Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Francisco Martínez Carretero, SAP Platform Foundation Manager de Techedge

Sistemas SAP: el tesoro final de los ciberataques

Antes de empezar, les propongo un experimento. Si están suscritos a boletines de ciberseguridad, revisen los artículos publicados en los últimos años. Podrán comprobar que muy pocos de ellos están dedicados a la seguridad de los sistemas ERP (Enterprise Resource Planning), y menos aún a los sistemas SAP.

Hay centenares de artículos y boletines dedicados a vulnerabilidades en sistemas operativos, routers, dispositivos, aplicaciones para móvil, bases de datos y servidores web. Considerando la importancia de cada uno de estos componentes, el daño económico y a la imagen que produce un deface o un DoS a un servicio puede ser muy considerable. Sin embargo, el lugar donde reside realmente el corazón de las organizaciones, con los datos de empleados, clientes, proveedores, precios, pedidos, pagos bancarios, etc., es en los sistemas ERP, que guardan el tesoro de la información crítica de la organización. En este caso, el daño es mucho mayor si se produce un robo silencioso de información o un fraude económico que las pérdidas ocasionadas por una caída de servicio puntual en el tiempo. El mayor riesgo posible es que la información crítica de nuestra empresa acabe en poder de terceros.

La razón de que habitualmente los ERP queden fuera de la vista de la ciberseguridad se debe a unos pocos factores:

  • Percepción de que son sistemas internos y de uso minoritario.
  • Falta de información técnica, tanto en el lado de la ciberdefensa como en el de los ciberataques.
  • Asunción de que la seguridad interna de la aplicación (por ejemplo, los roles y las autorizaciones de SAP) es suficiente para controlar lo que ocurre en ella.

El hecho es que estos tres factores proporcionan una ilusoria sensación de control. Adicionalmente, las auditorías de seguridad que se realizan en los sistemas SAP están orientadas en particular a aspectos concretos de la segregación de funciones y las autorizaciones críticas, pero dejan fuera del alcance la mayor parte de las fuentes de ciberataques.

Sistemas complejos

Los sistemas SAP son técnicamente complejos. En el sentido vertical, se apoyan en el sistema operativo elegido (Windows, Linux, AIX, etc.) y en una base de datos soportada (HANA, Oracle, DB2, SQLServer). Sobre estas capas, la aplicación posee su propio sistema de seguridad interno basado en autorizaciones para realizar ciertas acciones.

Estas acciones se circunscriben al ámbito interno de la aplicación. En cada una de estas capas deben aplicarse políticas de seguridad horizontal, cuidando de que cada una de ellas esté suficiente protegida, monitorizada y auditada.

Sin embargo, el sistema SAP interactúa con las capas que tiene debajo, a veces de manera muy directa, mediante accesos a las tablas de la base de datos, otras mediante llamadas al sistema operativo o a través del uso directo del sistema de ficheros para intercambiar datos. De manera que existe también un esquema de seguridad vertical, en el cual no solo hay que cuidar el estado de cada capa, sino la interacción entre las capas.

Finalmente, un sistema SAP típico posee un número de interfaces considerable con otros entornos, en una gran variedad de protocolos: acceso directo a ficheros (NTFS/Samba/NFS/SMB), transferencia de ficheros mediante (S)FTP, accesos de entrada y salida por HTTP(S), SOAP, RFC, comunicaciones con la nube mediante Cloud Connector, balanceadores software como SAP Web Dispatcher, o conexiones CPI-C a través SAP Gateway o SAP Router, comunicación con sistemas de desarrollo y test (además de otros servicios y protocolos que no añadiré por cuestiones de espacio y brevedad).

Si hiciéramos una representación gráfica de las vías de acceso a los datos de un sistema SAP, podríamos dibujarlo como un gran centro logístico en el que confluyen una enorme cantidad de autopistas. De hecho es un gran centro logístico en términos de software.

Para leer el artículo completo, aquí.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual