Seguridad de SAP: protección de datos segura

Seguridad SAPUna comprensión profunda de SAP Security es importante para comprender el software y cumplir con la promesa subyacente de seguridad de datos.

La mejor manera de informarse sobre la seguridad de SAP es leer la documentación proporcionada por la empresa. Sin embargo, para muchos de los involucrados en la empresa, esto requiere demasiado tiempo, especialmente sin contacto directo con SAP Security.

Por lo tanto, una descripción general de los aspectos más importantes de la seguridad de SAP es un buen comienzo y es suficiente para algunos usuarios: ¿Qué aspectos hacen que un sistema SAP sea seguro? ¿Qué significa realmente la seguridad de SAP?

¿Qué es la seguridad de SAP?

 

SAP Security es un sistema para proteger los datos y las aplicaciones de SAP del acceso y uso no autorizados. SAP ofrece una variedad de controles de seguridad para garantizar que estos datos estén protegidos. SAP Security garantiza que las funciones de SAP solo sean utilizadas por los usuarios que están haciendo su trabajo. Los sistemas SAP almacenan información sensible y confidencial de clientes y empresas. Las auditorías periódicas de los sistemas SAP son necesarias para garantizar la integridad y seguridad de los datos. Esto también se aplica a los procesos y la distribución de áreas de responsabilidad: por ejemplo, un empleado de un almacén que es responsable de crear pedidos no puede aprobarlos. Sin embargo, puede crear y procesar tantos pedidos como quiera. En este ejemplo, sin embargo, los pedidos deben ser aprobados por un gerente u otro empleado con un área de responsabilidad correspondiente, a quienes, por ejemplo, no se les permite crear pedidos. Esta forma de dividir áreas de responsabilidad y las correspondientes restricciones de actividad asignadas es una función de seguridad estándar que también se puede encontrar en SAP Security, por ejemplo, a través de SAP ACL. Sin embargo, SAP Security va mucho más allá y también afecta, por ejemplo, a aspectos técnicos del cifrado, la desactivación de puertos de red innecesarios o la introducción de una política de seguridad. Para todo esto, se necesita una cosa por encima de todo: personal especializado y empleados capacitados.

Capacitación SAP con enfoque en seguridad

 

La diversidad del software de SAP se refleja en las opciones de educación y capacitación adicionales: Uno La capacitación de SAP suele ser específica del módulo y del nivel, por ejemplo para usuarios o consultores, para el módulo SAP FI o para el área de seguridad de SAP. Las grandes empresas suelen tener varios empleados que son responsables de un solo módulo o una tarea en SAP. Ejemplo SAP FI: El módulo de contabilidad financiera. Aquí es donde se elaboran los balances de la empresa. Como regla general, hay al menos una persona responsable por país que debe estar familiarizada con todas las leyes económicas. En las grandes empresas, SAP LE / LES Logistics es un módulo complejo en el que también trabajan a menudo muchos empleados. Incluso en el área de seguridad de SAP, las medianas empresas ya deberían tener un empleado dedicado.

Cómo protege el marco de privacidad de SAP los datos de la empresa

SAP utiliza varios controles de seguridad y certificaciones ISO en el desarrollo de productos basados ​​en la nube. Los tres niveles del marco de protección de datos abarcan los conceptos básicos, las mejores prácticas, la protección de datos y la transparencia. Sin embargo, el uso de SAP ERP en la empresa no trae consigo seguridad y protección de datos; simplemente hay demasiadas interfaces que están fuera del alcance de SAP y que deben ser protegidas por la propia empresa como parte de la integración del sistema:

Cifrado del tráfico de datos

Por ejemplo, SAP actualmente no protege todas las comunicaciones entre los sistemas SAP y los clientes. Esto hace que los datos transmitidos en las redes SAP sean inseguros y susceptibles a medidas de espionaje. En particular, las transferencias de datos dentro de las redes de SAP no están protegidas por un cifrado fuerte. Por ello, se recomienda cambiar a HTTPS/SSL para la conexión entre entornos heterogéneos o Comunicación de red segura (SNC) usar. SNC es un protocolo estándar para la comunicación de red segura que se ejecuta de forma nativa en Windows. Asegura sus conexiones entre entornos heterogéneos. Además, la comunicación basada en la web debe estar protegida por protocolos seguros y los usuarios deben usar las últimas versiones de SAP GUI con configuraciones de seguridad y reglas de seguridad personalizadas.

Desactivación de puertos innecesarios en la red

Además del cifrado, SAP también recomienda desactivar los puertos de red innecesarios y bloquear las conexiones entre los sistemas ABAP y las redes de los usuarios finales. Además, el acceso administrativo solo debe permitirse a través de protocolos seguros. Además, el acceso administrativo debe estar restringido a estaciones de trabajo y subredes dedicadas. Finalmente, asegúrese de que SAP GUI se esté ejecutando en 7.10 o 7.20 (a partir de enero de 2022) y que la configuración de seguridad esté activada.

¿Por qué SAP ACL es importante para la seguridad?

Grandes cantidades de datos confidenciales se almacenan en los sistemas SAP. Los empleados deben tener acceso a todos los datos que necesitan para hacer su trabajo, pero no deberían poder acceder a todos los datos del sistema. Esto puede crear problemas si los empleados acceden accidentalmente a datos a los que no deberían poder acceder. También puede representar un riesgo si alguien de forma malintencionada o no autorizada obtiene acceso a la información. También existe el riesgo de fuga de datos o fraude. Además, siempre existe la posibilidad de que un empleado pueda acceder sin darse cuenta a información confidencial. Es importante proteger esta información de infracciones para garantizar que el sistema se mantenga actualizado y seguro:

Por lo tanto, el uso de las llamadas ACL (Listas de control de acceso) es crucial para la protección de los datos de la empresa en un sistema SAP: una lista de control de acceso se utiliza para administrar y restringir el acceso a los sistemas SAP. Permite restringir el acceso a las bases de datos relevantes. Las organizaciones nunca deben asignar derechos de raíz o administrador a usuarios no autorizados. Además, el acceso a los componentes técnicos de SAP debe estar restringido a personas autorizadas. Esto evita que los atacantes accedan a datos confidenciales mediante el uso indebido de una cuenta con una cantidad innecesariamente grande de computadoras. Además, se debe utilizar una lista de control de acceso para excluir por completo a los usuarios no autorizados del funcionamiento de los sistemas y servidores de SAP.

Introducción de directrices de seguridad.

Configurar una comunicación de red segura mediante una configuración estándar de SAP es la mejor manera de garantizar la seguridad de los datos. En general, como parte de SAP Security, una empresa también debe introducir pautas y configuraciones de seguridad que tengan especialmente en cuenta los factores humanos: esto significa, por ejemplo, que la longitud mínima y la seguridad de la contraseña y la cantidad de intentos fallidos permitidos para un se especifica el usuario. La introducción de cuentas de usuario genéricas de SAP también mejora la seguridad de los datos: es particularmente importante sellar las identidades de los usuarios antes de la distribución y actualizarlas periódicamente. Algunas empresas renuevan sus identidades diariamente o antes de cada nuevo inicio de sesión, y así evitan una fuga en los datos de acceso, por ejemplo, porque los empleados escriben los datos o Administrador de contraseñas usar. Además de estas sencillas medidas, los cursos de formación sobre seguridad de SAP o seguridad corporativa también son un instrumento extremadamente útil para establecer una política de seguridad sólida y completa, que luego también incluye aspectos como la ingeniería social y técnicas similares centradas en el ser humano que pueden conducir a una riesgo de seguridad.

Sobre David Maul

David Maul es licenciado en tecnología de la información empresarial y apasionado por el hardware.

Deja un comentario

Tu dirección de correo electrónico no será publicada.