La seguridad SAP es un tema al que las organizaciones le dan una importancia creciente. Años atrás se dejaba para una etapa posterior al proceso de implementación. Actualmente dado la mayor preocupación que existe por evitar riesgos y fraudes, tiene más visibilidad. Aquí revisaremos los principales riesgos a los que se encuentra expuesto un sistema SAP, y las diferentes “capas” en las que se deben aplicar controles.
Capa 1 – Control de accesos
¿Cómo se realiza el control de accesos en un sistema SAP?
Antiguamente la seguridad de SAP se administraba con menos complejidad y se manejaba mediante perfiles de autorización, que tienen mucha similitud con un rol.
Los roles son un medio para permitir el acceso o ejecutar una función determinada dentro de una transacción. Un perfil es un conjunto de autorizaciones que se le asignaba directamente a un usuario. Las personas hoy hablan de roles en terminología SAP, pero en las versiones actuales SAP, se trabaja con perfiles por debajo de los roles. Por cada rol puede existir uno o más perfiles creados automáticamente por el sistema SAP que van a ser los que efectivamente activan las autorizaciones.
Los perfiles pueden crearse manualmente y asignarse a un usuario, o utilizar uno preexistente. Existen perfiles que vienen en la instalación de un sistema SAP, que pueden ser asignados a los usuarios finales y que contienen autorizaciones sumamente amplias. Un caso así es el perfil SAP_ALL ,que contiene todas las autorizaciones del sistema. Asignar a un usuario el perfil SAP_ALL constituye un riesgo muy grande en la a la seguridad de sistema SAP. Si un usuario posee este perfil, tiene el control total del sistema, situación que el cliente en muchas ocasiones tiende a minimizar.
Tips de buenas prácticas en el control de cambios en soluciones SAP:
- Los cambios en las soluciones SAP pueden ser originados por: mantenimiento de programas, mantenimiento de tablas (customizing), roles/perfiles de usuarios. El mantenimiento contempla: creación, modificación, eliminación.
Los cambios se deben hacer en un ambiente de desarrollo y ser probados en un ambiente de calidad antes de ser pasados a productivo. No es recomendable hacer cambios directamente en ambiente productivo, según las mejores prácticas de SAP.
- Es recomendable además poseer un ambiente SANDBOX para hacer ciertos cambios de pruebas funcionales. Esto para evitar sean realizadas directamente en el ambiente de calidad (QAS) porque se perdería el propósito de ser un ambiente de pruebas justo antes de producción.
- El ambiente productivo debe permanecer cerrado y protegido de tal manera que no se pueda hacer transportes desde este mandante a otro (no puede ser mandante de origen de un cambio; solamente mandante de destino).
Los cambios no deben ser transportados desde ambiente productivo a calidad.
Para organizaciones con un gran número de usuarios, o que necesitan modificar continuamente los usuarios y perfiles, se recomienda el uso de la suite SAP Business Objects GRC. Esta ayuda a automatizar el modelo de control interno en relación a la segregación funcional en los accesos, control de procesos y la gestión integral de riesgos.
Capa 2 – Seguridad de la arquitectura
SAP soporta una amplia cantidad de arquitecturas y plataformas, donde es posible montar diferentes entornos de sistemas SAP (llamados usualmente landscapes). Proteger las infraestructuras de TI que alojan sistemas SAP (tanto en entornos en la nube, multinube, en instalaciones locales o híbridas) debe ser una prioridad. Esta será la base fundamental que proveerá de un marco de seguridad y cumplimiento para todo el sistema. También lo es salvaguardar los datos y asegurar el funcionamiento continuo y seguro de los sistemas SAP, evitando posibles brechas de seguridad, ataques cibernéticos y filtraciones de información confidencial.
Los ítems principales en esta capa son:
- Monitoreo y detección avanzada de amenazas: monitoreo constante de los sistemas SAP para detectar posibles amenazas de seguridad, como intentos de intrusión, malware o actividades sospechosas. Hoy se emplean algoritmos y técnicas de inteligencia artificial que permiten una respuesta temprana y mitigación proactiva de riesgos.
- Firewall de aplicaciones y seguridad de red: incluir firewall de aplicaciones que controla y filtra el tráfico de red hacia los sistemas SAP, verificando la autenticidad y autorización de las solicitudes entrantes y salientes. Esto ayuda a prevenir ataques externos y garantiza la integridad de los datos.
- Gestión de identidad y acceso: implementar un robusto sistema de gestión de identidad y acceso (IAM) que administre los privilegios de los usuarios de SO y controle el acceso a los sistemas SAP. Esto asegura que solo los usuarios autorizados tengan acceso a la información sensible y evita el uso indebido de las cuentas.
- Cifrado de datos: proteger la confidencialidad de los datos almacenados y transmitidos, utilizando técnicas de cifrado avanzadas. Los datos se deben cifrar tanto en reposo, dentro de las bases de datos y sistemas de almacenamiento, como en tránsito, durante las comunicaciones entre los diferentes componentes del sistema.
- Auditoría y generación de informes: implementar líneas base de seguridad oficiales. Registrar y auditar todas las actividades realizadas en los sistemas. Generar informes detallados y periódicos sobre los eventos de seguridad, con el objetivo de identificar posibles brechas de seguridad, análisis forense y el cumplimiento de normativas y estándares de seguridad.
- Actualizaciones y parches: implementar una gestión controlada y continua de las vulnerabilidades y las actualizaciones de los diferentes componentes de los sistemas y paquetes utilizados, con el fin de minimizar brechas de ataque. Hoy existen soluciones que permiten automatizar esta gestión, con priorizaciones basadas en riesgo.
Capa 3 – Gestión de vulnerabilidades de SAP, parches y actualizaciones
Así como cualquiera de los otros softwares de su arquitectura (incluido el sistema operativo y sus componentes), SAP también es susceptible a errores de programación o diseño de sus componentes. Esto puede ser aprovechado por ciberdelincuentes para explotar la vulnerabilidad y robar datos o detener su operación.
Hoy existen soluciones que pueden analizar su Landscape SAP de forma continua, identificar recomendaciones de configuración basadas en las mejores prácticas del mercado, y el estado de cumplimiento de su sistema según el nivel de parches y aplicación de actualizaciones.
Estas soluciones incluyen el inventario y apoyo en la planificación, así como seguimiento de implementación de las mejoras o actualizaciones. Y en muchos casos la automatización de la instalación de varios tipos de parches y notas de seguridad en SAP. Esto minimiza tanto las horas hombre, como también el tiempo que un sistema SAP se encuentra expuesto a vulnerabilidades explotables por ciberdelincuentes.
Capa 4 – Monitoreo frente a ciberamenazas
Esta capa está relacionada con los controles de seguridad en “real time”, es decir, permite identificar ciberamenazas específicas del sistema SAP, en el mismo momento en que suceden, con el fin de contenerlas y minimizar su impacto. Como cualquier otro sistema, SAP genera valiosa información a través de su sistema de eventos, lo que permite, con la solución correcta, detectar desde ataques al sistema. Estos pueden ser desde intentos de acceso mediante “fuerza bruta”, una técnica automatizada, usualmente utilizada para adivinar contraseñas, hasta usos indebidos de los accesos, como por ejemplo, una descarga masiva de datos de SAP no autorizada.
Hoy se cuenta con soluciones que permiten explotar estas capacidades de detección, a un costo mucho menor que hace algunos años, cuando implementar una solución de SIEM en SAP tenía costos muy altos.
Adicionalmente, estas soluciones permiten integración con otros sistemas de seguridad con los que cuente el cliente. Y también conectar los procesos y equipos de atención de incidentes existentes en la compañía con su ecosistema SAP.
Novis cuenta con todas estas soluciones disponibles para ofrecer a sus clientes y “blindar” toda la superficie de ataque de su Sistema SAP.
Adicionalmente, si ya cuenta con estas capacidades y está analizando bajar sus costos operativos, lo invitamos a conocer nuestras soluciones para que pueda comparar propuestas.
Le invitamos a contactarnos para poderlo asesorar en la mejora de la seguridad de su organización.
Feedback/discusión con el autor Flavio Fernandes, CISO Novis, flavio.fernandes@noviscorp.com
Artículos relacionados: