{"id":60926,"date":"2016-05-02T14:38:51","date_gmt":"2016-05-02T12:38:51","guid":{"rendered":"https:\/\/e3magpmp.greatsolution.dev\/?p=60926"},"modified":"2019-07-11T14:49:35","modified_gmt":"2019-07-11T12:49:35","slug":"sap-and-security-dos-mundos-separados","status":"publish","type":"post","link":"https:\/\/e3magpmp.greatsolution.dev\/es\/sap-and-security-dos-mundos-separados\/","title":{"rendered":"SAP y seguridad: \u00bfdos mundos separados?"},"content":{"rendered":"

S\u00f3lo una estrategia de ciberdefensa integrada que tenga en cuenta toda la TI puede eliminar las posibles vulnerabilidades y proteger de forma fiable contra las amenazas.<\/p>\n

La creciente amenaza generalizada a la seguridad inform\u00e1tica ha llevado a muchas empresas a iniciar proyectos de seguridad, pero excluyendo el mundo SAP. Esto ya no es aceptable hoy en d\u00eda, sobre todo porque los datos SAP suelen ser cr\u00edticos para la empresa.<\/p>

\"\"<\/a><\/div>
\"\"<\/a><\/div>
\"\"<\/a><\/div>\n

Pero, \u00bfa qu\u00e9 se debe la insuficiente consideraci\u00f3n del tema de la seguridad en SAP? Hay varias razones para ello. Por ejemplo, el tema de la seguridad SAP no suele figurar en la agenda inform\u00e1tica del CISO porque se considera demasiado complejo y muy especializado.<\/p>\n

As\u00ed lo demuestra la experiencia de NTT Com Security en numerosos proyectos para clientes en los \u00e1mbitos de la seguridad de la informaci\u00f3n y la gesti\u00f3n de riesgos. Adem\u00e1s, los departamentos SAP suelen ser unidades aut\u00f3nomas que quieren mantener su independencia y a veces se muestran reacios a dejarse influir por el resto de TI.<\/p>\n

Adem\u00e1s, los departamentos de TI de SAP carecen a menudo de los conocimientos de seguridad necesarios en todos los \u00e1mbitos. SAP ha lanzado recientemente al mercado una serie de productos de seguridad, como SAP Single Sign-On para el acceso seguro a sistemas SAP y ajenos a SAP o SAP Identity Management para la administraci\u00f3n eficiente de usuarios, SAP Access Control para la asignaci\u00f3n de autorizaciones conforme a las normas y la legislaci\u00f3n o Code Vulnerability Analyzer para la comprobaci\u00f3n autom\u00e1tica y manual del c\u00f3digo fuente.<\/p>\n

SAP ha desarrollado las soluciones SAP Enterprise Threat Detection y SAP Fraud Management para la identificaci\u00f3n en tiempo real de ataques e intentos de fraude. Sin embargo, la mera disponibilidad de estas herramientas no significa que se utilicen de forma generalizada:<\/p>\n

Por ejemplo, SAP Enterprise Threat Detection, que permite evaluar y analizar los eventos de seguridad relevantes para la seguridad en todo el entorno del sistema SAP y que tambi\u00e9n se dise\u00f1\u00f3 para conectarse a los sistemas SIEM tradicionales, todav\u00eda no ha sido utilizado por muchas empresas.<\/p>\n

Pero incluso si se utilizan herramientas de seguridad SAP aisladas por parte de la empresa, sigue existiendo un problema: S\u00f3lo una soluci\u00f3n de seguridad totalmente integrada ofrece una protecci\u00f3n fiable; con un mosaico de soluciones y aplicaciones aisladas, los sistemas siguen siendo vulnerables.<\/p>\n

Pero en muchas empresas siguen existiendo silos de seguridad ineficaces. As\u00ed se desprende de un reciente estudio de Dell en el que participaron 175 empresas alemanas. Una de las principales conclusiones fue que la seguridad inform\u00e1tica suele organizarse en funci\u00f3n de las aplicaciones y es responsabilidad de distintos departamentos de la empresa.<\/p>\n

S\u00f3lo el 23% de las empresas encuestadas cuenta con un departamento central de seguridad inform\u00e1tica que incluya tambi\u00e9n el entorno distribuido de aplicaciones y SAP.<\/p>\n

Mundos separados y brechas de seguridad<\/h3>\n

El hecho de que a menudo dominen dos mundos ya resulta evidente en un tema tan sencillo como la administraci\u00f3n de usuarios. Aqu\u00ed, el statu quo en muchas empresas sigue siendo que el entorno SAP est\u00e1 separado del resto de TI y los conceptos de autorizaci\u00f3n no se aplican en toda la empresa.<\/p>\n

Hoy en d\u00eda, en casi todas las empresas, el servicio de directorio Microsoft Active Directory (AD) es un elemento central de toda la infraestructura. El AD asume diversas tareas que van mucho m\u00e1s all\u00e1 de la mera administraci\u00f3n de cuentas de usuario e incluyen tambi\u00e9n, por ejemplo, la autenticaci\u00f3n y autorizaci\u00f3n de sistemas no basados en Windows, como servidores Linux o aplicaciones. Sorprendentemente, sin embargo, a menudo se deja de lado un \u00e1rea: la infraestructura SAP.<\/p>\n

Sin embargo, la integraci\u00f3n es s\u00f3lo una cara de la moneda, igual de importante es la eliminaci\u00f3n de las lagunas de seguridad existentes, y \u00e9stas son habituales en el mundo SAP. Por ejemplo, falta la activaci\u00f3n del cifrado o la separaci\u00f3n de las autorizaciones administrativas.<\/p>\n

A menudo no hay segmentaci\u00f3n de frontend y backend y no se aplica una estrategia de gesti\u00f3n de parches. Otro problema central es que, especialmente en el entorno SAP, los conceptos de autorizaci\u00f3n de acceso y los procedimientos de gesti\u00f3n de cambios a menudo s\u00f3lo se aplican desde la perspectiva del usuario, y no desde la perspectiva de la seguridad.<\/p>\n

Los retos son, por tanto, evidentes, y la propia SAP tambi\u00e9n est\u00e1 abordando cada vez m\u00e1s la cuesti\u00f3n de la seguridad en el marco de varias iniciativas. El experto en seguridad NTT Com Security est\u00e1 invirtiendo en cooperaci\u00f3n con SAP para poder ofrecer a los clientes conceptos de soluciones integrales.<\/p>\n

Mientras que SAP se siente como en casa en SAP IT, NTT Com Security tiene tanto conocimientos de SAP como acceso al departamento general de IT, que es responsable de la seguridad de IT en toda la empresa. De este modo, NTT Com Security puede asumir un \"papel de mediador\", por as\u00ed decirlo, en cuestiones de seguridad de datos cr\u00edticos para la empresa.<\/p>\n

La ciberamenaza para las aplicaciones SAP s\u00f3lo puede evitarse de forma fiable integr\u00e1ndola en la estrategia global de seguridad de una empresa. Esto significa que es de importancia elemental que el mundo SAP tambi\u00e9n se tenga en cuenta en el contexto de los proyectos de seguridad y en la aplicaci\u00f3n de una estrategia hol\u00edstica de ciberdefensa.<\/p>\n

Al aplicar una estrategia de este tipo, debe optarse por un enfoque secuencial. El punto de partida es el an\u00e1lisis y el perfil de riesgo del entorno inform\u00e1tico, incluido el entorno SAP; la implantaci\u00f3n de la herramienta es s\u00f3lo el final de la cadena de procesos.<\/p>\n

La evaluaci\u00f3n de riesgos (risk insight) implica la clasificaci\u00f3n de todos los procesos y datos que merece la pena proteger, naturalmente tambi\u00e9n dentro del mundo SAP. Todas las dem\u00e1s medidas en el marco de una estrategia de ciberdefensa integral deben basarse en ella. Los elementos centrales son los cuatro pilares de prevenci\u00f3n, detecci\u00f3n, defensa y reacci\u00f3n.<\/p>\n

En el \u00e1mbito de la prevenci\u00f3n, la atenci\u00f3n se centra en la gesti\u00f3n de infraestructuras y redes por parte de la empresa, con medidas de seguridad cl\u00e1sicas como la protecci\u00f3n perimetral con pasarelas de correo electr\u00f3nico que incluyan filtros de spam y malware, cortafuegos de nueva generaci\u00f3n, sistemas VPN o soluciones de sandboxing din\u00e1mico.<\/p>\n

Por otro lado, tambi\u00e9n hay que prestar m\u00e1s atenci\u00f3n a las aplicaciones empresariales cr\u00edticas para la empresa (SAP) y a los propios datos, y protegerlos en consecuencia.<\/p>\n

El siguiente paso es la detecci\u00f3n, es decir, un an\u00e1lisis exhaustivo de la seguridad con la evaluaci\u00f3n de datos en tiempo real y una supervisi\u00f3n proactiva. Una supervisi\u00f3n eficaz no se limita a los registros y avisos del sistema, sino que tambi\u00e9n incluye, por ejemplo, an\u00e1lisis del comportamiento del entorno inform\u00e1tico de una empresa, que pueden utilizarse para descubrir procesos inusuales.<\/p>\n

Un componente indispensable de una soluci\u00f3n de seguridad global es la capacidad de detectar las amenazas en una fase temprana, es decir, el uso de sistemas de detecci\u00f3n precoz. Es evidente que una empresa dif\u00edcilmente puede realizar una protecci\u00f3n integral contra los ciberataques de forma totalmente aut\u00f3noma, ya que, por un lado, la situaci\u00f3n de las amenazas es demasiado heterog\u00e9nea y, sobre todo, demasiado din\u00e1mica y, por otro, los costes son demasiado elevados.<\/p>\n

Aqu\u00ed es donde entran en juego los SOC (Centros de Operaciones de Seguridad) de los proveedores de Servicios de Seguridad Gestionados (MSS) como centros de defensa proactiva para las empresas.<\/p>\n

Por \u00faltimo, pero no por ello menos importante, una empresa tambi\u00e9n debe estar preparada para una emergencia, lo que se denomina un incidente, porque es probable que la protecci\u00f3n al 100% siga siendo una utop\u00eda. Esto significa que debe establecerse un procedimiento de respuesta a incidentes, al que pueda recurrirse en caso de peligro y que evite una salida involuntaria de datos.<\/p>\n

Una cosa debe quedar clara: Los hackers no distinguen entre aplicaciones SAP y TI en general. Lo importante a la hora de implementar una estrategia de ciberdefensa es, por tanto, el enfoque hol\u00edstico que integra la supervisi\u00f3n y la seguridad de la infraestructura SAP como un importante factor de \u00e9xito. S\u00f3lo con un concepto tan amplio puede un usuario de SAP alcanzar hoy en d\u00eda la m\u00e1xima seguridad inform\u00e1tica y de la informaci\u00f3n.<\/p>","protected":false},"excerpt":{"rendered":"

Las empresas conceden la m\u00e1xima prioridad a la seguridad inform\u00e1tica, pero el mundo SAP suele quedar fuera de la ecuaci\u00f3n. Este enfoque ya no responde a las exigencias actuales. <\/p>","protected":false},"author":100,"featured_media":60767,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"rank_math_lock_modified_date":false,"footnotes":""},"categories":[5,1605],"tags":[5238,369,15155],"coauthors":[26015,32783],"class_list":["post-60926","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-infrastruktur","category-mag1604","tag-change-management","tag-it","tag-risikomanagement"],"featured_image_urls_v2":{"full":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"thumbnail":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-150x150.jpg",150,150,true],"medium":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",400,155,false],"medium_large":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-768x297.jpg",768,297,true],"large":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"image-100":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-100x39.jpg",100,39,true],"image-480":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-480x186.jpg",480,186,true],"image-640":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-640x248.jpg",640,248,true],"image-720":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-720x279.jpg",720,279,true],"image-960":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"image-1440":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"image-1920":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"1536x1536":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"2048x2048":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"bricks_large":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"bricks_medium":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016.jpg",600,232,false],"profile_24":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3magpmp.greatsolution.dev\/wp-content\/uploads\/2019\/07\/2016-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Unternehmen r\u00e4umen IT-Sicherheit h\u00f6chste Priorit\u00e4t ein, die SAP-Welt bleibt oft unber\u00fccksichtigt. Heutigen Anforderungen wird dieses Vorgehen nicht mehr gerecht. <\/p>\n","category_list_v2":"IT Management<\/a>, MAG 16-04<\/a>","author_info_v2":{"name":"Kai Grunwitz, NTT Security","url":"https:\/\/e3magpmp.greatsolution.dev\/es\/author\/kai-grunwitz\/"},"comments_num_v2":"0 comentarios","acf":[],"_links":{"self":[{"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/posts\/60926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/users\/100"}],"replies":[{"embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/comments?post=60926"}],"version-history":[{"count":0,"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/posts\/60926\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/media\/60767"}],"wp:attachment":[{"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/media?parent=60926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/categories?post=60926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/tags?post=60926"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3magpmp.greatsolution.dev\/es\/wp-json\/wp\/v2\/coauthors?post=60926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}