Ciberdefensa para SAP y más
Pathlock se fundó hace menos de un año como una alianza única de los principales proveedores internacionales de gobernanza de acceso y seguridad de aplicaciones con el objetivo de elevar conjuntamente la comprensión y el alcance de la seguridad holística a un nuevo nivel. En la actualidad, Pathlock ya es el principal especialista mundial en seguridad y GRC para SAP y sistemas de TI híbridos. Con 500 empleados en todo el mundo, asesora a más de 1200 clientes sobre la protección de aplicaciones, datos y procesos críticos para la empresa. Por ejemplo, apoya a empresas con sistemas SAP ERP, S/4 Hana, en la nube o multiproveedor en la detección de anomalías, ataques de hackers, manipulaciones o robo de datos.
Experiencia y conocimientos
La ciberdefensa es cuestión de concienciación, experiencia, formación, herramientas informáticas y muchos conocimientos técnicos. Mientras que las generaciones anteriores de ERP crecieron con escáneres de virus, por así decirlo, la ciberdefensa en las complejas arquitecturas actuales no se trata sólo de hackers, sino de muchos y muy diferentes parámetros de ataque desde dentro y desde fuera. Bodo Kahl, CEO de Pathlock Alemania, explica el objetivo de la fusión en una entrevista en E3: "Hemos unido nuestras fuerzas para desarrollar la primera solución automatizada integral de gestión de riesgos y cumplimiento normativo del sector. Nuestra tecnología realiza controles financieros y de protección de datos concertados, al tiempo que protege todas las aplicaciones empresariales clave frente a las amenazas de ciberseguridad. Al combinar las capacidades exclusivas de cada uno, ahora podemos ofrecer a nuestros clientes una solución que cubre más aplicaciones y más tipos de riesgo que ninguna otra y ninguna otra empresa antes." Este enfoque de ciberdefensa es fundamental en un mundo de TI atomizado y ágil, ya que el cliente de SAP legacy se enfrenta a muchísimos escenarios de amenazas simultáneamente. El Director de Tecnología (CTO) de Pathlock Alemania, Ralf Kempf, explica: "Nos centramos en una solución amplia que pueda hacer más que el enfoque clásico habitual en el mercado. Hasta ahora, había soluciones que se centraban en el ámbito de la gestión de usuarios y accesos o en el de la ciberseguridad, pero ninguna que abarcara el ámbito de la seguridad de los ERP en general. Por lo tanto, estamos hablando de una solución unificada que abarca todos los proveedores de ERP conocidos como SAP, Microsoft y Oracle en el mercado, así como herramientas como Salesforce."
La fusión en Pathlock da lugar a una gama de servicios mucho más profunda y amplia que las soluciones individuales conocidas. Combina, por un lado, las posibilidades en el ámbito de la gestión de identidades y accesos de usuarios y, por otro, en el de la ciberseguridad, la gestión de vulnerabilidades, la detección de amenazas y la protección de datos. Además de Sast Solutions, Pathlock incluye las antiguas Appsian, Security Weaver, CSI Tools, Xpandion y QSoftware. En conjunto, el grupo cuenta con 15 sedes en Estados Unidos, Europa, Israel e India.
En la práctica, Pathlock Alemania tiene una gran afinidad con SAP. Las arquitecturas ECC y S/4 son complejas y descentralizadas. Por ello, la cooperación con CSI Tools de Bélgica y Security Weaver de EE.UU., especializadas en SAP, aportó un valor añadido inmediato. "Significa una ampliación significativa de la cartera SAP, además de la rápida ventaja de disponer de una amplia gama de soluciones para todas las aplicaciones ERP inmediatamente disponibles cuando se necesitan", subraya Ralf Kempf, CTO, en conversación con Färbinger, redactor jefe de E3. "La gran ventaja de esta fusión es que no sólo se multiplica el alcance, sino también nuestra experiencia. En consecuencia, compartimos nuestras soluciones de ciberseguridad para SAP y nuestros socios en todo el mundo y podemos integrarlas inmediatamente en su cartera."
Sistema de autorización
Un parámetro de seguridad clave es el sistema de autorización de usuarios de SAP. "Muchos de nuestros principales clientes tienen productos como Ariba, que SAP ha comprado pero nunca ha integrado realmente en su cartera. Hasta ahora, han dificultado mucho el seguimiento de las autorizaciones de los empleados en todas las aplicaciones y la gestión de las cuentas, por ejemplo, cuando un empleado se marcha", describe Ralf Kempf un caso de uso de su práctica profesional.
Los cambios de personal siempre han supuesto un gran reto para el sistema de autorización: Si una persona abandona la empresa, todas las cuentas, todos los dispositivos también deben bloquearse, todas las autorizaciones deben retirarse en todo el mundo en todos los sistemas. "Gestionar, revisar, etc. de forma transparente los accesos en todos estos subsistemas: hasta ahora sólo podíamos hacerlo para SAP. Ahora ofrecemos una visión general de identidades y cuentas en todos los sistemas", describe Ralf Kempf una de las ventajas de la fusión.
La comunidad SAP es consciente desde hace tiempo de la importancia y la sostenibilidad de la ciberdefensa. Esta concienciación también queda patente en el Informe de Inversiones 2023 del Grupo de Usuarios SAP de habla alemana (DSAG e. V.). En la planificación de inversiones de los miembros del DSAG, la ciberseguridad ocupa claramente el primer lugar, con un 88% de relevancia alta y media. Esto no es inesperado para el presidente del DSAG, Jens Hungershausen: "Prevenir un ataque de hackers es imposible. Pero hay una serie de medidas con las que las empresas y los usuarios pueden prepararse". Y aquí es donde se pone de manifiesto la fuerza innovadora y la eficacia del nuevo Grupo Pathlock.
Cuadros de mando
Los cuadros de mando de seguridad han estado en la lista de demandas de DSAG durante años como elemento central para el control y la defensa contra incidentes relevantes para la seguridad. Junto con SAP, DSAG trabajó en una solución correspondiente para una visión general completa de todos los aspectos de seguridad, que muestra automáticamente qué ajustes relevantes para la seguridad deben realizarse y dónde existen lagunas de seguridad en el entorno SAP respectivo de la empresa. Ahora Pathlock, que también participa en el grupo de trabajo DSAG, puede hablar de éxito: El desarrollo de los cuadros de mando de Pathlock se ha completado con éxito e incluye mucho más que puros entornos SAP. "Porque", explica Piyush Pandey, CEO de Pathlock, en la exclusiva E3, "el tiempo de los ERPs singulares estáticos fue ayer.
Las soluciones SAP siguen siendo la parte más importante de la infraestructura de línea de negocio de muchas empresas, pero las soluciones de otros proveedores, especialmente Oracle, son cada vez más importantes. Por ejemplo, muchas de nuestras empresas clientes de SAP gestionan una o más instancias de Oracle ERP como resultado de fusiones y adquisiciones. La gestión de los permisos de acceso, incluidos los roles, pero también las reglas de segregación de funciones (SoD) y otros aspectos en torno a la identidad, el acceso y la seguridad son esenciales para proteger estas aplicaciones críticas para el negocio."
Además, muchos sistemas críticos para la empresa están siguiendo la tendencia de trasladarse a la nube, por ejemplo con soluciones de SAP como SuccessFactors o Ariba. Esto amplía el alcance de los controles de acceso centralizados más allá de los sistemas Abap tradicionales e incluso más allá de SAP. Las exigencias a las soluciones son cada vez mayores, ya sea porque admiten una gama más amplia de sistemas o porque ofrecen puntos de integración adecuados con otras soluciones. Para aplicar con éxito los controles adecuados, es fundamental que todos los sistemas estén cubiertos por una solución eficaz de gestión de riesgos, para la gestión de los controles de control de acceso y SoD, y para la aplicación de una gobernanza de acceso adecuada.
Esto también se refleja en el anuncio del Leadership Compass de este año realizado por el analista tecnológico líder KuppingerCole, que se centra en el soporte integral tanto para entornos SAP como para aplicaciones empresariales de otros proveedores: "Los requisitos de los clientes en cuanto a soluciones de control de acceso para sus aplicaciones empresariales están cambiando rápidamente. Muchas empresas necesitan soluciones que cubran una gama de ERPs de distintos proveedores y que operen en diferentes modelos."
Modelos
Sin embargo, muchos proveedores aún carecen de muchos años de experiencia con modelos de funciones de mejores prácticas, conjuntos de reglas de acceso crítico y conjuntos de funciones SoD para soluciones que no son de SAP, afirmó Martin Kuppinger ya en 2022 y destaca el apoyo en profundidad de Pathlock a los sistemas de Oracle como un ejemplo excepcional. Subraya que la fusión de Pathlock ha creado "un importante competidor para SAP en el mercado de la seguridad". Ralf Kempf comenta: "Tomamos este veredicto como un cumplido y una confirmación, pero sobre todo como un incentivo para estar siempre un paso por delante del desarrollo y realizar la mejor y más completa ciberdefensa para SAP y muchos otros ERPs y soluciones con nuestra Pathlock Suite, ya sea on-premises, basada en web o híbrida."