Salvaje Oeste BTP - ¿y dónde está la seguridad SAP?
Como nuevo entorno de desarrollo para los clientes de SAP, la Business Technology Platform (BTP) ofrece posibilidades de variación inimaginables y brilla por su fuerte integración con el producto SAP. La adaptación de la nueva plataforma tecnológica en las empresas clientes es rápida y existe una especie de espíritu de optimismo del Salvaje Oeste.
Todavía hay pocas pruebas de gobernanza, estructuras fijas y mejores prácticas, lo que es peligroso desde el punto de vista de la seguridad de la información. Hay clientes que deciden de la noche a la mañana, sin examen previo: ¿quién está autorizado a hacer qué? ¿es necesario? etcétera- encuentran numerosos inquilinos de BTP conectados a su sistema productivo. A menudo no está nada claro dónde residen las responsabilidades, si todos los inquilinos se utilizan de forma productiva y cuáles son los requisitos funcionales individuales que los sustentan. Este es el primer obstáculo.
El segundo obstáculo surge una vez definidas las directrices de gobernanza. Una vez aclarado quién es el responsable de los inquilinos BTP, quién está autorizado a crearlos y quién aprueba un inquilino y cuándo, hay que definir libremente dónde conectar al inquilino.
En este caso no existe un concepto de puesta en escena al que recurrir, ya que las mejores prácticas establecidas en SAP en el pasado sólo funcionan hasta cierto punto en el mundo de la BTP.
Aparte de los nuevos retos en el ámbito de la identidad y el acceso (es decir, aclarar cómo acceden los usuarios a los sistemas, cómo y dónde se aprovisionan y autorizan), también es importante preguntarse si los procesos establecidos por BTP se cumplen y son eficaces a largo plazo.
Esto se hace mediante un sistema de control interno (ICS), que pone a prueba continuamente el nuevo proceso y valida, por ejemplo, si sólo existe un número determinado de administradores para la cuenta BTP global. El hecho de que SAP se tome en serio el tema de la seguridad para BTP queda demostrado, entre otras cosas, por las 103 recomendaciones de seguridad que ya se han publicado.
Directrices BTP
Una vez aclaradas las autorizaciones y la configuración segura, se trata por fin de saber qué pasa en la BTP en términos de contenido. La programación abap/steampunk pura ya no es una obligación allí; se puede desarrollar en Python, por ejemplo. También hay desarrollos en Fiori - aquí también el salvaje oeste en un sentido positivo, es decir, posibilidades de realización sin límites.
Los puntos fuertes de BTP son su conexión e integración con el producto estrella de SAP, S/4 Hana. En principio, sin embargo, es una plataforma de desarrollo libre, con los retos que se aplican a este tipo de plataformas: Se necesita un proceso, un conjunto de normas y directrices para una codificación segura. Hay que desarrollar mecanismos de prueba para reconocer las desviaciones. El primer paso es definir responsabilidades y establecer procesos sobre cómo deben organizarse en detalle las revisiones de supervisión y gobernanza, con bastante independencia de una plataforma de seguridad como SecurityBridge. Esta es la tarea principal cuando se trata de garantizar la seguridad de SAP en la BTP. El siguiente paso es configurar el inquilino BTP y comprobar si hay alguna configuración que represente posibles puertas de enlace. Aquí es donde una solución de seguridad puede apoyar la supervisión creando transparencia y ayudando a reconocer actividades críticas y reaccionar inmediatamente en el proceso de la empresa.
Por muy vanguardista que sea la tecnología, los retos (relacionados con la seguridad) asociados a su uso son igual de grandes. En primer lugar, se necesitan nuevas normas y procesos; después, la seguridad de SAP también está garantizada en la plataforma tecnológica empresarial. Esto será aún más importante si el actual diez por ciento de usuarios de SAP (según las encuestas actuales) se convierte pronto en el 50 por ciento o más que construye extensiones en la nueva plataforma y las utiliza de forma productiva.