Las medidas de seguridad tradicionales no son suficientes para velar por los sistemas SAP y sus datos. Uno de los flancos a proteger son las Notas de Seguridad, que SAP libera todos los meses, lo cual se sugiere hacer mediante una aplicación permanente para minimizar las vulnerabilidades, según vimos en la nota Seguridad en SAP: Cuáles son los flancos que hay que proteger.
Qué son las Notas de Seguridad SAP
Las Notas de Seguridad son pequeños parches que cubren y solucionan vulnerabilidades detectadas en diferentes componentes de los sistemas SAP. Se consideran vulnerabilidades ciertos defectos, como errores de programas, que podrían permitir a un atacante malintencionado exponer datos confidenciales, hacer fallar el sistema, u obtener datos que pueden ser aprovechados para iniciar otro ataque. Las vulnerabilidades son detectadas por SAP o por terceros, y son calificadas de acuerdo con su severidad en las prioridades Low, Medium, High y HotNews. Las correcciones desarrolladas por SAP, o Notas de Seguridad SAP, son en general liberadas el primer martes de cada mes, en su tradicional Patch Tuesday. Excepcionalmente, en el caso de una vulnerabilidad muy crítica, la corrección se libera de inmediato, en forma individual. Además, todas las Notas de Seguridad se incorporan finalmente en los Support Packages Stacks (SPS).
Por qué debemos mantener protegidos nuestros sistemas SAP
Todos los sistemas SAP tienen vulnerabilidades en sus diversos componentes (motor de datos, Netweaver, Java, ABAP, etc.). A mayor cantidad de vulnerabilidades, mayor es la superficie de ataque y, por lo tanto, más posibilidades existen de que un atacante malintencionado explote alguna de estas vulnerabilidades conocidas para lograr acceso al sistema, obtener información confidencial, dañar o botar el sistema, e incluso secuestrar una base de datos completa por medio de un ransomware. El acceso a un sistema para un ataque puede venir desde cualquier lugar del mundo, en el caso de uno que se encuentre expuesto a Internet; pero también puede originarse en el interior de una empresa o institución, o de sus proveedores o partners de negocios con accesos habilitados. (Ver por ejemplo el caso de hackeo al Ejército de Chile por parte de un cabo). Entonces, la superficie de ataque que está expuesta en un sistema SAP aumenta en la medida en que este no está actualizado, es decir, no se le han aplicado Support Packages o las Notas de Seguridad liberadas mensualmente por SAP. Las consecuencias directas pueden ser los ataques propiamente tal, en el peor caso, pero también pueden ser el salir mal calificados en una auditoría de seguridad o en un test de penetración.
Cómo mantener los sistemas SAP protegidos
De acuerdo con el Benchmark Report de SAPInsider, de 2023: Cybersecurity Threats to SAP Systems, el principal desafío de seguridad de los clientes es mantener al día los sistemas con parches y actualizaciones. Para mantenernos al día con las Notas de Seguridad SAP, se requiere de un proceso constante que incluya:
Recopilación permanente de la información de notas de seguridad liberadas por SAP.
Análisis de las notas para determinar si son aplicables al landscape del cliente.
Determinación y evaluación de los efectos colaterales y riesgos de la aplicación de las notas.
Planificación de la aplicación, en coordinación con el cliente.
Aplicación, de acuerdo con el plan, los recursos humanos necesarios y los requerimientos de proyecto (pruebas, por ejemplo).
Transporte a productivo.
Soporte post aplicación.
Este es un proceso que normalmente no está implementado en los clientes SAP. Es trabajoso y requiere competencias técnicas y funcionales bien específicas. Si bien han aparecido diversas herramientas para apoyar este proceso, estas no constituyen una solución por sí solas, pues se requiere de un conocimiento técnico de los conceptos de seguridad asociados, además del dominio de la herramienta misma. Por esta razón, resultan más efectivas las soluciones integrales a las diferentes vulnerabilidades, en la forma de servicios entregados por un proveedor especializado. Novis ofrece un servicio estandarizado para la aplicación permanente de Notas de Seguridad SAP, estructurado de acuerdo a los best practices de SAP, y basado en reconocidas herramientas de Vulnerability Management para SAP. Este servicio se puede entregar a cualquier cliente de sistemas SAP, independientemente de que sus sistemas estén In House, en Hosting privado, en Cloud público, en SAP HEC, en RISE, etc.
Para más información de este y otros de nuestros servicios de seguridad le invitamos a contactarnos.
