Captura de pantalla 2018-11-12 a la(s) 10.19.38

Emilia Soto Especialista en seguridad SAP Novis Mex / Javier Caballero director de operaciones Novis México

 

Este año, la última edición de Black Hat (la conferencia mundial sobre seguridad) contó con seis sesiones específicamente sobre SAP. En una de ellas se dejó en evidencia la vulnerabilidad de los sistemas SAP Java, ya que permitían a cualquier persona poder tomar control del sistema como administrador. Esta situación generó gran conmoción en las empresas usuarias de SAP como su ERP principal. Adicionalmente en SAPPHIRE y SAP TECHED se expusieron más de veinte sesiones especializadas en seguridad SAP, exaltando la importancia del tema para cualquier empresa de la actualidad.

Es así como la seguridad en los Sistemas SAP cada día toma más relevancia para las empresas, ya que necesitan resguardar y proteger la información vital para la operación de sus negocios.

Hoy en día con las actualizaciones y nuevas tecnologías de SAP orientadas a trabajar de manera local o en la nube, ha generado una tendencia muy fuerte a tener los sistemas cada vez más abiertos a internet, y por lo tanto más vulnerables.

En consecuencia, todos los usuarios que operan los sistemas SAP deben tener definido y configurado un esquema y/o modelo de Seguridad basado en Roles y Perfiles. El objetivo es que solo se les permita acceder a los datos que les compete, en función a su posición en la estructura organizativa de la empresa.

Para prevenir los riesgos es primordial identificar cada uno de los procesos medulares de la organización y los responsables que intervienen en ellos. Una vez identificados procesos y responsables se determinan y delimitan los accesos.

Las empresas deben considerar que para implementar un modelo de seguridad de sus sistemas SAP, es necesario contar con los siguientes servicios:

• Definición y Reingeniería Roles y Perfiles

• Revisión de Roles y Perfiles

• Auditorías en Seguridad SAP

• Upgrade de Seguridad SAP

• Administración de Usuarios.

• Gobierno en Seguridad SAP.

Si bien dar el primer paso con la introspección acerca de los niveles de seguridad de las organizaciones no es fácil, Emilia Soto, especialista en seguridad de Novis México, con más de 18 años de experiencia nos recomienda varias opciones como comenzar:

• Por las soluciones o sistemas implementados.

• Por el volumen de información que procesan.

• Por el volumen de ventas en el mercado.

• Por el volumen de clientes que tienen en su portafolio.

• Por el número de usuarios que operan sus sistemas.

• Por el Número de usuarios que dan soporte a sus sistemas.

• Por los procesos que manejan en cada uno de sus sistemas.

Estos elementos o características son la base para dar inicio e impulsar la implementación de un modelo de seguridad SAP que garantice la disminución del riesgo, elimine la fuga de información y evite los fraudes en la operación de la organización. No obstante, cabe destacar que las empresas más importantes a nivel mundial comparten algo en común: muchas de ellasdependen de plataformas SAP para manejar sus negocios más críticos y su caudal de información.

Por último, Emilia recalca que para tener un proceso exitoso de seguridad de los sistemas SAP, se deben ejecutar periódicamente las siguientes acciones:

  • Realizar los análisis de riesgos de los cargos con el fin de llevar a cabo las correcciones necesarias en los roles de los usuarios.
  • Monitorear los accesos críticos o sensibles donde la empresa esté expuesta a fuga de información.
  • Seguimiento y control a los usuarios de soporte de sistemas SAP.
  • Definir aprobadores o Dueños de Procesos de Negocios que permitan identificar los procesos críticos de la organización y los usuarios finales que puedan ejecutar el proceso.
  • Alertar y corregir accesos indebidos.
  • Monitorear los accesos a los perfiles amplios del sistema como por ejemplo SAP_ALL y SAP_NEW.

 

Si tienes dudas con respecto al tema y/o quiere revisar los procesos de seguridad SAP de su compañía, lo invitamos a contactarnos para conversar de sus proyectos dejándonos sus datos aquí.

 

Notas relacionadas: