Seguritecnia 359

174 SEGURITECNIA Diciembre 2009 Artículo Técnico derables desembolsos para la organi- zación, por no nombrar la pérdida de credibilidad y, por tanto, de competitivi- dad de la organización en el mercado. España: auditorías superficiales Dada la relevancia de la seguridad y el aumento de las incontables amenazas, es recomendable un cambio de men- talidad en España. Debe potenciarse el número, así como el alcance, de las au- ditorías técnicas basadas en el riesgo en sistemas SAP. Es imprescindible que se tome conciencia de los crecientes ries- gos que empiezan a emerger de forma masiva y a poner en peligro estos siste- mas, tan críticos en cualquier organiza- ción que los incluya. Es por ello que los consabidos proce- sos de auditoría deben alcanzar un nivel más amplio, apoyados en ocasiones por la labor específica de empresas consul- toras especializadas en este ámbito. De esta manera, con una mayor atención y concienciación de la seguridad en sis- temas SAP, se podrá invertir la tenden- cia actual y estar preparados adecuada- mente para hace frente a los riesgos que llegarán en un futuro muy próximo. S cir, su capacidad de funcionar durante un período amplio de tiempo. Además, la protección de la información de una organización a través de un plan de se- guridad garantiza la confidencialidad de los datos, así como su integridad. Otra de las ventajas de dotar de segu- ridad a los sistemas SAP es la proactivi- dad de la que se dispone frente a even- tuales riesgos: la organización toma la iniciativa y se prepara antes que de que llegue la amenaza. A su vez, esta capa- cidad de reacción otorga solidez a la or- ganización, que transmite al cliente una imagen de seriedad, de seguridad, que, sin duda, revertirá en su propio benefi- cio. El cliente depositará más confianza al tratarse de un proveedor previsor, con visión de futuro. Por el contrario, en el apartado de puntos débiles de la implantación de la seguridad suele mencionarse el fac- tor económico. Sin embargo, cuando se sugiere este inconveniente –que hace referencia al coste de la inversión en medidas de seguridad- no se tiene en cuenta cómo, a través de un plan de es- tas características, se evitan riesgos ma- yores que podrían traer consigo consi- con los perfiles SAP_ALL, SAP_NEW, P_BAS_ALL y S_A.DEVELOP. ▪ Securización de las interfaces RFC y CPIC, que se utilizan en la comunica- ción entre el sistema SAP y otros sis- temas de información y pueden ac- tuar como una puerta trasera abierta al resto de aplicaciones que se debe proteger. ▪ Uso de mecanismos como Secure & Store Forward (SSF) para garantizar la confidencialidad, integridad, autenti- cidad y no repudio de los documen- tos almacenados en el sistema, me- diante el uso de cifrado y firmas digi- tales. Esto permitiría aplicar medidas que puedan ser de obligado cumpli- miento, desde un punto de vista re- gulatorio, como por ejemplo la Ley Orgánica de Protección de Datos (LOPD). En el mantenimiento de los siste- mas SAP, la seguridad debe reflejarse a modo de: ▪ Aplicación de políticas de gestión de cambios en la actualización de los sistemas. ▪ Aplicación de parches distribuidos por el fabricante. ▪ Realización de auditorías de seguri- dad periódicas, basadas en la evalua- ción de riesgos, que ayuden a man- tener el sistema al nivel de seguridad deseado. Revisión continuada de los sistemas SAP Se debe tener en cuenta que el coste económico asociado a la corrección de riesgos aumenta a medida que avan- zamos en el ciclo de vida. Como es co- mún en la implantación de cualquier sistema, es recomendable tener pre- sente la seguridad desde etapas tem- pranas, ya que la corrección de riesgos resulta menos costosa en estas fases. No obstante, como se ha mencionado, la seguridad debe estar muy presente en todas y cada una de las etapas. Seguridad: un activo rentable La seguridad es un activo que garantiza la disponibilidad de los sistemas, es de- "La seguridad en SAP debe estar presente durante todo el ciclo de vida, desde el proceso de toma de requisitos hasta el de mantenimiento del sistema"