Sin duda alguna SAP es uno de los líderes de software ERP a nivel mundial, más de 437,000 empresas de 180 países utilizan algún sistema de SAP y entre ellas el 98% de las 100 empresas de marcas más valoradas, 92% de las empresas ForbesGlobal 2000. Muchas de estas empresas han sufrido algún tipo de brecha de seguridad relacionado con SAP ya sea en cuanto a Funcional, Operacional, Transaccional y/o Código Fuente (ABAP) lo que han llevado a las empresas a sufrir perdidas financieras.
Las empresas que utilizan el sistema SAP como soporte principal de sus operaciones, necesitan de una adecuada implementación de controles de accesos para evitar el uso no autorizado a programas o transacciones del sistema que provoquen situaciones defraude interno o errores operativos que puedan afectar a la compañía, podemos decir que en nuestra experiencia el 70% de las empresas han sufrido estos eventos debido a la falta de un modelo de seguridad de SAP, esto debido a la inadecuada definición de Roles y Transacciones que provocan accesos no autorizados de manera indirecta a los usuarios.
Por esa razón es importante que durante la implementación de SAP se defina un adecuado modelo de seguridad de SAP para mitigar estas brechas a nivel operacional y transaccional, considerando los siguientes:
1. Identificación de los procesos y personas involucrados en la utilización de SAP.
2. Definir una adecuada Matriz de Segregación de Funciones
3. Definir un modelo de roles acorde al negocio y a las autorizaciones según el puesto de trabajo considerando una estructura como la siguiente:
Dónde Autorización es el conjunto de valores que permiten al usuario ejecutar determinadas transacciones o accesos a datos.
El Objeto de Autorización es el que permite la restricción de acceso al sistema, la transacción el comando que permite ejecutar las tareas o función dentro de SAP, los Valores de los permisos requeridos.
Por ejemplo un Rol para que un usuario pueda dar de alta a una proveedora una Sociedad 0001 y al Grupo de Proveedores Perfumería con la transacción XK01, debería quedar de la siguiente manera:
Sin embargo, las brechas a nivel transaccional siempre existen y por ellos es importante definir un monitoreo constante de las transacciones críticas ejecutadas en el sistema y validar que solamente los usuarios autorizados ejecuten las mismas. Otras de las brechas de seguridad de SAP observadas en los últimos años son las vulnerabilidades que afectan a nivel de Sistema Operativo, Base de Datos y Código Fuente. Si bien sabemos SAP utiliza un código fuente propio conocido como ABAP. (Advanced BusinessApplication Programming) lo cual lo hace de cierta manera más compleja al momento de realizar un análisis de vulnerabilidades para determinar brechas de seguridad en el sistema.
De acuerdo a un informe de SAP que fue presentado en conjunto con una empresa Ciberseguridad, confirmaron la detección de 300 explotaciones exitosas de un total de 1500 intentos dirigidos a vulnerabilidades previamente conocidas y configuraciones inseguras especificas para sistemas SAP entre mediados de 2020 y marzo 2021. Entre estas vulnerabilidades podemos identificar De cifrado de Contraseñas, RemoteLogon(Saltos de Acceso Remoto), Accesos a desarrollos en producción, entre otros. En la siguiente Link se puede observar un ataque utilizando la vulnerabilidad de Remote Logon.
Por lo anterior, queda demostrado que SAP también es un sistema vulnerable a ataques internos y externo, independientemente de las instancias definidas(Producción, Desarrollo, Calidad).
Por esa razón SAP ha desarrollado una serie de herramientas de seguridad que le permitan reducir los riesgos de fraudes por la inadecuada definición y asignación de roles, y se ha apoyado de empresas de ciberseguridad que han desarrollado herramientas para la realización análisis de vulnerabilidades con respecto a infraestructura y código ABAP como lo es Cybesecurity Extension For SAP de Layer Seven.
La cual ha apoyado a diferentes organizaciones en la detección, prevención y mitigación de vulnerabilidades en el sistema.
La utilización de este tipo de herramientas permite la automatización de controles y revisiones en tiempo real de las posibles brechas en el sistema a nivel transaccional por medio de la revisión de logs, y análisis de vulnerabilidades en cuanto a infraestructura y código ABAP, sumado a ellos es importante definir una matriz de segregación de funciones, eliminar las configuraciones por default, definir un modelo de seguridad con respecto a Roles, Objetos de Autorización y Transacciones.