Los Cuatro Mitos de la Seguridad de los ERP

Hay varios mitos en la seguridad de los ERP. Uno de los más comunes es que la seguridad es en su mayor parte una cuestión de control de acceso y segregación de funciones. Otro es que las aplicaciones de negocios son accesibles solo dentro de las redes internas. Y otro más es que este tipo de aplicaciones no son un objeto de ataque. Los tres se basan en una visión simplista y errónea sobre los sistema ERP actuales.

La realidad es que los sistemas ERP contemporáneos tienen una estructura muy compleja. La complejidad es enemigo de la seguridad. Las vulnerabilidades se pueden encontrar no solo en la capa de aplicaciones o de negocio (lo cual es el área tradicional de foco para los profesionales de la seguridad de ERP) sino también en la capa técnica que incluye base de datos, sistema operativo y componentes de red. Un enfoque tipo Fort Knox para el nivel de aplicación dará un falso sentido de la seguridad si las fallas de configuración de la arquitectura y la programación no son tratados en el nivel técnico.

Esto se agrava por el hecho que la mayoría de los casos de ERP tienen más de una superficie de ataque. Casi todos tienen conexiones directas o indirectas a Internet. Las últimas incluyen conexiones a oficinas externas, proveedores, vendedores y otros socios y a los servicios de SAP. Esto último puede incluir conexiones a estaciones de trabajo de usuario con acceso Internet. Los recursos ERP se diseñan cada vez más para ser accesibles por los usuarios móviles utilizando protocolos usados por la Web, puertos y servicios. Los mainframes aislados de antaño son un recuerdo lejano en nuestra era de comunicaciones globales.

Los vectores para atacar las superficies en sistemas ERP son generalmente conocidos. Es más, la mayoría se pueden realizar con laptops pequeñas y un mínimo de conocimientos. La idea de que muy pocas personas tengan algún motivo para atacar tales sistemas ricos en información, es uno de los mitos más perturbadores y desconcertantes en la seguridad de los ERP. Me recuerda a un comentario que me hizo un socio importante de una empresa consultora muy conocida. El socio estaba contratado como asesor de seguridad  para una gran empresa de procesamiento de carne durante una implementación de SAP por demás exitosa. En su opinión, el cliente tenía un perfil relativamente de bajo riesgo que justificaba un marco de seguridad por defecto para sus sistemas SAP. Como resultado, a la compañía se la instó a seguir con los valores por defecto de SAP, siempre que fuera posible.

Esto nos lleva al cuarto y al más perjudicial de los mitos en la seguridad ERP: la noción que los sistemas son configurados seguros por defecto, cuando no lo son, y que es responsabilidad del proveedor la de asegurar el sistema. Los sistemas ERP son diseñados para ser flexibles. Deben ser capaces de satisfacer las necesidades diversas de cada empresa imaginable en todas las industrias y sectores. Como resultado, no hay una configuración estándar que pueda cumplir los requerimientos de cada empresa. La seguridad tiene que ser habilitada. La configuración de seguridad por defecto a menudo es muy peligrosa y puede dejar a las organizaciones abiertas a ataque internos y externos. Por esta razón, SAP ha publicado numerosos documentos, guías de seguridad y otras publicaciones para apoyar la configuración segura de su software durante y después de la implementación. Esto debería se de lectura obligatoria para todos los profesionales de seguridad especializados en SAP.

SAP no se responsabiliza por problemas de seguridad derivados de las fallas de arquitectura, errores de configuración y parches insuficientes. Se espera que los clientes diseñen, administren y mantengan sus sistemas de una forma segura. Esto puede llegar a ser un reto en compañías donde no hay una clara propiedad de los recursos SAP o en caso donde los sistemas son propiedad de departamentos de negocio que carecen de las habilidades técnicas para administrar efectivamente la seguridad ERP. En estos escenarios, los dueños del negocio deben tomar las medidas para compartir la propiedad con las funciones de TI, especialmente los recursos técnicos dentro de la organización que están acostumbrados a tratar con la infraestructura o la seguridad a nivel de la plataforma.  En mi observación, usualmente hay una fuerte relación entre la fortaleza de la seguridad SAP en organizaciones y el grado de colaboración entre el negocio y TI.

Traducción: Raúl Batista - Segu-Info
Autor: Aman Dhillon

Fuente: http://blog.segu-info.com.ar/

Fuente: Layer Seven Security - Blog