Planificación anticipada para una migración segura de SAP S / 4HANA


Los expertos dicen que la presión para pasar a la plataforma de próxima generación de SAP puede ser una gran oportunidad para mover la aguja sobre la ciberseguridad ERP.

Si alguna vez hubo un área madura para cambiar la seguridad a la izquierda del proceso de implementación en el mundo empresarial, el software package de planificación de recursos empresariales (ERP) es el principal candidato. El ERP, que consiste en entornos complejos con mucho código heredado y las tolerancias más escasas para el tiempo de inactividad, generalmente está protegido por controles de seguridad aplicados después del hecho, en lugar de integrarse en la arquitectura desde el primer momento.

Sin embargo, para muchas tiendas SAP, los próximos años podrían ser el momento perfecto para cambiar por completo esa dinámica. Con SAP presionando a los clientes para que migren lejos de Enterprise Suite a S / 4HANA, existe una gran oportunidad para que los equipos de seguridad finalmente avancen en la seguridad de horneado en las implementaciones de SAP en lugar de combinar los controles como una ocurrencia tardía. Las organizaciones que juegan bien sus cartas pueden usar el proceso de migración como una forma de reestructurar y reforzar sus controles de seguridad ERP. Pero requerirá planificación y acción temprana del equipo de seguridad.

Incluso con SAP cediendo un poco en la fecha para abandonar el soporte de Business enterprise Suite, el temporizador está activado para que las organizaciones migren a S / 4HANA. La fecha límite es ahora 2027, lo que podría parecer un futuro lejano para muchos generalistas de TI. Pero en el mundo del program empresarial de misión crítica, esa es una pista más corta de lo que algunas organizaciones pueden darse cuenta, especialmente al tener en cuenta el diseño de la seguridad en las primeras fases del proceso.

Es por eso que los especialistas en seguridad de ERP recomiendan que las organizaciones no se demoren en la planificación de esta migración. A todos los interesados, incluido el equipo de seguridad, les llevará tiempo coordinar su enfoque.

«Dado que SAP ha establecido una fecha límite para admitir las aplicaciones tradicionales de Small business Suite, es mejor que migre lo antes posible para incorporar la seguridad y el cumplimiento como una forma de mitigar los costos y la exposición», dice JP Pérez-Etchegoyen, CTO de la firma de seguridad ERP Onapsis

Abordar la migración lo antes posible dará a los equipos más tiempo para hacer el trabajo de seguridad en el front-conclude del despliegue, lo que no solo fortalecerá la plataforma sino que reducirá el retorno de la inversión y la interrupción a largo plazo, ya que ayudará a los equipos a evitar costosas remediaciones de seguridad una vez que el S / La plataforma 4HANA está en su lugar.

Según un estudio reciente de Turnkey Consulting, más de dos tercios de las organizaciones admiten que la seguridad no recibió suficiente atención en sus implementaciones anteriores de SAP y el 80% admite que los hallazgos de seguridad son comunes durante las auditorías de estos sistemas. Además, debido a la naturaleza de los sistemas ERP, corregir estos hallazgos es muy perjudicial para el negocio. La encuesta mostró que el 75% de los encuestados dice que la reparación de la seguridad de las implementaciones inseguras de SAP tiene un impacto moderado a significant en las operaciones diarias de una empresa.

«Prevenir y mitigar los problemas de seguridad es mucho menos costoso y menos riesgoso que ser reactivo e implementar soluciones después de que las aplicaciones SAP estén listas para la producción», dice Pérez-Etchegoyen. «Esto es especialmente importante cuando hablamos de migración a SAP S / 4HANA».

Limpieza de código

Una de las grandes dificultades es la complejidad del ecosistema de aplicaciones SAP y la exposición a amenazas expandida que viene con cada integración y piezas de código personalizado integradas en la implementación única de una organización. Una de las primeras tareas tempranas que las organizaciones deberían hacer es trabajar para eliminar el código no utilizado antes de la migración.

«La personalización en el código SAP puede conducir a complejidades no deseadas si no se administra», dice Pérez-Etchegoyen. «Use este tiempo para analizar el código personalizado de SAP para realizar la higiene en el código no utilizado. Este proceso asegurará que no está trayendo código pobre y problemas en su nuevo entorno SAP S / 4HANA».

Además, las organizaciones deberían estar haciendo muchos trabajos iniciales considerando no solo cómo protegerán las capas de aplicación del sistema, sino también la capa de la base de datos, dice Jonathan Haun, director senior de inteligencia y tecnología de negocios de la firma consultora de SAP Enowa, y autor de Guía de seguridad de SAP HANA 2..

«Hay dos capas distintas de seguridad en un sistema S / 4HANA. Existen las capas tradicionales del servidor de aplicaciones ABAP, pero también hay una nueva capa de foundation de datos SAP HANA», dice Haun. «Un mistake que a menudo encuentro es que el equipo de seguridad y Basis no puede implementar adecuadamente un modelo de seguridad para gobernar y proteger la foundation de datos SAP HANA que opera la aplicación S / 4HANA».

Como explica, el potencial de fraude y cibercrimen es tan alto en la foundation de datos como en la capa de aplicaciones, y además el diseño de S / 4HANA ha trasladado una gran cantidad de procesamiento de aplicaciones a la base de datos. Sin embargo, los equipos de seguridad tradicionales de SAP tienen poca o ninguna experiencia en la arquitectura de controles de seguridad a nivel de base de datos, y otro aspect que complica aún más las cosas es que no existe una herramienta única para todos los niveles que cubra todas las capas de una implementación de S / 4HANA , él dice.

«No existe una herramienta única que pueda ayudar a una persona de seguridad a administrar todos los aspectos de la capa de aplicación y la seguridad de la capa de base de datos», dice. «Además de esto, las herramientas utilizadas para administrar la capa de aplicación y las capas de la base de datos han evolucionado rápidamente y han cambiado significativamente en un corto período de tiempo. Esto pone restricciones en la disponibilidad de capacitación y también crea mucha confusión».

Esto significa que se requerirá un esfuerzo significant, aprendizaje y capacitación para que las partes interesadas en seguridad se pongan al día sobre la arquitectura de la nueva plataforma SAP antes de que puedan sentar las bases para una migración segura.

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dark Reading through. Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia initial