In English | Mapa del Sitio
 
Soluciones de Seguridad Informática Cybsec Security Systems
Página PrincipalSobre NosotrosServiciosCapacitaciónNoticiasArtículosInvestigaciónContáctenos Contáctenos via Email
 
 

 

  CYBSEC forma parte de la Global Security Alliance (GSA) de SAP, asesorando en seguridad a usuarios SAP. Nuestros servicios profesionales mas destacables incluyen: Diseño de la arquitectura de SAP en un entorno seguro, Configuración y parametrización de seguridad en SAP, Aseguramiento de plataformas SAP, Auditorías de seguridad, Compliance (SOX, PCI e ISO 27001) y Penetration Testing.  

CYBSEC trabaja y asesora en seguridad en SAP desde el año 2001, bajo las plataformas UNIX, Windows y AS/400. Desde el año 2005 acredita una intensa actividad en la detección de vulnerabilidades y ha realizado aportes para la solución de las mismas.

En el año 2007 CYBSEC comenzó a trabajar directamente con SAP Ag Alemania, estableciéndose un contacto fluido y altamente constructivo con las áreas de seguridad.

Los servicios que ofrece CYBSEC relacionados con seguridad en sistemas SAP son los siguientes:

1. Diseño de la arquitectura de SAP en un entorno seguro

El objetivo es diseñar o rediseñar la arquitectura del sistema SAP con el mayor nivel de seguridad posible.

El servicio se orienta a definir la seguridad en la topología de red de los componentes del sistema SAP (SAP Applications Servers, Database Servers, Administradores y Usuarios finales).

Comprende el desarrollo del esquema de red seguro y las medidas de seguridad a aplicar: Firewalls, DMZs, Encriptación, Firewalls de aplicación, Seguridad del sistema operativo, Seguridad de la Base de Datos y Seguridad de SAP entre otros.

2. Configuración y parametrización de seguridad interna en SAP

Este servicio provee a las Organizaciones el asesoramiento necesario para definir en detalle, el nivel de seguridad interno que desean para la aplicaciones SAP.

Los distintos aspectos que se tienen en cuenta entre otros son los siguientes:

  • Seguridad de la versión y módulos de SAP implantados.
  • Hot Packages instalados.
  • Definición y distribución de mandantes.
  • Parámetros de contraseñas.
  • Capacidad de alterar sistemas y mandantes.
  • Password de los usuarios por defecto.
  • Usuarios con acceso ilimitado a transacciones.
  • Existencia de transacciones bloqueadas.
  • Acceso a transacciones sensitivas.
  • Modificación de los parámetros del sistema y de los perfiles.
  • Configuración de Workbench Organizer.
  • Acceso al sistema de transporte.
  • Edición de tablas.
  • Nivel de acceso de usuarios a programas.
  • Existencia de Logs de órdenes de transporte.
  • Utilización de SAP*, SAPCPIC, Earlwatch.
  • Utilización de perfiles SAP_ALL, SAP_NEW.

CYBSEC aplicará las medidas de seguridad necesarias para lograr llevar al máximo nivel de seguridad.

3. Aseguramiento de la infraestructura SAP

El objetivo de este servicio es alcanzar el máximo nivel de seguridad posible en toda la infraestructura que soporta la aplicación SAP: Sistema Operativo, Base de Datos, Aplicación SAP, Interfaces y acceso de los usuarios.

CYBSEC colaborará en implementar las medidas de seguridad para alcanzar el máximo nivel de seguridad.

Para asegurar el del sistema operativo se trabaja en: configuraciones de seguridad; logs de auditoria; usuarios, claves de acceso y perfiles; permisos de directorios críticos, patches instalados, seguridad de los servicios habilitados entre otros.

Para la seguridad de la base de datos, se trabaja con los patches de seguridad informática, la auditoría de la base de datos, los permisos en directorios y archivos de la Base de Datos, análisis del usuario dueño de la Base de Datos, passwords por defecto y parametros de seguridad específicos de la base de datos entre otros.

En el aseguramiento de la Aplicación SAP se trabaja en todos los aspectos mencionados en el ítem 2, Configuración y parametrización de seguridad interna en SAP.

Se aseguran las interfaces existentes (encriptación fuerte, autenticación, etc) con otros sistemas externos que provean o reciban información de SAP.

Se trabaja en el acceso seguro por parte de los usuarios y Administradores de SAP.

Como resultado final se obtendrá una operación de la aplicación SAP con el máximo nivel de seguridad.

4. Auditorias de compliance de seguridad (SOX, PCI e ISO 27001)

El objetivo es evaluar y determinar cual es el nivel actual y real de seguridad de la infraestructura SAP utilizando técnicas de auditoria de seguridad. Complementariamente puede realizarse un GAP análisis respecto a normativas tales como SOX, PCI* e ISO 27001.

La auditoria se compone de:

  • Revisión de seguridad de sistema operativo, base de datos y aplicación SAP.
  • Análisis de seguridad de la parametrización de SAP.
  • Análisis de seguridad de la conectividad con sistemas externos.
  • Análisis de usuarios y perfiles definidos.

Como resultado final permite disponer a las empresas usuarias de SAP, de información objetiva sobre el propio nivel de seguridad.

El GAP análisis permite evaluar el grado de cumplimiento respecto a la normativa internacional en la materia.

* CYBSEC es Auditor Certificado PCI por el PCI Council. Más información

5. Revisión y aseguramiento de Servicios Web (Enterprise Portal/ICM/ITS/BC/Applications)

En su constante evolución SAP a través de la utilización de herramientas como el ITS y el Business Conector, permite que los sistemas se abran hacia el exterior con el consiguiente aumento del nivel de riesgo.

Los expertos de CYBSEC evalúan el nivel de seguridad real de la implementación de las herramientas para el acceso externo vía Web a SAP determinando las vulnerabilidades existentes, proponiendo alternativas de solución e implementándolas para elevar al máximo el nivel de seguridad de las mismas.

El trabajo comprende la evaluación de la topología de red, el análisis de la seguridad del sistema operativo y del web server utilizado. También se evalúa el nivel de seguridad de las herramientas implementadas (ITS, Business Conector, etc), las aplicaciones desarrolladas y la interconexión con el sistema SAP interno.

Como resultado la Organización dispone del uso funcionalidades de acceso remoto en forma segura.

6. Análisis, diseño e implementación de interfaces seguras

Las interfaces para el envío y recepción de información siempre han sido un talón de Aquiles en la seguridad de un sistema.

El objetivo de este servicio es disponer de interfaces seguras entre los distintos sistemas en operación con SAP.

CYBSEC puede desarrollar un modelo de interfaces seguras teniendo el cuenta la encripcion de la información, la autenticación de las partes involucradas, la seguridad interna de la interfase y la programación segura de la misma entre otras cosas.

El modelo seguro desarrollado se aplica a las interfaces existentes.

7. Penetration Testing SAP

El objetivo es disponer de una evaluación externa objetiva de la seguridad real de la infraestructura de SAP.

Para esta prueba los expertos de CYBSEC se conectan a la red externa sin disponer de ningún tipo de información y trataran de acceder a los sistemas que soportan la infraestructura SAP (sistemas operativos base, bases de datos, application servers, etc).

Esta metodología permite conocer el nivel de seguridad real y detectar expuestos de seguridad rápidamente para luego avanzar en la solución de los mismos.

8. Curso de Seguridad en SAP

CYBSEC desarrolló un curso de Seguridad en SAP, donde sus expertos transmiten su experiencia referida a la seguridad del sistema SAP.

El curso se puede dictar en dos modalidades: teórico (8 horas) o practico (16 horas).

El temario es:

  • Fundamentos de la Seguridad Informática en SAP.
  • Seguridad del Sistema Operativo (Windows / UNIX).
  • Seguridad de la Base de Datos (MS SQL Server / Oracle).
  • Conceptos Básicos de Seguridad de SAP R/3.
  • SAP R/3: Seguridad del Sistema de Transportes.
  • SAP R/3: Administración de Usuarios y Autenticación.
  • SAP R/3: Seguridad en las comunicaciones.
  • SAP R/3: Seguridad en la conectividad.
  • SAP R/3: Actualización del Sistema.
  • Análisis de Logs y Auditoría.
  • Herramienta Safe
  • Herramienta Sapyto
  • Ver Temario Detallado.

    Si Usted desea contactarnos, por favor envíe un mensaje a Analía Celeste Luis recepcion@cybsec.com o llámenos al 54-11-4371-4444.

     

      ©2012 Cybsec S.A. Todos los derechos reservados
    Sobre Nosotros | Gestión Estratégica | Gestión Operativa | Gestión de Control | Auditorías PCI | Capacitación | Noticias | Artículos | Investigación | Contáctenos Diseño y Desarrollo Alfadesign