La plataforma global e independiente para la comunidad SAP.
Gestión informática, MAG 23-12 / 24-01

Solución de seguridad SAP

Un ataque de ransomware a la infraestructura informática llevó a esta empresa familiar con presencia internacional a adquirir una solución de seguridad SAP explícita.
Revista E3
12. enero 2024
Contenido:
avatar
Este texto ha sido traducido automáticamente del alemán al español.

SAP se introdujo en la empresa en 1995. Hoy en día, la mayoría de los 2000 empleados trabajan en un entorno SAP, centrándose en los módulos clásicos FI, CI, MM, SD y PP. Está en marcha un proyecto de transformación S/4 Hana, pero la empresa sigue trabajando actualmente con un sistema SAP ECC. 

100 años de experiencia: Westfalen Group opera en los sectores de los gases técnicos, la refrigeración y la calefacción, las gasolineras y la movilidad, así como en la terapia respiratoria a domicilio. Con sus productos y servicios, la empresa ofrece cada vez más soluciones que ayudan a sus clientes a ser más sostenibles. El hidrógeno como fuente de energía desempeña un papel especialmente importante en cada vez más ámbitos. Fundada en Münster en 1923, la empresa familiar está representada actualmente por numerosas filiales y empresas asociadas en más de 20 centros de producción en Alemania, Países Bajos, Bélgica, Francia, Suiza y Austria.

En 2021, la empresa sufrió un ataque de ransomware en el que se cifraron todos los sistemas informáticos de su propio centro de datos. El sistema SAP no se vio afectado, ya que llevaba tiempo funcionando en los servidores de un proveedor de servicios externo. Sin embargo, el ataque fue suficiente llamada de atención: ¿qué pasaría si un día los datos de SAP también se cifraran de esta manera? 

Se necesitan conocimientos de SAP para distinguir si se trata de una vulnerabilidad o de un falso positivo.

Andreas Eckey,
Responsable de seguridad de la información, Westfalen Group

Para descartarlo con seguridad, la empresa decidió trabajar con Werth IT y utilizar el WerthAuditor. El proveedor de servicios de externalización encargado por el Grupo Westfalen ya había tomado precauciones de seguridad estándar, que se ampliaron para incluir la solución de seguridad SAP. "La experiencia especial de Thomas Werth en el área de seguridad SAP nos fue recomendada por la empresa de seguridad informática que nos ayudó a reconstruir después del ataque de ransomware", explica Andreas Eckey, responsable de seguridad de la información del Grupo Westfalen.

La colaboración comenzó con una prueba de penetración en el sistema SAP.
De ello se derivaron una serie de medidas valiosas que el equipo de Westfalen Group aplicó de inmediato. Por ejemplo, era necesario optimizar algunos parámetros del sistema para eliminar posibles puntos débiles. Se modificaron inmediatamente después de la prueba. El departamento de TI también endureció las directrices existentes sobre contraseñas basándose en los resultados de la prueba. 

Sin embargo, el equipo de seguridad informática del Westfalen Group no quería detenerse en esta medida puntual. En el entorno SAP también surgían periódicamente nuevas vulnerabilidades que debían abordarse. A principios de 2022, se tomó la decisión de adquirir y utilizar el WerthAuditor de forma independiente. Desde entonces, el equipo de TI de SAP Basis de la empresa lo utiliza de forma permanente.

Notas y recomendaciones

El Auditor es básicamente fácil de usar, incluso para especialistas en seguridad no expertos. No obstante, hay trucos y sutilezas que requieren un diálogo regular con el fabricante para entenderlo. Andreas Eckey: "El soporte de Werth IT es excelente. Recibimos asesoramiento proactivo sobre actualizaciones y recomendaciones para determinados ajustes del sistema, de modo que los problemas no llegan a agravarse para nosotros."

Mensualmente se realizan breves llamadas de coordinación sobre los resultados del WerthAuditor. A ello contribuye el nuevo cuadro de mandos, en el que el departamento de TI del Grupo Westfalen puede visualizar y comprender de forma clara y sencilla los puntos débiles detectados y las medidas que deben derivarse de ellos. Al fin y al cabo, el sistema SAP de la empresa está vivo; constantemente se establecen nuevos procesos o se modifican los existentes.

Resumen y respuesta rápida

El cuadro de mandos es una verdadera ayuda cuando se trata de transparencia. "Por supuesto, también se necesitan conocimientos de SAP para diferenciar entre una vulnerabilidad real y un falso positivo", afirma Andreas Eckey. "Lo que el cuadro de mandos nos ofrece en la práctica es una visión general en tiempo real de las posibles vulnerabilidades. Esto se aplica a parámetros, autorizaciones, etc., desde la base de datos hasta el núcleo del sistema. Así podemos reaccionar inmediatamente". 

Para ello, el Westfalen Group ha establecido un proceso de importación de hot fixes de SAP al sistema. Andreas Eckey subraya: "Facilita mucho las cosas que no tengamos que recopilar manualmente la información como hacíamos antes. Podemos evaluar más rápidamente lo que es realmente relevante y para qué necesitamos importar hot fixes". WerthAuditor identifica automáticamente las incidencias y las muestra en el cuadro de mandos, incluidas las medidas que se derivan de ellas".

Esto permite a las empresas usuarias de SAP, como el Grupo Westfalen, reforzar permanentemente sus defensas, lo cual es extremadamente importante, especialmente en tiempos de crecientes amenazas cibernéticas. Andreas Eckey subraya: "Lo que hay en SAP es nuestra joya de la corona: no podemos permitir que le pase nada. Con WerthAuditor, tenemos excelentes perspectivas para el futuro de nuestra seguridad SAP."

werth-it.de

Escriba un comentario

Como dominar los retos de la transformación

Los males del joven CIO

La IA debe considerarse una iniciativa de equipo

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.