Seguritecnia 359
172 SEGURITECNIA Diciembre 2009 Artículo Técnico sistema. Depende también de: los siste- mas donde se alojan los componentes de SAP (sistema anfitrión), de la seguri- dad en las comunicaciones y de la se- guridad en la implantación y configu- ración de los productos de SAP. Igual- mente, debe considerarse la seguridad aplicada en los desarrollos realizados por el usuario para extender la solución a su negocio. La importancia de la seguridad du- rante todo el ciclo de vida Además, la seguridad en SAP (al igual que en otros sistemas) no se trata de una acción aislada; no basta con tenerla en cuenta sólo en un momento deter- minado, sino que debe estar presente durante todo el ciclo de vida, desde el proceso de toma de requisitos hasta el de mantenimiento del sistema. Durante las fases de toma de requisi- tos, especificación y diseño, la seguri- dad debe reflejarse en aspectos como: ▪ La selección de los componentes de SAP necesarios para desempeñar la funcionalidad deseada. ▪ La arquitectura en la que residirán los diferentes componentes. ▪ Los requisitos de los diferentes sis- temas informáticos que formarán parte de la infraestructura de SAP. ▪ La política de control de acceso, que incluye la definición de perfi- les y la asignación de privilegios, en base a la “necesidad de saber” ( need-to-know ) de los perfiles. ▪ La creación de políticas, estándares, procedimientos y directrices de se- guridad referentes al sistema SAP. En la fase de implantación del sis- tema SAP , la seguridad debe estar presente en forma de aplicación de buenas prácticas como: ▪ Securización de los servidores de apli- cación. ▪ Securización de las comunicaciones. ▪ Securización de las plataformas que alojan los diferentes componentes. ▪ Securización de las estaciones de tra- bajo (cliente). ▪ Securización de las bases de datos. ▪ Incorporación de metodologías de de- sarrollo seguro en la programación de nuevas funcionalidades. ▪ Incorporación de medidas de seguri- dad durante la parametrización. Algunos ejemplos concretos de bue- nas prácticas en la implantación de un sistema SAP incluyen medidas como: ▪ La eliminación de servicios de red in- necesarios en los servidores. ▪ La utilización de mecanismos de fil- t rado en combinación con el SAProuter, funcionando a modo de proxy . ▪ Aplicar criptografía en las comunica- ciones que permita asegurar la con- fidencialidad, integridad y autentici- dad en las transacciones. Para ello se puede utilizar Secure Network Commu- nications (SNC). ▪ No utilizar el usuario SAPR3 para co- nectarse a la base de datos. Crear otro usuario con este propósito. ▪ Proteger el acceso a tablas con infor- mación sensible como USR* o T000. ▪ Configurar los parámetros de control de contraseñas del sistema SAP. ▪ Protección de la contraseña durante el acceso al sistema por parte de los clientes, mediante SNC, si se utiliza SAPGUI, o mediante SSL, si se utiliza el acceso Web. ▪ Gestionar los usuarios/contraseñas por defecto que puedan generarse du- rante la instalación del sistema SAP, tales como: SAP*, DDIC, SAPCPIC o EARLYWATCH. ▪ Asignación adecuada de roles en base a las políticas anteriormente creadas, teniendo especial cuidado
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz