La plataforma global e independiente para la comunidad SAP.

Código abierto en la empresa - a pesar de Log4J

SAP y toda la comunidad SAP llevan muchos años utilizando con éxito cada vez más código abierto. El uso de cientos o miles de componentes diferentes por parte de los clientes de SAP será la norma, no la excepción, en 2022.
Ralf Meyer, Synomic
5 abril 2022
Código abierto
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Sin el creciente número de programas de código abierto, ni los sistemas SAP ni la mayoría de las empresas modernas funcionarían hoy en día. Actualmente, la Oficina Federal Alemana de Seguridad de la Información (BSI) y la prensa especializada -como nuestra revista E-3- lanzan una "alerta roja" advirtiendo de una grave vulnerabilidad de seguridad en el software Log4J, ampliamente utilizado. Esta brecha es crítica porque no sólo permite a los piratas informáticos penetrar en las redes de las empresas sin ser detectados, sino que también posibilita la instalación de puertas traseras difíciles (si no imposibles) de detectar y la instalación de un extenso código malicioso en los sistemas de las empresas. Incluso después de una actualización satisfactoria de Log4J, ésta puede utilizarse para ataques delictivos mucho más tarde y de forma independiente.

Aunque a muchos les parezca un riesgo teórico, desgraciadamente muchos sistemas ya han sido atacados, comprometidos con éxito y han sufrido muchos daños. A diferencia del software de SAP, no suele haber actualizaciones automáticas para el software de código abierto ni avisos como las SAP Notes (para Log4J, SAP ha creado una SAP Note especial). Para empeorar las cosas, Log4J -como gran parte del software de código abierto- es una parte integral y oculta de muchos otros componentes y soluciones, lo que hace que la búsqueda sea más difícil y costosa.

Es importante que el uso de componentes de código abierto en la empresa esté regulado y supervisado por un proceso profesional. Para ello existen soluciones especiales, como las de la start-up VersionEye, con sede en Mannheim, o Snyk, de Israel. Ambas soluciones no sólo conocen la versión actual de los componentes individuales, sino que también pueden supervisar listas de piezas anidadas de componentes de código abierto; en otras palabras, saben dónde se han instalado también los componentes. Además, estas soluciones ofrecen otra información importante, como la calidad (por ejemplo, frecuencia de actualización o distribución), vulnerabilidades de seguridad conocidas y tipos de licencia subyacentes. Pueden advertir automáticamente a los desarrolladores cuando se identifican riesgos o se infringen las normas de la empresa, como cuando se utilizan componentes de código abierto no aprobados.

A medida que aumentan los ataques cibernéticos contra las empresas y sus cadenas de valor debido a que los mundos de TI y SAP son cada vez más importantes, complejos y cambian constantemente, la supervisión de la infraestructura subyacente, como servidores y redes, es cada vez más importante, además de la supervisión de código abierto. Aunque esto es aún más complejo que la supervisión de código abierto, uno debería, no obstante, empezar inmediatamente y hacerse una idea de la situación de riesgo actual en su propia empresa. Además de información detallada sobre la situación de seguridad, las soluciones modernas como LocateRisk de Darmstadt o la mucho más antigua Security Scorecard de Nueva York también proporcionan una comparación con empresas similares (peer group) para que pueda medir en qué punto se encuentra actualmente su propia ciberseguridad.

Además, se suelen dar recomendaciones para solucionar los problemas detectados y mejorar la propia situación de seguridad. Por ejemplo, LocateRisk ofrece un servicio especial para detectar y solucionar más rápidamente la actual amenaza Log4J. Es importante que la supervisión de infraestructuras y de código abierto esté lo más libre de configuraciones y automatizada posible, y que pueda integrarse en los sistemas y cuadros de mando existentes, si es necesario.

Aunque las actuales interrupciones de la cadena de suministro mundial no fueron provocadas (en su mayoría) por ataques de ciberseguridad, sino por la pandemia del Covid 19, entre otras cosas, esto podría cambiar. Por ello, algunas empresas ya tienen a sus proveedores clave controlados por soluciones de supervisión de la ciberseguridad o exigen auditorías de código abierto, como hace SAP para los socios con soluciones en la lista de precios de SAP.

avatar
Ralf Meyer, Synomic

Ralf Meyer es Director General de Synomic y cofundador de IA4SP.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.