Por qué la seguridad tradicional de la savia no puede proteger contra las amenazas de ciberseguridad


Discutamos por qué la seguridad tradicional de SAP es insuficiente para el ecosistema actual.

La evolución del panorama de SAP con transformaciones digitales, adopción de la nube y más y más integraciones y puntos finales abiertos ha ampliado el panorama de amenazas y la complejidad. Ya no es solo una aplicación interna en la que el control de acceso tradicional y el control de la gobernanza, el riesgo y el cumplimiento (GRC) se limitan principalmente al control lógico y de acceso y la segregación de deberes protegerán su aplicación SAP de las nuevas amenazas de seguridad cibernética, incluidas, pero no limitadas. a ransomware y violaciones de datos.

Discutiremos brevemente todos los cambios que ocurrieron y están sucediendo ahora con los ecosistemas de SAP, que garantiza a los profesionales de seguridad de SAP y al equipo de seguridad cibernética/seguridad de la información (INFOSEC) que se unen para proteger a SAP de las amenazas de ciberseguridad. Ya sea que las organizaciones estén pasando por transformaciones digitales o adopción de la nube, avanzando hacia el uso de paisajes híbridos, dependiendo cada vez más de sistemas/aplicaciones e integraciones de terceros, mitigando riesgos financieros, evitando cualquier fraude y cumpliendo con los requisitos regulatorios, lo más importante es Preservar la confianza de sus clientes.

Transformaciones digitales

Las transformaciones digitales, como todos sabemos, están en todas partes, ya sea digitalización de sus procesos comerciales de la cadena de suministro, finanzas, comercio electrónico, recursos humanos o gestión de relaciones con el cliente (CRM). Las organizaciones, los clientes y sus negocios están adoptando tecnologías digitales a escala rápida. Con el advenimiento de la nube, inteligencia artificial (AI), el aprendizaje automático y la automatización/automatización de procesos de robótica, las aplicaciones empresariales como las proporcionadas por SAP se han vuelto modernas y más amigables con las experiencias de los usuarios como Savia fiori. Este nuevo cambio y esfuerzos de transformación digital ha alterado significativamente el panorama de amenazas para SAP.

La transformación digital y la ciberseguridad van de la mano: Los sistemas SAP ya no son un sistema SAP R/2 o SAP R/3 accedido solo a través del cliente SAP GUI. En el mundo de hoy, SAP proporciona SAP SuccessFactors Digitalización de procesos de recursos humanos, Sap ariba Para la cadena de suministro y la adquisición, SAP está de acuerdo con viajes y gastos, o SAP S/4HANA como su sistema de planificación de recursos empresariales (ERP) principales. Estos sistemas se ofrecen a través de Internet a través de URL o la aplicación móvil; Por lo tanto, solo hacer lo que hemos estado haciendo en torno a SAP desde una perspectiva de seguridad no nos ayudará a protegernos de las amenazas de ciberseguridad y los adversarios.

Además del aumento de la superficie de ataque con la transformación digital y los requisitos de seguridad de datos, privacidad y cumplimiento más complejos, también estamos agregando dependencia de más y más riesgos de terceros. Esto se debe a que la mayoría de las veces, estas transformaciones digitales incluyen terceros/proveedores que ayudan a los clientes a hacer transformaciones digitales, lo que incluye ser un socio de implementación/integrador de sistemas y también ofrecer soluciones, productos y servicios. Si bien todo esto ayuda a las empresas con sus transformaciones desde una perspectiva de costos, también aumenta los requisitos de complejidad y seguridad y gobernanza.

Migraciones en la nube

El ecosistema de SAP se está moviendo a la nube con el empuje de SAP a SAP S/4HANA Cloud a través de la Sube con SAP y Crecer con savia programas (ver figura a continuación); Los clientes han trasladado sus sistemas SAP locales a la nube o lo están evaluando en este momento. El cambio es inminente: incluso si los clientes no se mueven a la versión de SAP de la nube, se están mudando a uno de los principales proveedores públicos de la nube (Amazon Web Services [AWS]Microsoft Azure, Google Cloud Platform [GCP]). La nube es la opción preferida para que los líderes de la organización organicen cualquier recurso, incluido SAP.

Aplicaciones SAP en los diferentes modelos de entrega de servicios en la nube

En la nube, los sistemas SAP ya no están protegidos por la seguridad física y de red del entorno local. El cambio expone vulnerabilidades de SAP y vectores de amenazas inherentes a plataformas en la nube, como el almacenamiento mal configurado o los controles de acceso inadecuados y los riesgos debido a la naturaleza multitenante y compartida de la nube. Además, la naturaleza descentralizada de los servicios en la nube complica la visibilidad y el control, aumentando el riesgo de acceso no autorizado y violaciones de datos.

Las estrategias de seguridad basadas en perímetro tradicionales deben actualizarse con la nube, lo que requiere más dinámica y un enfoque multicapa. La transición requiere un replanteamiento fundamental de las estrategias de seguridad para proteger el entorno SAP de manera efectiva en el nuevo mundo de la nube. El modelo en la nube también significa que está subcontratando mucha responsabilidad de seguridad con el proveedor de servicios en la nube y el tercero mientras se traslada a un modelo de responsabilidad compartida. La mayoría de las veces, hay una falsa sensación de seguridad en torno a la nube, ya que incluso con la nube, la responsabilidad de seguridad final radica solo en los clientes.

Paisajes híbridos

Como discutimos, el cambio de SAP hacia la nube y con las adquisiciones de SAP a lo largo de los años, especialmente con aplicaciones de software como servicio (SaaS) como SAP SuccessFactors, SAP Aiba y su nuevo Plataforma de tecnología empresarial de SAP (SAP BTP), los paisajes SAP de la mayoría de los clientes ya son paisajes híbridos. Con el panorama híbrido de SAP (ver la siguiente figura), los procesos comerciales críticos abarcan los sistemas y también se distribuyen datos y aplicaciones confidenciales. El paisaje mixto complica la aplicación de políticas y la gestión de la identidad, por lo que asegurar el paisaje y la seguridad tradicional de la savia no sería suficiente.

La realidad de los paisajes de SAP en el mundo interconectado de hoy: escenarios híbridos

Tercero: integraciones e interfaces abiertas

Como ya se discutió, las organizaciones en un viaje de transformación digital se están moviendo a arquitecturas empresariales más complejas. El panorama empresarial está involucrado, donde usan diferentes proveedores y terceros para soluciones adicionales, lo que resulta en muchas integraciones abiertas, interfaces y API tanto entrantes como salientes con SAP. Las integraciones abiertas y las API exponen los sistemas SAP a entornos externos, aumentando los puntos de entrada potenciales a los ataques cibernéticos. Cada integración e interfaz aporta más complejidad, y como la mayoría de las actividades del equipo de seguridad de SAP, incluido GRC, se han limitado a las aplicaciones SAP, estas integraciones e interfaces de terceros también deben asegurarse.

Mitigación de riesgos financieros

La mitigación de riesgos financieros implica identificar, analizar y tomar medidas para minimizar o controlar la exposición a amenazas que podrían conducir a pérdidas financieras. Estos riesgos pueden surgir de varias fuentes, como fluctuaciones del mercado, fallas operativas, problemas de crédito, etc. Debido a que SAP posee las joyas de la corona de la organización, incluidos procesos comerciales financieros confidenciales, datos y transacciones, y es un sistema de registro de informes financieros y contables, se está convirtiendo en un objetivo principal de los ataques cibernéticos. Una violación puede conducir a una pérdida económica sustancial; Por lo tanto, incorporar medidas de seguridad cibernética robusta en la seguridad tradicional de SAP y GRC es más crítico que nunca.

Aunque SAP tiene la ventaja de tener procesos y tecnologías GRC maduros con las soluciones SAP GRC (en particular, Control de acceso de SAP y control de procesos de SAP), puede estar mejor preparado o al menos mejor auditado debido al cumplimiento de informes financieros y contables (por ejemplo, con Sarbanes-Oxley [SOX]). El trabajo de Sox y GRC se limita al control lógico, el control de acceso y la gestión del cambio desde la perspectiva de SAP, así como generalmente limitada a la capa de aplicación. Sin embargo, debe ir más allá e incorporar una mentalidad de ciberseguridad y procesos para mitigar los riesgos financieros.

Prevención de fraude

Las medidas de seguridad de SAP tradicionales a menudo son inadecuadas para prevenir el fraude en el ecosistema SAP debido a varios factores:

  • Falta de monitoreo en tiempo real: Las soluciones tradicionales de seguridad de SAP a menudo no proporcionan capacidades de monitoreo en tiempo real. Este retraso en la detección de violaciones de seguridad o actividades sospechosas permite a los estafadores más tiempo para infligir daños o cubrir sus huellas, obstaculizando significativamente la intervención y la respuesta oportunas.
  • Alcance limitado: Las medidas de seguridad de SAP tradicionales tienen un alcance limitado, centrándose en las finanzas y la contabilidad, principalmente relacionadas con los controles de los SOX que se limitan al control lógico y de acceso. Además de los controles de gestión de identidad y acceso de SAP, los controles de red y perímetro, como firewalls, constituyen el único otro alcance. Este alcance limitado no aborda el espectro más amplio de actividades fraudulentas que pueden ocurrir en los niveles de aplicación, base de datos o del sistema operativo, dejando riesgos y vulnerabilidades significativas sin abordar.
  • Sin análisis de comportamiento: La seguridad tradicional de SAP no ofrece e incorpora análisis de comportamiento, una herramienta esencial para identificar y comprender las actividades inusuales del usuario que podrían indicar fraude potencial. Sin esto, los patrones anómalos que se desvían del comportamiento regular del usuario, a menudo un signo revelador de fraude, pasan desapercibidos.
  • Dependencia de los procesos manuales: Aunque las soluciones de SAP GRC tienen algunas capacidades de monitoreo continuo, en general, aún dependemos de muchos procesos manuales, ya sea analizando registros de auditoría o analizando incidentes que ocurrieron en los sistemas SAP. Confiar en gran medida de los procesos manuales para las verificaciones de seguridad aumenta el riesgo de error humano y supervisión. Los procesos manuales requieren mucho tiempo y menos efectivos que las verificaciones sistemáticas automatizadas para identificar constantemente actividades fraudulentas complejas.

Cumplir con las regulaciones

El mundo de SAP ha cumplido con SOX durante años, ya que los sistemas SAP son utilizados como un sistema financiero y contable básico por las organizaciones líderes, incluidas, entre otras, empresas públicas de los Estados Unidos. Con SAP GRC Solutions, el entorno de control de SAP es bastante maduro con respecto a las finanzas y la contabilidad relacionadas con los SOX. Aún así, con el advenimiento de las transformaciones en la nube y digital y un mundo digital abierto, hay más regulaciones más allá de SOX, como la privacidad y la regulación de los datos en Europa, la regulación general de la protección de datos (GDPR) y otras reglas en todo el mundo. El número de reglas en todo el mundo está aumentando, lo que requiere más cumplimiento local para las empresas. Hacer lo que hacemos hoy desde SAP Security es insuficiente y no protegerá el panorama de SAP.

Preservar la confianza del cliente

Hacer todo lo que pueda desde una perspectiva de ciberseguridad y no solo limitarse a la seguridad tradicional de SAP es primordial para las organizaciones. Las organizaciones deben hacer su diligencia debida para proteger los datos de los clientes y retener la confianza del cliente. Una violación de seguridad es una cuestión de cuándo sucederá, no si sucederá; Los líderes de la compañía, el Director de Seguridad de la Información (CISOS) y los líderes de SAP deben darse cuenta de que simplemente hacer seguridad tradicional de SAP y GRC no son suficientes para proteger a SAP y preservar la confianza del cliente en el mundo digital actual. Desde una perspectiva de SAP, un cliente puede ser un empleado interno que utiliza el sistema de recursos humanos SAP SuccessFactors, un proveedor que utiliza SAP ABIBA o simplemente un usuario comercial que usa SAP S/4HANA FINANCE o procesos comerciales de la cadena de suministro. Mantener la confianza implica varias prácticas vitales:

  • Protección de datos robusta: Implemente medidas de seguridad de datos sólidas para salvaguardar la información del cliente del acceso y las infracciones no autorizadas.
  • Transparencia: Sea transparente sobre cómo se usan, almacenan y protegen los datos del cliente. La comunicación clara sobre las políticas y procedimientos de datos ayuda a generar confianza.
  • Respuesta rápida de incidentes: Con un incidente de seguridad o violación de datos, una respuesta de incidente rápida y efectiva es crítica. Esto incluye notificar a los clientes afectados y tomar medidas inmediatas para mitigar cualquier daño.
  • Mejora continua: Actualizar regularmente y mejorar las medidas de seguridad en línea con las amenazas en evolución muestra un enfoque protector para proteger los datos de los clientes.
  • Compromiso del cliente: El compromiso activo con los clientes para comprender sus inquietudes y comentarios es crucial para diseñar la seguridad holística en torno a los ecosistemas de SAP.

Nota del editor: esta publicación ha sido adaptada de una sección del libro Ciberseguridad para SAP por Gaurav Singh y Juan Pérez-Detchegoyen.



Leave a Comment

Your email address will not be published. Required fields are marked *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.