Mi viaje hacia la seguridad de SAP



Cuando las aplicaciones son críticas para las funciones centrales de la empresa, el CISO y su particular obtienen la seguridad adecuada.

Hace solo unos años que obtuve la religión por primera vez en la ciberseguridad de SAP. Me desempeñaba como director de seguridad de la información (CISO) de un gran minorista. La empresa había comenzado a migrar de varias soluciones tecnológicas a un entorno SAP. Como CISO, tenía la responsabilidad de garantizar que todas las implementaciones de tecnología fueran seguras y resistentes. Lo que inicialmente me llamó la atención con este proyecto fue la importancia de las aplicaciones SAP para las funciones centrales del negocio. Si se interrumpiera SAP, el impacto comercial podría ser catastrófico.

La documentación del proyecto identificó que, en el futuro, la empresa aprovecharía las aplicaciones de SAP para gestionar la cadena de suministro, el inventario de productos y los informes financieros de la empresa, y tendría conexiones B2B con terceros para el soporte de estas funciones comerciales críticas. Naturalmente, esto llamó mi atención y sabía que si no lograba crear un sólido proceso de seguridad y gobierno en torno a estas aplicaciones de SAP, no estaría asegurando las funciones comerciales más críticas de la organización.

Cada empresa hace negocios de forma única y, por lo tanto, cada líder de seguridad tiene el desafío de comprender los aspectos específicos del panorama de aplicaciones críticas de la empresa, de modo que puedan personalizar las prioridades de seguridad y los gastos para proteger mejor su organización. Con esto en mente, tenía un nuevo enfoque en proteger a SAP para proteger las funciones comerciales centrales que admite.

Comencé a ver cómo otras organizaciones aseguraban sus aplicaciones SAP y me sorprendió ver los modelos de seguridad anticuados que todavía utilizan muchas empresas. SAP proporciona un ecosistema sofisticado de aplicaciones creado por SAP y sus socios. Estas aplicaciones funcionan de manera armoniosa para habilitar y respaldar funciones comerciales críticas, muy parecidas a las planificadas por mi organización.

Además, SAP tiene su lenguaje de codificación personalizado, conocido como Programación avanzada de aplicaciones comerciales, o ABAP, que proporciona potentes capacidades de manipulación de datos y generación de informes. Más tarde descubriría que las organizaciones suelen tener millones de líneas de código ABAP personalizado y que la mayoría de las herramientas de seguridad de código no revisan este código personalizado. Mi nivel de preocupación aumentó aún más.

Los procesos y tecnologías que implementamos para asegurar la tecnología siempre están evolucionando. Las capacidades de seguridad se adaptan para mantenerse al día con las capacidades cada vez mayores de los actores de amenazas. En seguridad, nos enfrentamos a un adversario inteligente y dinámico. Las nuevas capacidades tecnológicas y las aplicaciones más antiguas a menudo están listas para su explotación y deben revisarse continuamente para garantizar que existan capacidades adecuadas de management de seguridad y gobierno. La seguridad tradicional de SAP no ha seguido el ritmo de las amenazas que están presentes en la actualidad.

Dada la importancia crítica de las funciones comerciales admitidas por SAP, los datos dentro de la aplicación son de la mayor sensibilidad e importancia. Gran parte de estos datos están regulados por los gobiernos para garantizar que existan informes financieros precisos y que la información de identificación own esté protegida. En respuesta a estas regulaciones, el modelo tradicional de proteger las aplicaciones de SAP consiste principalmente en autorizaciones de usuarios de ingeniería para garantizar que no haya combinaciones tóxicas, donde una sola persona podría aprovechar los permisos dentro de la aplicación para violar los requisitos reglamentarios.

El entorno de SAP generalmente se audita para garantizar una separación adecuada de funciones y controles financieros tanto por auditores internos como externos. Si bien esta es una práctica crítica para mantener la seguridad de la identificación de usuario, si ese es el alcance del enfoque de seguridad aplicado a SAP, entonces encontré que faltaba mucho. Mi observación, dada la complejidad de las aplicaciones, las personalizaciones y las capacidades actuales de los actores de amenazas, es que hoy en día se requiere un enfoque más sólido para proteger SAP.

Darse cuenta de que la seguridad tradicional centrada en la identificación del usuario es insuficiente no es una novedad innovadora. Los actores de las amenazas ya se han dado cuenta de esto, y la evidencia del aumento de violaciones de las aplicaciones de SAP demuestra esa realidad. Los actores de amenazas con frecuencia explotan aplicaciones sin parches y mal configuradas, y también pueden aprovechar las capacidades del código ABAP para violar sistemas.

Sin embargo, dada la naturaleza patentada del ecosistema de SAP, los controles de seguridad tradicionales a menudo no se pueden aprovechar para evitar o incluso detectar estas infracciones. La seguridad para las aplicaciones de SAP period un desafío y sabía que necesitaba ayuda para solucionarlo. Afortunadamente, encontré un proveedor en el espacio de aplicaciones críticas para el negocio de SAP que ofrecía una evaluación de riesgos gratuita de mis sistemas SAP. Luego hice arreglos para que un experto en seguridad de SAP intentara violar mi sistema, y ​​aprendí algunas lecciones rápidamente.

Con poco esfuerzo, la implementación de SAP de mi empresa se rompió en menos de 60 segundos y el experto en seguridad obtuvo el command complete del sistema. Quiero decirles que esto me sorprendió, pero no. Lo había anticipado por las razones que ya mencioné: el enfoque de seguridad tradicional no tenía en cuenta la configuración, los parches de aplicaciones y la seguridad del código personalizado. Sin embargo, lo que sí me llamó la atención es que ninguno de mis controles de seguridad existentes identificó la violación. Mi empresa había implementado muchos controles de seguridad avanzados y teníamos un equipo de centro de operaciones de seguridad de gran talento que supervisaba constantemente las amenazas en el negocio. La desafortunada realidad fue que cuando mi sistema SAP fue violado, nadie se dio cuenta. No se generaron registros. Nadie fue alertado. No había nada en el lugar para prevenir esta amenaza o incluso para detectarla.

El actor de amenazas, un experto en seguridad de SAP en este caso, tenía el control total de nuestro sistema SAP, y desde allí pudo realizar una variedad de acciones destructivas para el negocio, incluida la desactivación de algunas o todas las funciones comerciales críticas que SAP habilita, y iniciar otras actividades fraudulentas. No es necesario usar mucha imaginación para ver también las posibilidades avanzadas de espionaje y amenazas persistentes más sutiles.

Basándome en la experiencia y la información recopilada, pude construir un caso comercial en torno a mi preocupación que resonó en otros ejecutivos de la empresa y miembros de la junta. Mi presupuesto para asegurar SAP fue aprobado y comenzó la siguiente fase del viaje. Como mencioné, las aplicaciones de SAP son complejas y asegurarlas lleva tiempo. Gracias a nuestras acciones decisivas, pudimos desarrollar un enfoque de seguridad significativo.

Con más de 20 años de experiencia en liderazgo de TI y seguridad de la información, Jason lidera el equipo de Servicios Profesionales Globales de la compañía, una parte fundamental de los esfuerzos de éxito del cliente de Onapsis. Anteriormente, como CISO en Fossil Group, fue responsable de proporcionar liderazgo y … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original