Una nueva comprensión de la seguridad
Según un informe publicado en Der Spiegel el 7 de marzo de este año, un informe de situación especial de la Oficina Federal de Seguridad de la Información (BSI) advierte al Gobierno alemán de que Alemania podría enfrentarse pronto a un ataque contra "objetivos de alto valor" en relación con la invasión rusa de Ucrania: Desde el comienzo de la crisis, se ve "Los ciberataques, por ejemplo contra proveedores de energía o instalaciones militares, en los círculos de seguridad como actualmente la mayor amenaza para Alemania".
La Oficina Federal para la Protección de la Constitución advierte de que los servicios de inteligencia rusos tienen capacidad para "sabotear de forma significativa y duradera" infraestructuras críticas. Sin embargo, esta evolución no es nueva: el Informe AXA sobre Riesgos Futuros 2021 ya describe los riesgos que plantean los ciberataques como la segunda amenaza mundial más importante después del cambio climático e incluso antes que las pandemias.
Arquitecturas kritis
Nadie quiere imaginarse las consecuencias de un ataque informático a una central nuclear o a un sistema de abastecimiento de agua. O incluso si los atacantes consiguieran cortar el suministro eléctrico de forma generalizada. Las infraestructuras críticas afectan a muchos ámbitos de la vida cotidiana. Además del Estado y la Administración, la energía y el agua, también incluyen la sanidad, la alimentación, el transporte y el tráfico, las finanzas y los seguros, las tecnologías de la información y las telecomunicaciones, los medios de comunicación y la cultura. Su situación de amenaza se aborda en la nueva Ley de Seguridad Informática SiG 2.0, que entró en vigor a principios de año.
La Ley de Seguridad exige medidas procedimentales, directivas y reactivas, incluida la supervisión de la seguridad en los sistemas, medidas de supervisión para endurecer los sistemas de antemano según las normas del mercado. Y hay requisitos específicos sobre cómo construir arquitecturas kritis. Es obligatorio definir la infraestructura y los procesos de tal manera que posteriormente puedan ser auditados y aceptados con respecto a SiG 2.0. Esta calidad de la arquitectura y los procesos debe demostrarse cada dos años y exige un cambio de mentalidad: no se puede seguir haciendo simplemente lo que siempre se ha hecho, sino que hay que cumplir unos requisitos específicos.
Un punto importante de la ley de seguridad es: se ha redefinido la responsabilidad y los mecanismos de vigilancia y control deben estar integrados y ser ahora evaluables en tiempo real. Esto se corresponde con nuestra experiencia de los últimos años: la mayoría de ellos funcionaban de forma puramente funcional y no disponían de tecnología de sensores con la que hubiéramos podido ser detectados de alguna forma, por ejemplo, durante las pruebas de penetración encargadas. Y si lo conseguimos durante la prueba de penetración acordada, también lo conseguirá un atacante real.
Esto significa que, hasta ahora, las empresas normalmente sólo podían detectar sus carencias cuando ya se había producido un incidente de seguridad grave, y no quedaba claro desde cuándo se había explotado esa vulnerabilidad. Por tanto, además de la oficina general de información sobre seguridad informática a nivel nacional, lógicamente ahora también la BSI podrá detectar riesgos de seguridad. El llamado párrafo hacker permite a la BSI "atacar" empresas e infraestructuras para exigir posteriormente la aplicación de medidas técnicas y organizativas. La intención es clara: el malware, las vulnerabilidades de seguridad y los riesgos deben encontrarse y eliminarse de forma proactiva.
Ejemplo SAP
El ejemplo de los entornos de sistemas SAP muestra que los requisitos de la SiG 2.0 también van en la dirección correcta para las empresas no críticas, pero naturalmente no pueden cubrir todos los puntos débiles. En el caso de S/4, por ejemplo, los requisitos han vuelto a cambiar, la base de datos, la interfaz de usuario, el gateway, las aplicaciones y las autorizaciones se han aproximado, el acceso a datos importantes se ha vuelto más complejo y, por tanto, también más difícil de supervisar. SiG 2.0 requiere una planificación detallada de la continuidad del negocio y escenarios de recuperación de desastres con el uso de sistemas de detección de intrusos (IDS) de acuerdo con el "estado del arte" (§8a).
Los IDS detectan y concretan los ataques con ayuda de los archivos de registro, que ahora no sólo deben registrarse, sino también evaluarse. Esto significa que los sistemas SIEM serán indispensables en el futuro para identificar rápidamente los ciberataques, aunque a menudo no sean suficientes para SAP. Esto se debe a que examinan principalmente las infraestructuras y aquí SAP, como sistema en gran medida independiente, queda fuera de la red de detección si no se utiliza la experiencia de los profesionales de seguridad de SAP y un software especial.
A través de su integración con la herramienta SIEM, todos los incidentes relevantes para la seguridad de los entornos SAP pueden consolidarse con otros sistemas de TI relevantes y el cuadro de mandos integrado crea además transparencia en todos los sistemas. De este modo, las empresas críticas y cualquier persona con una necesidad realista de seguridad reciben una representación basada en un cuadro de mando evaluado y documentación de todo su estado de seguridad con sólo pulsar un botón. Por lo tanto, en el caso de SAP, la participación de un socio de seguridad profesional es esencial para la aplicación inmediata de SiG 2.0.
De este modo, el actual cliente de SAP rku-it, como proveedor de servicios informáticos para proveedores de energía, no sólo ha cumplido eficazmente los requisitos de la nueva Ley de Seguridad Informática 2.0, sino que al mismo tiempo ha aumentado la seguridad de auditoría del entorno del sistema SAP. Mediante el uso de Sast Suite, se pudieron realizar derivaciones de los roles de plantilla en función de la organización de los clientes. En funcionamiento, se utiliza para validar los roles y autorizaciones para la seguridad y SoD, para el análisis de uso, la optimización posterior de roles y autorizaciones y para el uso de la funcionalidad de usuario de emergencia para tareas de soporte de los empleados de rku-it.
Problemas y oportunidades
Un grave problema para una estrategia de seguridad holística orientada hacia la SiG 2.0 sigue siendo la falta de enfoque. La dirección debe abordar esta cuestión con la urgencia y el orden de prioridades que ahora se requieren y, en consecuencia, también centrarse y poner recursos a disposición. Esto requiere atención, personal y, por supuesto, dinero. Pero todavía se observa en muchas empresas que la formación de puestos, departamentos, unidades de personal sigue siendo a menudo tan madrastra incluso en una organización que se preocupa por la disponibilidad y la seguridad, como si esto fuera opcional. Sin embargo, debido a la evolución actual, esta configuración y disponibilidad deben considerarse sencillamente un requisito, no sólo para los operadores de Kritis, y cuesta primero una inversión de arriba abajo.
SiG 2.0 y conversión
Volviendo al ejemplo de SAP: Una próxima migración a S/4 también puede aprovecharse como una oportunidad para elevar la propia seguridad informática a un nuevo nivel desde la perspectiva de la SGI 2.0. Ofrece la oportunidad de limpiar las antiguas interfaces y, sobre todo, de estandarizarlas. Los operadores críticos, como las empresas de servicios públicos, serían un caso clásico en este sentido. Hay cadenas de procesos muy largas, puntos de medición, operadores de puntos de medición, facturación, separación de distribución y red. Sistemas muy complejos, en los que también se tiene en cuenta el hecho de que el negocio está muy estandarizado a través de los requisitos reglamentarios, el software, los procesos, y estas son cosas que se pueden escalar muy bien, donde se pueden crear buenas plantillas para la energía, el gas y el agua, armonizar las interfaces y luego introducir las plantillas para las autorizaciones, los usuarios y los procesos. Se gana mucho en seguridad cuando se estandarizan las cosas para que funcionen de la misma manera y los procesos se ejecuten de la misma manera.
Competencia en materia de seguridad
Ralf Kempf y su equipo trabajan para unos 200 clientes en el entorno de la ciberseguridad y la gobernanza del acceso de SAP, entre ellos muchos operadores de Kritis: conocemos los retos a los que se enfrentan ahora los operadores de Kritis y les ayudamos a cumplir eficazmente los requisitos de SiG 2.0 al tiempo que aumentamos la seguridad de su entorno de sistemas SAP. Así pues, los tiempos en que las empresas podían permitirse tratar su seguridad informática como una madrastra han pasado a la historia, y esto no sólo se aplica a los operadores de Kritis. Por lo tanto, es crucial contar con un enfoque y una estrategia de seguridad holísticos que unan todos los temas y tengan en cuenta los escenarios de amenazas actuales.