Seguritecnia 359

170 SEGURITECNIA Diciembre 2009 Artículo Técnico del mercado y renovando por tercer año consecutivo su liderazgo. SAP representa una infraestructura de sistemas y servicios muy amplia, que genera una superficie de riesgo consi- derable. Siendo esta herramienta la co- lumna vertebral de muchas organiza- ciones, debe prestarse especial aten- ción a su nivel de seguridad, ya que las consecuencias derivadas de ataques con éxito a sistemas SAP son, general- mente, muy graves. Las soluciones actuales de SAP (por ejemplo, mySAP ERP) se basan en la pla- taforma Netweaver . Ésta incrementa la flexibilidad del sistema mediante Web Services y mediante la interoperabilidad con .NET y J2EE, y, además, permite ac- ceder a él a través de clientes web (na- vegadores). El reverso de estas nuevas prestacio- nes es que amplían el abanico de ries- gos a los que se encuentra sometido el sistema, añadiendo los riesgos propios de, por ejemplo, las aplicaciones web. Diferentes capas de seguridad en un sistema SAP Por un lado, cabe destacar las propias vulnerabilidades que genera el sistema SAP a partir de su propio diseño o pro- gramación. Según la base de datos CVE de la organización internacional Mitre, que identifica vulnerabilidades, se pu- blicaron un total de 72 vulnerabilidades de diferentes productos de SAP entre 2001 y 2008, de las cuales 29 correspon- den a los dos últimos años. El impacto derivado de la explotación de estas vul- nerabilidades varía desde la revelación de información sensible, al acceso al sis- tema o la denegación de servicio. Estas vulnerabilidades se deben a errores de diseño/programación de los productos ofrecidos por SAP, y son co- munes a todo tipo de software (por ejemplo, Firefox, con 418 vulnerabilida- des publicadas). Sin embargo, la seguridad de los sis- temas SAP no reside únicamente en la seguridad de los productos del propio L a incipiente comunidad on- line se vio sorprendida en 1988 por la aparición del primer ma- lware conocido, el gusano Morris, que demostraba la vulnerabilidad del sis- tema y el alcance de los riesgos aso- ciados a su uso. En la actualidad, existe la misma incredulidad hacia las ame- nazas que ponen en peligro los siste- mas SAP, y la inacción derivada de esta ignorancia puede traer graves conse- cuencias para las organizaciones que los soportan. En la actualidad, son múltiples las amenazas que han surgido como con- secuencia de la extensión del uso de las Tecnologías de la Información y las Comunicaciones. Unas amenazas que desafían la integridad de uno de los grandes activos de cualquier tipo de organización: la información. Así, el know-how , los datos financieros, el co- nocimiento del sector, del mercado o de potenciales clientes son ejem- plos que demuestran por sí solos la importancia de la Información y, por tanto, de su gestión. Para ello, para su óptimo manejo, existen multitud de aplicaciones de sopor te para la gestión empresarial, entre ellos el ERP ( Enterprise Resource Planning ), un sis- tema que, además, integra y automa- tiza gran parte de las prácticas de ne- gocio asociadas a aspectos operativos o productos de una organización. Uno de los ERP más extendidos es la solución SAP, basada en la tecnología cliente/servidor y diseñada para ma- nejar las necesidades de información de una organización. De hecho, según datos de 2007, la empresa SAP AG era, en ese año, el primer proveedor del mundo de este tipo de sistemas, con- centrando en torno al 30 por ciento Sistemas SAP: más seguridad ante el incremento de riesgos Julián Vilas ∕ Consultor senior de Seguridad de TB·Security