El pasado 29 de marzo desde Inprosec realizamos un webinar sobre “Controles de seguridad en sistemas SAP” impartido por Miguel Fonte Díaz, consultor de SAP. El mismo se impartió desde la plataforma de CUVIV con dos sesiones de una hora de duración cada una, una matinal para público residente en Europa y otra de tarde para el público de Latam.
Este webinar estuvo dirigido a usuarios con nociones de SAP que buscasen ampliar sus conocimientos y los mismos pudieron intervenir al final de la sesión.
A continuación, te dejamos con los contenidos que se impartieron en el webinar:
Debido a una mayor informatización y digitalización de los procesos empresariales, cada vez cobra una mayor importancia para las organizaciones la seguridad en sus sistemas para prevenir posibles incidentes que afecten a la producción, información o gestión de estas, y se ha comenzado a priorizar en mayor medida la seguridad de sus sistemas.
Todas las organizaciones deberían contar con un conjunto mínimo de controles para garantizar la seguridad de la información en sus tres aspectos clave: confidencialidad, disponibilidad e integridad.
Primeros pasos de SAP hacia mayor seguridad
Alrededor de 2015-2020 se produce el punto de inflexión donde las diferentes organizaciones comienzan a percibir la seguridad de sus sistemas como una prioridad.
Por ello, en el año 2019, SAP implementa una serie de configuraciones técnicas a nivel de seguridad que comenzarán a aplicarse por defecto en todos los nuevos sistemas SAP que se implementen desde ese momento, y que aumentarán de forma considerable los mínimos de seguridad aplicados a los sistemas.
Toda esta configuración ya estaba disponible desde años atrás en los sistemas SAP, pero cada cliente debía configurarlo en esos niveles de seguridad más altos de forma manual.
SAP Security Baseline
Tras esta primera medida tomada por SAP, un tiempo después SAP decide publicar lo que va a ser llamado la SAP Security Baseline.
Este documento es básicamente una serie de controles de seguridad que SAP define como mínimos para monitorizar y garantizar la seguridad de sus sistemas, y se encuentran detalladas en la siguiente nota publicada por SAP: 2253549.
Estas recomendaciones pueden ser descargadas e implementadas para su monitorización en algunas de las herramientas de monitorización de los sistemas ofrecidas por SAP.
En este punto es donde desde Inprosec intentamos apoyar a nuestros clientes, ofreciendo una configuración de seguridad que, si bien está basada en la Security Baseline, ofrece otros beneficios para el control de la seguridad:
- Descripciones detalladas de todos los controles
- Clasificación de los controles por grupos
- Detalle del posible impacto de implementar ese control en el sistema
- Más de 70 controles a mayores que pueden ser configurados con la Security Baseline
Controles Seguridad
ABAP
El primer grupo para el que SAP ha diseñado controles de seguridades serían los sistemas de tipo ABAP.
En estos sistemas, podemos dividir los diferentes controles en 5 grupos principales:
- Seguridad ABAP
- Software
- Parámetros de la instancia
- Actualización componentes
- Cambios en el sistema
JAVA
El segundo grupo que se revisará serán los sistemas de tipo JAVA.
En estos sistemas, podemos dividir los diferentes controles en 3 grupos principales:
- Software
- Parámetros del sistema
- Servicios conectados
HANA Database
El tercer grupo que se revisará serán los sistemas de tipo HANA Database, donde los grupos más relevantes serían:
- Gestión de usuarios
- Auditoría y trazabilidad
- Protocolos de seguridad
- Software
Business Technology Platform (BTP)
El último grupo que se revisará serán los sistemas de tipo SAP BTP.
La principal diferencia con relación a este tipo de sistemas es que la configuración y gestión de la herramienta de control de seguridad es realizada por el propio SAP.
Todos los pasos que se tendrían que dar para solicitar este informe estarían detallados en el siguiente blog publicado por SAP: New Security Optimization Service Continuous Quality Check for SAP Business Technology Platform (CQC SOS for BTP)
Solution Manager – Configuration Validation
Configuration Validation es una herramienta de SAP Solution Manager que permite comprobar si los sistemas SAP están configurados de manera coherente y segura con los requisitos definidos por la compañía.
Para revisar estos controles, se podría establecer como Target System un sistema de referencia virtual que contenga los parámetros revisados por la SAP Security Baseline y las modificaciones oportunas.
Existe la opción de analizar los informes en tiempo real a través de la aplicación de reporting que ofrece la herramienta.
Otra opción sería programar los informes para que sean ejecutados de forma periódica y enviados por email a los interesados.
Por último, una ventaja relevante para utilizar esta herramienta sería que el informe enviado por correo electrónico podría utilizarse para alimentar un dashboard de la seguridad de los sistemas SAP en PowerBI.