Guía completa de seguridad en SAP: ¿Qué es y cómo funciona?

En este tutorial de SAP Security para principiantes, aprenderemos sobre los conceptos básicos de SAP Security.

¿Qué es SAP Security?

SAP Security es un acto de equilibrio para proteger los datos y aplicaciones de SAP contra el uso y acceso no autorizados. SAP ofrece diferentes herramientas, procesos y medidas de seguridad para proteger estos datos. La seguridad de SAP ayuda a garantizar que los usuarios solo puedan utilizar la funcionalidad de SAP que es parte de su trabajo.

Los sistemas SAP contienen datos muy sensibles y confidenciales de sus clientes y empresas. Por lo tanto, hay una necesidad de una auditoría regular de un sistema informático SAP para verificar su seguridad y la integridad de los datos.

Por ejemplo, un empleado en un almacén que es responsable de crear una orden de compra no debe aprobar una orden de compra legítima o, de lo contrario, puede crear y aprobar tantas órdenes de compra sin ningún uso.

En ese escenario, la aprobación de la orden de compra debe ser controlada por una autoridad superior, lo cual es una característica de seguridad estándar.

A continuación, en este tutorial de SAP Security para principiantes, aprenderemos sobre varios conceptos de seguridad en SAP.

Conceptos de seguridad para SAP

A continuación se presentan los principales conceptos de seguridad en SAP:

1. Datos STAD

Los códigos de transacción son la puerta de entrada para acceder a la funcionalidad de SAP. Los datos STAD proporcionan seguridad contra el acceso no autorizado a las transacciones. ¿Guarda un registro de información como quién accedió a cierta funcionalidad crítica? ¿Y cuándo? Los datos STAD se pueden utilizar para monitorear, analizar, auditar y mantener el concepto de seguridad.

2. Biblioteca Criptográfica SAP

La Biblioteca Criptográfica SAP es el producto de cifrado predeterminado entregado por SAP. Se utiliza para proporcionar Comunicación Segura en Red (SNC) entre varios componentes del servidor de SAP. Para los componentes frontales, es necesario comprar un producto asociado certificado con SNC.

3. Seguridad del Servidor de Transacciones en Internet (ITS)

Para hacer que la aplicación del sistema SAP esté disponible para acceder desde un navegador web, se utiliza un componente de middleware llamado Servidor de Transacciones en Internet (ITS). La arquitectura del ITS tiene muchas características de seguridad integradas, como ejecutar el Wgate y Agate en hosts separados.

4. Conceptos básicos de red (SAPRouter, Firewalls y DMZ, Puertos de red)

Las herramientas de seguridad básicas que SAP utiliza son Firewalls, DMZ, Puertos de red, SAPRouter, etc. Un cortafuegos es un sistema de componentes de software y hardware que define las conexiones que deben pasar de un lado a otro entre socios de comunicación. SAP Web dispatcher y SAPRouter son ejemplos de pasarelas de nivel de aplicación que se pueden utilizar para filtrar el tráfico de red de SAP.

5. Seguridad Web-AS (Balanceo de carga, SSL, Seguridad del Portal Empresarial)

SSL (Secure Socket Layer) es una tecnología estándar de seguridad para establecer un enlace cifrado entre un servidor y un cliente. Con SSL, puedes autenticar a los socios de comunicación (servidor y cliente), determinando las variables de la encriptación.

Con la ciberseguridad de SAP, ambos socios están autenticados. Los datos transferidos entre el servidor y el cliente estarán protegidos, por lo que cualquier manipulación en los datos se detectará. Además de eso, los datos transferidos entre el cliente y el servidor también están encriptados. La guía de seguridad del portal empresarial puede ser útil para asegurar el sistema siguiendo sus pautas.

6. Inicio de sesión único (Single Sign-On)

La función de inicio de sesión único de SAP te permite configurar las mismas credenciales de usuario para acceder a múltiples sistemas SAP. Ayuda a reducir los costos administrativos y el riesgo de seguridad asociado con mantener múltiples credenciales de usuario. Garantiza la confidencialidad a través del cifrado durante la transmisión de datos.

7. AIS (Sistema de Información de Auditoría)

AIS o Sistema de Información de Auditoría es una herramienta de auditoría que puedes utilizar para analizar los aspectos de seguridad de tu sistema SAP en detalle. AIS está diseñado para auditorías comerciales y auditorías de sistemas. AI presenta su información en la Infoestructura de Auditoría.

A continuación, en este tutorial de SAP Security, aprenderemos sobre la seguridad de SAP para aplicaciones móviles.

Seguridad de SAP para aplicaciones móviles SAP

Las aplicaciones de SAP ahora están disponibles en dispositivos móviles con un aumento en el uso de dispositivos móviles. Pero esta exposición es una amenaza potencial. La mayor amenaza para una aplicación SAP es el riesgo de que un empleado pierda datos importantes de los clientes.

Lo bueno de SAP móvil es que la mayoría de los dispositivos móviles están habilitados con capacidades de borrado remoto. Y muchas de las funciones relacionadas con CRM que las organizaciones buscan movilizar son de la nube, lo que significa que los datos confidenciales no residen en el propio dispositivo.

Algunos de los proveedores de seguridad de SAP móvil populares son SAP Afaria, SAP Netweaver Gateway, SAP Mobile Academy y SAP Hana cloud.

A continuación, en este tutorial de SAP Security para principiantes, aprenderemos sobre las mejores prácticas para la seguridad de SAP.

Lista de verificación de mejores prácticas de seguridad de SAP

Evaluación de configuraciones de red y arquitectura del paisaje
Evaluación de seguridad del SO donde se implementa SAP
Evaluación de seguridad de DBMS

Evaluación de seguridad de SAP NetWeaver
Evaluación interna del control de acceso
Evaluación de componentes de SAP como SAP Gateway, Servidor de Mensajería SAP, Portal SAP, SAP Router, SAP GUI

Evaluación del procedimiento de cambio y transporte
Evaluación del cumplimiento de estándares de SAP, ISACA, DSAG, OWASP

También lee las mejores preguntas y respuestas de entrevista de seguridad de SAP: Haz clic aquí

Resumen

Definición de SAP Security:

SAP Security es un acto de equilibrio para proteger los datos y aplicaciones de SAP contra el uso y acceso no autorizados.

Conceptos de seguridad para SAP

Datos STAD
Biblioteca Criptográfica SAP
Seguridad del Servidor de Transacciones en Internet (ITS)

Conceptos básicos de red (SAP Router, Firewalls y DMZ, Puertos de red)
Seguridad Web-AS (Balanceo de carga, SSL, Seguridad del Portal Empresarial)
Inicio de sesión único (Single Sign-On)

AIS (Sistema de Información de Auditoría)

Lo bueno de la seguridad de SAP para aplicaciones móviles es que la mayoría de los dispositivos móviles están habilitados con capacidades de borrado remoto.

Mejores prácticas de seguridad de SAP

Evaluación de configuraciones de red y arquitectura del paisaje
Evaluación de seguridad del SO donde se implementa SAP
Evaluación de seguridad de DBMS

Evaluación de seguridad de SAP NetWeaver

Guía completa de seguridad en SAP: ¿Qué es y cómo funciona?

¿Qué es SAP Security?

Madrid

México

Costa Rica

Perú