CYBSEC trabaja y asesora
en seguridad en SAP desde el año 2001, bajo las plataformas
UNIX, Windows y AS/400. Desde el año 2005 acredita
una intensa actividad en la detección de vulnerabilidades
y ha realizado aportes para la solución de las mismas.
En el año 2007 CYBSEC comenzó a trabajar
directamente con SAP Ag Alemania, estableciéndose un contacto
fluido y altamente constructivo con las áreas de seguridad.
Los servicios que ofrece CYBSEC relacionados
con seguridad en sistemas SAP son los siguientes:
1. Diseño de la arquitectura de SAP en un entorno seguro
El objetivo es diseñar o rediseñar la arquitectura
del sistema SAP con el mayor nivel de seguridad posible.
El servicio se orienta a definir la seguridad en la topología
de red de los componentes del sistema SAP (SAP Applications
Servers, Database Servers, Administradores y Usuarios finales).
Comprende el desarrollo del esquema de red seguro y las medidas
de seguridad a aplicar: Firewalls, DMZs, Encriptación,
Firewalls de aplicación, Seguridad del sistema operativo,
Seguridad de la Base de Datos y Seguridad de SAP entre otros.
2. Configuración y parametrización de seguridad interna en SAP
Este servicio provee a las Organizaciones el asesoramiento
necesario para definir en detalle, el nivel de seguridad interno
que desean para la aplicaciones SAP.
Los distintos aspectos que se tienen en cuenta entre otros
son los siguientes:
- Seguridad de la versión y módulos de SAP
implantados.
- Hot Packages instalados.
- Definición y distribución de mandantes.
- Parámetros de contraseñas.
- Capacidad de alterar sistemas y mandantes.
- Password de los usuarios por defecto.
- Usuarios con acceso ilimitado a transacciones.
- Existencia de transacciones bloqueadas.
- Acceso a transacciones sensitivas.
- Modificación de los parámetros del sistema
y de los perfiles.
- Configuración de Workbench Organizer.
- Acceso al sistema de transporte.
- Edición de tablas.
- Nivel de acceso de usuarios a programas.
- Existencia de Logs de órdenes de transporte.
- Utilización de SAP*, SAPCPIC, Earlwatch.
- Utilización de perfiles SAP_ALL, SAP_NEW.
CYBSEC aplicará las medidas de seguridad
necesarias para lograr llevar al máximo nivel de seguridad.
3. Aseguramiento de la infraestructura SAP
El objetivo de este servicio es alcanzar el máximo
nivel de seguridad posible en toda la infraestructura que
soporta la aplicación SAP: Sistema Operativo, Base
de Datos, Aplicación SAP, Interfaces y acceso de los
usuarios.
CYBSEC colaborará en implementar
las medidas de seguridad para alcanzar el máximo nivel
de seguridad.
Para asegurar el del sistema operativo se trabaja en: configuraciones
de seguridad; logs de auditoria; usuarios, claves de acceso
y perfiles; permisos de directorios críticos, patches
instalados, seguridad de los servicios habilitados entre otros.
Para la seguridad de la base de datos, se trabaja con los
patches de seguridad informática, la auditoría
de la base de datos, los permisos en directorios y archivos
de la Base de Datos, análisis del usuario dueño
de la Base de Datos, passwords por defecto y parametros de
seguridad específicos de la base de datos entre otros.
En el aseguramiento de la Aplicación SAP se trabaja
en todos los aspectos mencionados en el ítem 2, Configuración
y parametrización de seguridad interna en SAP.
Se aseguran las interfaces existentes (encriptación
fuerte, autenticación, etc) con otros sistemas externos
que provean o reciban información de SAP.
Se trabaja en el acceso seguro por parte de los usuarios
y Administradores de SAP.
Como resultado final se obtendrá una operación
de la aplicación SAP con el máximo nivel de
seguridad.
4. Auditorias de compliance de
seguridad (SOX, PCI e ISO 27001)
El objetivo es evaluar y determinar cual es el nivel actual
y real de seguridad de la infraestructura SAP utilizando técnicas
de auditoria de seguridad. Complementariamente puede realizarse
un GAP análisis respecto a normativas tales como SOX,
PCI* e ISO 27001.
La auditoria se compone de:
- Revisión de seguridad de sistema operativo, base
de datos y aplicación SAP.
- Análisis de seguridad de la parametrización de SAP.
- Análisis de seguridad de la conectividad con sistemas
externos.
- Análisis de usuarios y perfiles definidos.
Como resultado final permite disponer a las empresas usuarias
de SAP, de información objetiva sobre el propio nivel
de seguridad.
El GAP análisis permite evaluar el grado de cumplimiento
respecto a la normativa internacional en la materia.
* CYBSEC es Auditor Certificado PCI por
el PCI Council. Más
información
5. Revisión y aseguramiento de Servicios Web (Enterprise Portal/ICM/ITS/BC/Applications)
En su constante evolución SAP a través de la
utilización de herramientas como el ITS y el Business
Conector, permite que los sistemas se abran hacia el exterior
con el consiguiente aumento del nivel de riesgo.
Los expertos de CYBSEC evalúan el
nivel de seguridad real de la implementación de las
herramientas para el acceso externo vía Web a SAP determinando
las vulnerabilidades existentes, proponiendo alternativas
de solución e implementándolas para elevar al
máximo el nivel de seguridad de las mismas.
El trabajo comprende la evaluación de la topología
de red, el análisis de la seguridad del sistema operativo
y del web server utilizado. También se evalúa
el nivel de seguridad de las herramientas implementadas (ITS,
Business Conector, etc), las aplicaciones desarrolladas y
la interconexión con el sistema SAP interno.
Como resultado la Organización dispone del uso funcionalidades
de acceso remoto en forma segura.
6. Análisis, diseño e implementación de interfaces seguras
Las interfaces para el envío y recepción de
información siempre han sido un talón de Aquiles
en la seguridad de un sistema.
El objetivo de este servicio es disponer de interfaces seguras
entre los distintos sistemas en operación con SAP.
CYBSEC puede desarrollar un modelo de interfaces
seguras teniendo el cuenta la encripcion de la información,
la autenticación de las partes involucradas, la seguridad
interna de la interfase y la programación segura de
la misma entre otras cosas.
El modelo seguro desarrollado se aplica a las interfaces
existentes.
7. Penetration Testing SAP
El objetivo es disponer de una evaluación externa
objetiva de la seguridad real de la infraestructura de SAP.
Para esta prueba los expertos de CYBSEC se conectan a la red externa sin disponer de ningún
tipo de información y trataran de acceder a los sistemas
que soportan la infraestructura SAP (sistemas operativos base,
bases de datos, application servers, etc).
Esta metodología permite conocer el nivel de seguridad
real y detectar expuestos de seguridad rápidamente
para luego avanzar en la solución de los mismos.
8. Curso de Seguridad en SAP
CYBSEC desarrolló un curso de Seguridad
en SAP, donde sus expertos transmiten su experiencia referida
a la seguridad del sistema SAP.
El curso se puede dictar en dos modalidades: teórico
(8 horas) o practico (16 horas).
El temario es:
Fundamentos de la Seguridad Informática en SAP.
Seguridad del Sistema Operativo (Windows / UNIX).
Seguridad de la Base de Datos (MS SQL Server / Oracle).
Conceptos Básicos de Seguridad de SAP R/3.
SAP R/3: Seguridad del Sistema de Transportes.
SAP R/3: Administración de Usuarios y Autenticación.
SAP R/3: Seguridad en las comunicaciones.
SAP R/3: Seguridad en la conectividad.
SAP R/3: Actualización del Sistema.
Análisis de Logs y Auditoría.
Herramienta Safe
Herramienta Sapyto
Ver
Temario Detallado.
Si Usted desea contactarnos, por favor envíe un mensaje
a Analía Celeste Luis recepcion@cybsec.com o llámenos al 54-11-4371-4444.
|
Imprimir
texto 
