarios finales.
Custodio de datos de SAP
SAP Data Custodian es una solución para que los usuarios de la nube pública consulten cuando buscan información de seguridad en su nube específica, lo que proporciona una mayor transparencia y una mayor confianza para los involucrados en la nube pública.
Gestión de autorización dinámica de SAP de NextLabs
Esta aplicación es una empresa conjunta entre SAP y NextLabs, una empresa de software de seguridad de datos. SAP Dynamic Authorization Management proporciona herramientas de colaboración seguras para que las partes interesadas de la red empresarial puedan trabajar juntas, independientemente de si son empleados de la misma empresa.
SAP EarlyWatch
Es una herramienta de diagnóstico que proporciona controles de estado, salud, rendimiento, crecimiento y seguridad de la solución. Los administradores pueden configurar informes automatizados de alertas de SAP EarlyWatch para ver qué necesita atención. Además, estos informes señalarán las notas y configuraciones críticas de SAP que aún no se han implementado en un sistema. SAP EarlyWatch está disponible para cualquier cliente con un sistema SAP Solution Manager.
Gestión de derechos digitales empresariales de SAP de NextLabs
Otro proyecto de colaboración con NextLabs, SAP Enterprise Digital Rights Management se centra en la protección de archivos, incluido el cifrado, la gestión de derechos de acceso y más.
Detección de amenazas empresariales de SAP
SAP Enterprise Threat Detection es una herramienta que aprovecha SAP HANA para procesar grandes cantidades de eventos de seguridad en tiempo real, como un ciberataque. Ofrece información sobre cómo neutralizar a los atacantes y encontrar anomalías o daños en el panorama del sistema después de una intrusión.
SAP Fortify por Micro Focus
Es una herramienta de prueba de vulnerabilidad de seguridad y gestión de la calidad de las aplicaciones que ayuda a los administradores a planificar la infraestructura de seguridad y mantener la funcionalidad existente en plena forma. SAP Fortify proporciona a las empresas un centro de seguridad central, analizador de código estático y capacidad de automatización para identificar y solucionar problemas a medida que se conocen.
Gobierno, riesgo y cumplimiento de SAP
SAP Governance, Risk, and Compliance (SAP GRC) es un conjunto de soluciones centradas en la gestión de múltiples aspectos de una empresa. Los componentes de seguridad incluyen procesos y control de acceso para autorizaciones, herramientas de gestión de auditorías y análisis de integridad empresarial para detectar fraudes y analizar posibles socios comerciales.
Gestión de identidad de SAP
SAP Identity Management es una herramienta que se utiliza para cubrir todo el ciclo de vida de la identidad de una persona. Con esta herramienta, los administradores pueden asegurarse de que las personas que acceden a los datos en un sistema sean quienes dicen ser. De manera similar a la funcionalidad SAP GRC Access Control, SAP Identity Management proporciona capacidades de autoservicio de contraseñas a los usuarios y ayuda en el aprovisionamiento de roles.
Gestión del ciclo de vida de la información de SAP
SAP Information Lifecycle Management (SAP ILM) es una herramienta que permite bloquear y eliminar datos de un sistema SAP. Esto es especialmente importante en los casos en que las leyes de privacidad de datos, como el Reglamento general de protección de datos (RGPD) y la Ley de protección del consumidor de California (CCPA), exigen que las empresas eliminen los datos de los clientes cuando lo soliciten.
Con SAP ILM, los administradores pueden crear ciclos de vida definidos para los datos. Por ejemplo, cuánto tiempo conservar los datos (retención) y dónde guardarlos antes de archivarlos (residencia). También permite excepciones de eliminación de datos utilizados en procedimientos legales, destrucción permanente de datos y almacenamiento seguro de datos.
SAP MaxAttention y SAP ActiveAttention
SAP también ofrece varios servicios proactivos relacionados con la seguridad bajo sus planes de soporte MaxAttention y ActiveAttention:
- Revisión de la arquitectura técnica de los productos y soluciones de seguridad de SAP.
- Definición de hojas de ruta únicas de seguridad y cumplimiento
- Identificar brechas críticas y optimizar el potencial en áreas de seguridad
Centro de confianza de SAP
Debido a que la mayoría de los conceptos de seguridad para las soluciones en la nube, como la seguridad física, el hardware, la plataforma de software, algunas aplicaciones y más, son responsabilidad de SAP y no del cliente, SAP ha establecido un sitio web público que proporciona contenido sobre las formas en que SAP asegura sus productos en la nube. Se llama SAP Trust Center y, aunque no es una solución de SAP en sí, debe mencionarse en relación con la seguridad de SAP.
Cribado de la lista de seguimiento de SAP
SAP Watch List Screening ayuda a los proveedores a examinar posibles socios comerciales para asegurarse de que no estén en las listas de vigilancia publicadas por gobiernos y organizaciones internacionales como las Naciones Unidas.