Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

¿Está usando el enfoque adecuado para su evaluación de seguridad de SAP?

Cuando ejecute una evaluación de seguridad de información de SAP, asegúrese de entender completamente y definir claramente el entorno SAP a revisar.

Pensemos en SAP, una empresa fundada en 1972, una empresa que ofreció al mundo un software que actualmente tiene más de 250.000 clientes en más de 180 países y que está de alguna manera relacionada con el 86% de las empresas que integran la lista de Fortune Global 500 –de acuerdo con su hoja de datos corporativa.

Bueno, esto es claramente un producto que se utiliza ampliamente y cada una de las empresas que lo utiliza deben estar pensando en la definición de medidas formales y sólidas de control interno para proteger la información y los datos procesados por esta aplicación.

Un montón de cosas se puede decir sobre seguridad de la información en relación con SAP; mi intención ahora es hablar un poco del error cometido al definir el alcance de la ejecución de una evaluación de seguridad de información en un entorno SAP.

Esta idea falsa proviene de la definición de lo que es un entorno SAP. Por lo general, las plataformas de SAP están compuestas, al menos, de tres niveles diferentes: Desarrollo, Control de Calidad y Producción; Es muy común que, en función de su papel dentro de la organización, usted pueda conceptualizar de manera diferente lo que es un entorno SAP.

Si usted es un programador, por ejemplo, podría estar pensando en el nivel de desarrollo, aquí es donde usted pasa la mayor parte de su tiempo y, como consecuencia, todo ahí es valioso para usted, por lo que ese podría ser su medio ambiente. Pero esperen... ¿Qué pasa si usted es del departamento de TI? Entonces puede estar pensando no sólo en el nivel de desarrollo, sino también en el de control de Calidad y, tal vez,  está incluso pensando en el nivel de producción, aquél que constituye el entorno de los usuarios, en el que sucede la vida real, donde se producen las verdaderas transacciones.

Cuando usted piensa en el entorno SAP, tienes que tener en cuenta todos los diferentes niveles que lo componen e incluso más allá de eso. Cada uno de los niveles, y también los elementos de la infraestructura de TI que los soportan, tiene que ser considerado como un componente que puede reforzar o comprometer por completo la seguridad de la información en un entorno SAP.

Debido a las diferentes regulaciones, la mayoría de las organizaciones usuarias de SAP necesitan ejecutar evaluaciones de seguridad en sus entornos SAP y, comúnmente, éstas son ejecutadas por equipos que por distintas razones (presupuesto, alcance y tiempo, por mencionar algunos) desarrollan un enfoque parcial y con poco enfoque en la revisión, cubriendo sólo una parte del entorno de producción y creando así un concepto erróneo sobre la definición del alcance.

Es cierto que se pueden encontrar riesgos reales y graves en el entorno de producción, sin embargo, tenemos que reconocer que este nivel siempre está conectado a los otros y también a más sistemas SAP o no SAP, donde definitivamente podemos encontrar verdaderos riesgos también que incluso pueden ser más grandes.

La experiencia me ha mostrado diferentes situaciones en donde las deficiencias de los sistemas no productivos o entornos no-SAP comprometen plenamente la efectividad de la seguridad de los niveles productivos en sistemas SAP; incluso me atrevería a decir que la mayoría de los ataques en contra de un entorno SAP resultan exitosos fuera del ambiente de producción, aún en componentes no SAP. Puedo recordar un proyecto en el que mi equipo estaba comprometido en la práctica de un ejercicio de pruebas de penetración en un entorno SAP que estaba muy bien protegido. Tratamos de penetrar en el sistema SAP sin éxito hasta que uno de mis consultores, que todavía estaba ejecutando algunas tareas de descubrimiento, encontró un archivo interesante a disposición del público en la red corporativa interna de nuestro cliente, el archivo incluía una lista de usuarios de SAP y contraseñas en texto claro que finalmente utilizamos para obtener acceso al sistema.

Debido a esto yo siempre recomiendo a ampliar la visión del riesgo al ejecutar una evaluación de la seguridad en entornos SAP; necesitamos tener un enfoque completo con el fin de identificar todos los posibles riesgos que pueden afectar a la confidencialidad, integridad y disponibilidad de la información que, en este caso, soportan un entorno SAP.

Teniendo en cuenta esto, la próxima vez que usted necesite ejecutar una evaluación de seguridad de información de SAP, por favor asegúrese de que entiende completamente y define claramente cuál es el entorno SAP a revisar, teniendo en cuenta todos los elementos que pueden presentar riesgos para su operación SAP, incluso si no son parte del entorno de producción SAP o si ni siquiera son productos de SAP. Recuerde que los grandes fracasos también provienen de pequeños errores.

¿Ha enfrentado este tipo de circunstancias?

Sobre el autor: Carlos Chalico es asesor y auditor con experiencia de veinte años enfocado a las Tecnologías de la Información. Ha ayudado a resolver problemas en una gran cantidad de compañías, desde Canadá hasta Argentina, en diferentes sectores de negocio destacándose el minero, el financiero, el de telecomunicaciones, el de productos de consumo y el de manufactura. Trabajó para Ernst & Young por 16 años, ahora dirige la oficina de la costa Este de Ouest Business Solutions Inc. en Toronto, Canadá, donde vive con su familia desde hace casi dos años. Ha sido conferencista en diferentes foros en América, escribe, es voluntario en el capítulo de Toronto de ISACA (donde ocupa la Dirección de Membresía) y se prepara para dar clases en la Universidad de Toronto. Pueden contactarlo en: achalico@yahoo.com o seguirlo en Twitter: @carloschalico (español) o @CarlosChalicoT (inglés).

Este artículo se actualizó por última vez en agosto 2014

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close