Por qué los expertos en seguridad no son expertos en SAP

Dado que las respuestas a esta pregunta suelen ser las mismas, parece que existen conceptos erróneos fundamentales sobre la seguridad de SAP. Cuando se trata de seguridad, uno acaba rápidamente con las personas. Al fin y al cabo, son los hackers quienes llevan a cabo los ciberataques. Y ahí está el quid de la cuestión. Sólo los expertos en seguridad tienen la posibilidad de hacer frente a los hackers profesionales. Mientras que los ciberdelincuentes están altamente especializados, los profesionales de las empresas deben dominar todas las técnicas y tener una gran capacidad de análisis. Esto no puede esperarse ni siquiera del profesional de SAP más experimentado. El sector de la ciberdelincuencia es demasiado complejo y dinámico para que aprenda rápidamente. Por lo tanto, es imperativo reunir a SAP con especialistas en seguridad y obtener una visión completa de la situación de las amenazas. Porque a los atacantes no les interesan los silos organizativos internos.

SAP en la nube

Migrar los sistemas SAP a la nube es una tarea con un futuro prometedor. La adaptación a la nube es una empresa muy compleja que está sujeta a cambios constantes. Por eso los empleados deben estar altamente cualificados. Pero algunas empresas están convencidas de que su personal informático puede gestionar la TI existente y ser experto en seguridad en la nube al mismo tiempo. En la práctica, sin embargo, los expertos internos en seguridad suelen carecer de los conocimientos necesarios sobre SAP, del mismo modo que los especialistas en SAP suelen tener sólo conocimientos rudimentarios sobre seguridad. Así que estas empresas no forman adecuadamente a sus expertos en TI.

Pero la falta de experiencia en la protección de un entorno SAP basado en la nube crea peligrosas vulnerabilidades. Así, los piratas informáticos ni siquiera tienen que tomarse la molestia de acceder a los datos y sistemas, bien disfrazados de caballo de Troya. Caminan con la visera abierta sobre el puente levadizo bajado, atraviesan la puerta abierta de par en par y anidan en el castillo. Tardan una media de unos 100 días en darse cuenta. Tres meses en los que los ciberdelincuentes pueden causar grandes daños. No siempre se trata de ataques ransomware o DDoS de gran repercusión. Algunos hackers actúan de forma muy sutil, por ejemplo, interviniendo información supuestamente insignificante. Por lo tanto, las empresas deben pensar siempre en la seguridad en la transformación de la nube.

Una vez más, surge la pregunta: ¿por qué no lo hacen las empresas? Parece que no existe un diálogo decidido entre TI y la dirección. A veces, la dirección no tiene una idea tangible de lo importante que es la seguridad de SAP para el buen funcionamiento de la empresa. Y los expertos en seguridad a veces no logran comunicar las ventajas de unas medidas de protección adecuadas y su impacto positivo en las operaciones cotidianas. Para entablar un diálogo real, es aconsejable que las empresas dejen de lado la tecnología por el momento. De lo que se trata es de ser conscientes de las posibilidades de la nube y de la complejidad de la seguridad SAP: para proteger la infraestructura SAP contra los ataques de piratas informáticos, es imprescindible comprender que la seguridad SAP es un proceso empresarial como cualquier otro. Un proceso que debe modelarse cuidadosamente, controlarse con métricas, supervisarse con herramientas y optimizarse continuamente.

Para cambiar la visión de la seguridad de SAP, las empresas tienen que deshacerse de prejuicios comunes. La idea errónea fundamental es que la seguridad es una cuestión de TI. Sin embargo, la seguridad de la nube y de SAP debe estar anclada de forma sostenible en la estrategia corporativa y solo debe aplicarse en la práctica como un segundo paso. Se trata de un reto que va mucho más allá del departamento de TI. Afecta a muchos departamentos. Para que la seguridad de SAP sea eficaz, todos, realmente todos, deben colaborar.