Español | English
rss facebook linkedin Twitter

Seguridad SAP ERP

SAP es el ERP más popular en el mundo y suele sustentar el núcleo del negocio de muchas empresas. Por eso garantizar su seguridad debe ser un objetivo prioritario para ellas.

Para cubrir por completo todas las capas lógicas que conforman la seguridad de un sistema SAP, necesitamos tener en cuenta los siguientes procesos:


1) Capa de negocio SAP: Auditoria de políticas de asignación de privilegios (usuarios, perfiles, authorization objects).

2) Capa tecnológica SAP: Análisis de vulnerabilidades de los servicios SAP (saprouter, sap-dispatcher, sap-gateway, sap-message-server, sap-igs, sap-portal) .

3) Base de Datos: Análisis de vulnerabilidades a nivel de BBDD.

4) Sistema Operativo: Análisis de vulnerabilidades a nivel de sistemas y redes.


Tradicionalmente la capa tecnológica de SAP ha sido la menos tenida en cuenta por la mayoría de profesionales:

  • Los consultores SAP, normalmente se limitaban a auditar solamente la seguridad de la capa de negocio, ignorando la base tecnológica que toda gran aplicación tiene.
  • Los auditores de seguridad, normalmente se limitaban a analizar la plataforma (sistema operativo y base de datos) como si de una auditoria normal se tratase. Sin tener en cuenta la gran complejidad que tiene un sistema SAP.

El problema es que una vulnerabilidad grave en cualquiera de las capas compromete completamente la integridad del sistema SAP en su conjunto.

Por ejemplo si se produce un compromiso a nivel de sistema operativo, el atacante podría modificar cualquiera de las capas superiores y conseguir acceso de administrador.

Si se compromete la base de datos. La configuración de seguridad del entorno SAP queda también comprometida ya que se encuentra almacenada en ella.

Si la capa tecnológica no se encuentra protegida, cualquier usuario de la red podría llegar a conseguir privilegios de administrador en el sistema SAP y tomar control del mismo.

Por lo tanto, es imprescindible que una auditoria de seguridad de un sistema SAP cubra los cuatro niveles.

Desde el departamento de Auditorias de S21SEC estamos intentando concienciar a nuestros clientes de lo importante que es realizar la auditoria de sus sistemas SAP de esta forma. Tendiendo a separar la auditoria de SAP en si misma de otras auditorias más generales que normalmente no tienen el alcance suficiente.

Ramón Pinuaga Cascales
Dept. Auditoria S21sec

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login