Los sistemas SAP son de los más seguros del planeta. Sin embargo, a pesar de ello, con las recientes integraciones de SAP a otros sistemas surgen puntos débiles donde estos se conectan entre sí. Prevenir riesgos y diseñar estrategias para paliar los posibles daños se ha vuelto una tarea fundamental.
En este sentido, una de las tácticas más recomendables es la aplicación de los sistemas de confianza cero. En este post del blog de ZTalent hablamos sobre ellos y cuáles son las ventajas que pueden aportar a la seguridad de nuestros sistemas SAP.
Sistemas de confianza cero: qué son
Microsoft los define como la suposición de que hay incumplimientos en cuanto a seguridad. La base de los sistemas de confianza cero es comprobar cada solicitud como si se originara en una red abierta. Independientemente del origen de la solicitud o de los recursos a los que accede, los sistemas de confianza cero enseñan a desconfiar y comprobar siempre.
De esta forma, cada solicitud de acceso pasa por un proceso completo de autenticación, autorización y cifrado antes de otorgar el acceso. Los principios de acceso de microsegmentación y privilegios mínimos se aplican para minimizar el movimiento lateral. Se utilizan análisis e inteligencia sofisticados para detectar anomalías y responder a ellas en tiempo real.
Así, a modo de resumen, los sistemas de confianza cero funcionan bajo la premisa de que no se puede confiar en ningún usuario a menos que se valide lo contrario. Esto significa que incluso las cuentas de los dispositivos gestionados necesitan más autenticación y validación antes de que el sistema confíe en ellas.
Por qué aplicar los sistemas de confianza cero en SAP
La interconexión ha sido históricamente algo difícil de conseguir. En el caso de las conexiones entre SAP y otros sistemas, por mucha seguridad que introduzca la empresa, siempre habrá vulnerabilidades que corregir. Desde el punto de vista de la administración, la única forma de garantizar la seguridad en toda la empresa es mediante sistemas de confianza cero.
El problema más generalizado, según indica la experta SAP Maya Chowdhury, es la combinación de sistemas locales con sistemas de procesamiento en la nube. La seguridad en la nube utiliza un nivel de permisos de acceso diferente al de la seguridad local. En muchos casos, una empresa que ejecuta una solución SAP on-premise puede considerar la posibilidad de migrar a la nube solo para darse cuenta de que todos sus permisos de ciberseguridad pueden tener que cambiar. El sistema se ve aún más gravado cuando se utilizan integraciones entre SAP y otros sistemas, ya que éstas podrían crear grietas en la armadura de ciberseguridad de una empresa que pueden ser explotadas. Los sistemas de confianza cero son una forma de abordar esto.
La validación, la principal ventaja de los sistemas de confianza cero
Los expertos en ciberseguridad coinciden en que la mayoría de las violaciones de seguridad de las empresas tienen su origen en el robo de datos de los usuarios. Las credenciales comprometidas pueden ocurrirle a cualquiera, pero a veces el equipo de seguridad no se da cuenta de que las credenciales se han visto comprometidas hasta muchos meses después del hecho.
Algunas empresas lo solucionan creando un sistema de cambio de contraseñas cronometrado, donde la contraseña de un usuario caduca automáticamente después de un tiempo determinado. Sin embargo, debido a la rapidez de los sistemas actuales, ya es demasiado tarde para evitar el robo de datos o la instalación de malware en los sistemas. La mayoría de las veces, el usuario comprometido puede tener instalados registradores en su sistema que permiten a un usuario malintencionado obtener la nueva contraseña a medida que la cambia, derrotando al sistema.
Los sistemas de confianza cero abordan este problema en su esencia. Dado que no se puede confiar en ningún usuario, toda la validación debe realizarse varias veces. El hecho de que un usuario tenga la contraseña y los datos de autenticación correctos no le hace necesariamente digno de confianza. En estos sistemas hay una circulación continua de datos. Los privilegios de acceso cambian en función del grupo del usuario, y es mucho más fácil detectar actividades maliciosas pertenecientes a una cuenta concreta. Los permisos de seguridad dinámicos son indicadores cruciales de estos sistemas, ya que es tedioso aplicar permisos de grupo en cada subconjunto de un sistema en crecimiento.