¿Puede ser su sistema SAP víctima de hackers?

¿Puede ser su sistema SAP víctima de hackers?

Si no se ha hecho esa pregunta últimamente, plantéese dicha posibilidad como cierta. Aunque típicamente los aplicativos SAP no están expuestos hacia el internet, descuidos del administrador, tales como apertura del puerto TCP 3389 (RDP) pueden hacer que sus sistemas de misión crítica corran un grave peligro.

SAP AG se preocupa constantemente en robustecer la seguridad del sistema, pero en la mayoría de las ocasiones en las que he podido constatar ataques que afectan sistemas SAP se debió a la falta de controles administrativos. Algunas consideraciones que debería tomar en cuenta son:

  • ¿Cuándo fue la última vez que cambiaron las contraseñas de los usuarios administradores de las capas aplicativo y de base de datos?
  • ¿Cuándo fue la última vez que cambiaron las contraseñas de los usuarios administradores del sistema operativo?
  • ¿Ha tenido rotación de personal administrativo, técnico u outsourcing de su infraestructura técnica? ¿Cada vez que esto ocurre, tiene una política para renovar contraseñas?
  • ¿Aplica de forma frecuente patches de seguridad a nivel de SAP, del manejador de base de datos y del sistema operativo?

Es cierto, algunas vulnerabilidades tales como el protocolo RFC permitirían a hackers ejecutar programas sin necesidad de autenticación , tal y como lo explica el artículo “Como romper un sistema SAP en 3 minutos” (How to hack an SAP System in 3 minutes), sin embargo, su mayor amenaza la tiene internamente en su organización:

  1. Empleados descontentos
  2. Contratistas de dudosa reputación
  3. Falta de experiencia
  4. Pobres controles administrativos
  5. Ignorancia y falta de información
  6. Carencia de un esquema de contingencia o tolerancia a fallos
  7. Entre otros

Como dice la canción “No es lo mismo llamar al Diablo que verlo llegar” no se trata de ser fatalista, pero su sistema SAP es un activo de la organización invaluable en términos de los datos que ahí se almacenan y procesan, es necesario establecer controles eficientes y sobre todo un “monitoreo constante” sobre potenciales riesgos que puedan poner en peligro la continuidad del negocio.

Autor: Jose Alfredo Roso. Consultor SAP Senior (CIO Servicios). Jose.Roso@cioservicios.com

Agradecemos se haya tomado el tiempo para leer este artículo, si le gusto, podrá seguir recibiendo información de forma semanal. Si no desea seguir recibiendo esta información, por favor, seleccione “unsubscribe from this list” al final del formulario.