Seguridad de los datos en SAP – Una introducción

Proteger cualquier tipo de datos es un factor de vital importancia para mantener la seguridad en cualquier campo de la vida. Cuando se habla de la gestión de la seguridad de datos en SAP, debes saber que este es un campo muy amplio.

Tres macroáreas de la seguridad de datos en SAP

Cuando se habla de seguridad de la aplicación, se habla del propio sistema de tramitación. Es la forma en que se gestionan los usuarios y sus funciones de autorización para evitar el acceso no autorizado a los datos.

La seguridad de la infraestructura es la forma en que se almacenan los datos. Por ejemplo, si están encriptados o no, y se transmiten utilizando métodos criptográficos.

También es importante destacar la seguridad de los programas desarrollados. Se trata de la forma en que se escriben en ABAP los programas desarrollados “ad hoc” (es decir, específicos de la empresa). De hecho, estos programas pueden introducir vulnerabilidades en el sistema.

Detalles importantes

La gestión de la seguridad de datos en SAP es necesaria para proteger los datos sensibles. Como la información del personal (salarios y otra información particular), las listas de materiales de nuestros productos o las listas de proveedores y clientes.

Para garantizar la seguridad es necesario aplicar varias medidas. Desde la formación del personal, que debe saber qué comportamientos ponen en riesgo los datos. Como compartir sus contraseñas, incluso, la gestión inteligente de los usuarios.

La manera correcta de ejecutar la seguridad de datos

En otras palabras, el sistema debe desarrollarse teniendo en cuenta el “ciclo de vida” del personal. Desde el momento en que es contratado hasta el momento en que deja la empresa, pasando por cualquier cambio en las tareas a realizar.

Protección para quienes cumplen diferentes roles en la empresa

Deben establecerse varias funciones de trabajo (“roles de trabajo” o “roles empresariales”) que cubran las distintas actividades de los empleados. La idea es que un empleado tenga o no acceso a determinados tipos de datos en función de su función en la empresa.

Por ejemplo, es natural que alguien que trabaje en la oficina de personal (Recursos Humanos) esté autorizado a ver las condiciones contractuales de los distintos empleados. Sin embargo, la misma persona no debe tener acceso a información sobre clientes, contratos pendientes, documentación de ingeniería, etc.

¿Cómo tener éxito al asegurar los datos?

Las funciones relacionadas con la seguridad de datos no deben adaptarse al perfil de una persona concreta, sino ser genéricas. El número de funciones debe limitarse al máximo, tratando de evitar el solapamiento. Para una empresa de 1.000 personas, por ejemplo, puede tener sentido trabajar con unas 100 funciones diferentes.

Es importante definir estos roles teniendo en cuenta la segregación de funciones (en inglés, Separation of duties o Segregation of Duties – ‘SoD’). Se trata de la idea de que las tareas críticas para la empresa deben ser llevadas a cabo por varias personas.

SAP y las herramientas de seguridad de datos

En SAP la gestión de compras o contratación de nuevo personal la atienden varios empleados. Con el objetivo de limitar el riesgo de robo, sabotaje, fraude o incluso errores.

Por ejemplo, en SAP un pedido es solicitado por un administrador que gestiona un centro de costes.  A menudo, esta orden de compra debe ser aprobada por el superior directo de la persona que realiza la solicitud y, posteriormente, por el departamento de Compras.

Más información sobre Autorizaciones y Roles en SAP

En cuanto a la seguridad de la infraestructura, algunos elementos clave son el uso de protocolos seguros para el transporte de datos (SSL). Con el uso de claves públicas y privadas para la gestión de certificados.

La base de datos HANA también permite encriptar los datos en disco (y los registros y copias de seguridad si es necesario). También es importante mencionar la posibilidad de proteger los datos con técnicas de enmascaramiento (“Masking”) o codificación (“Scrambling”).

¿Qué hace SAP para proteger los datos?

En el caso del enmascaramiento, la información no se modifica en la base de datos, pero se anonimiza (“enmascara”) cuando se presenta al usuario final. A este respecto, los datos de la base de datos no se tocan y siguen siendo visibles para los usuarios con las autorizaciones necesarias.

Los usuarios sin las autorizaciones necesarias verían entonces datos ficticios, preservando la confidencialidad de la información. SAP ofrece un producto específico para conseguirlo: Field Masking for SAP GUI. En cambio, con el Scrambling modificamos los datos directamente en la base de datos.

Resguardar información empresarial

Obviamente, no podremos utilizar esta solución en sistemas de producción. Mientras que podría ser interesante trabajar en copias del sistema para el desarrollo o el control de calidad. Una posible aplicación de esta técnica sería, por ejemplo, cuando externalizamos el desarrollo de aplicaciones específicas para nuestra empresa.

Si es obligatorio compartir la base de datos con desarrolladores externos, y no desea compartir los datos reales, podemos compartir con ellos los datos “barajados”.

Asegurar los programas con SAP

En lo que respecta a la seguridad de los programas desarrollados en ABAP, SAP ofrece varios métodos para comprobar la seguridad del software desarrollado interna o externamente. Por ejemplo, el ABAP Test Cockpit, una herramienta diseñada para comprobar la calidad del código que verifica.

Comprueba su sintaxis, la seguridad y el cumplimiento de las convenciones de denominación. Otra solución es el “Code Vulnerability Analyzer”, o SAP CVA, un complemento de SAP NetWeaver.

Estas herramientas buscan riesgos potenciales como nombres de usuario “codificados” o situaciones que puedan provocar una “inyección SQL”. Es decir, una técnica que permite insertar código SQL, para alterar elementos de la base de datos o descargar información.