Servicios de Seguridad SAP

Transcripción

1 Servicios de Seguridad SAP

2 Presentación INFORMACIÓN DISPONIBILIDAD Experiencia Tenemos una sólida experiencia, habiendo realizado numerosos proyectos tanto para grandes empresas como multinacionales Nota media obtenida por Inprosec en 2016 según nuestros clientes Certificaciones Además de su formación académica, las Personas que forman parte del equipo de Consultoría de Inprosec son especialistas en Seguridad y Gestión de Proyectos: certificaciones CISA, CSX, ITIL, ISO 27001, Prince2 y SAP GRC. Áreas de negocio Las áreas de negocio en las que Inprosec desarrolla su actividad son: - SAP Seguridad SAP SAP GRC - Seguridad de la información.

3 SAP Security Services Los riesgos de los sistemas SAP suelen estar ocasionados por la falta de políticas y procedimientos conocidos como: Diseño de Roles SAP Security Assessment Identity Management Proyectos a Medida

4 SAP Security Services Diseño de roles Worst Case Best Case Uno de los mayores problemas con los roles de SAP es no emplear un criterio único. Varios modelos ejecutados por distintos grupos de trabajo coexisten en el mismo sistema, generando riesgos innecesarios basado en requisitos de usuarios. Roles basados en usuarios, puestos o departamentos Sostenibilidad del modelo de roles Ausencia de conflictos SoD Roles basados en tareas alineadas con SAP GRC Inprosec Metodología Best Practice Ahorro en el tiempo de procesos

5 SAP Security Services Diseño de roles ROI Conocer y Entender Conocemos el negocio y trabajamos para comprender sus necesidades Eficiencia Creamos solo los accesos que el negocio necesita Ahorro 67% El modelo de roles que diseñamos requiere de un menor esfuerzo. ( 10 min/rol) Return of Investment Inprosec está especializado en maximizar el ROI de sus clientes.

6 SAP Security Assessment El SAP Security Assessment es un producto integral de seguridad que Inprosec ofrece a sus clientes para disponer de la información sobre los principales riesgos existentes en los sistemas SAP. Análisis de Riesgos Inprosec ofrece un análisis de riesgos para informar sobre los riesgos de segregación de funciones en sistemas SAP. Análisis Modelo de Roles Análisis del modelo de roles para mejorarlo y compararlo con un modelo basado en buenas prácticas. Análisis de código SoD Revisión técnica, en sistemas SAP, de programas, transacciones y código propios. Análisis de Seguridad Con este servicio se puede obtener una visión global del nivel de seguridad de los sistemas SAP. Test de intrusión Este servicio tiene como objetivo vulnerar los sistemas SAP, simulando un ciberataque.

7 SAP Security Assessment SoD Análisis de Riesgos Uno de los mayores problemas en relación con la segregación de funciones (SoD) en sistemas SAP es la falta de información al respecto. Es un problema o no?, los riesgos existentes son específicos de una serie de departamentos o procesos?, etc. Inprosec ofrece un análisis de riesgos a clientes SAP para poder disponer de información real y clara sobre los riesgos de segregación de funciones. Beneficios: Disponer de información en relación con los riesgos de SoD en sistemas SAP. Definir acciones y propuestas de mejora para reducir los riesgos de SoD en sistemas SAP.

8 SAP Security Assessment Análisis Modelo de Roles El primer paso para entender y reducir los riesgos de segregación de funciones existentes en un sistema SAP, es conocer cómo está construido el modelo de roles utilizado y como es asignado a los usuarios. Inprosec ofrece un análisis del modelo de roles, teniendo en cuenta los riesgos de segregación de funciones y el uso transaccional, para analizar la posible reducción de riesgos utilizando el modelo de roles actual o presentar una comparativa frente a la implementación de un modelo basado en buenas prácticas. Este servicio incluye adicionalmente el Análisis de Riesgos ya que es necesario para un correcto estudio del modelo de roles.

9 SAP Security Assessment Análisis de Seguridad Con este servicio se puede obtener una visión global del nivel de seguridad de los sistemas SAP incluyendo los siguientes apartados: Usuarios y Contraseñas. Análisis de riesgos de accesos críticos de IT. Análisis técnico de vulnerabilidades. Parámetros de Seguridad. Carga y estado del sistema. Políticas y Procedimientos.

10 SAP Security Assessment Test de intrusión Fase 2 Detección de vulnerabilidades El Test de intrusión de sistemas SAP tiene como objetivo vulnerar los sistemas SAP, simulando un ciberataque con la finalidad de encontrar puntos débiles de seguridad, tanto en la propia plataforma objetivo como en cualquiera de los sistemas de información circundantes. Fase 1 Recopilación de información Análisis en ciclo Fase 4 Fase 3 Explotación de vulnerabilidades Escalado de permisos

11 SAP Security Assessment Análisis de código Otro de los grandes desafíos a la hora de hacer más seguros los sistemas SAP pasa por diseñar y desarrollar aplicaciones propias (comúnmente llamadas Z) seguras. Inprosec ofrece un análisis de código que ayuda a garantizar que las aplicaciones de desarrollo propio no presenten fallos de seguridad, cumplimiento regulatorio, calidad o problemas de rendimiento. Con los resultados obtenidos tras la realización de este informe será posible llevar a cabo acciones concretas para corregir y mejorar el funcionamiento de las aplicaciones, para satisfacer exigencias de auditoría tanto interna como externa.

12 Identity Management SSO Single Sign On. Uno de los mayores problemas que existe en las organizaciones que tienen múltiples sistemas SAP es el esfuerzo invertido en la gestión de contraseñas. La implementación de un Single Sign On en sistemas SAP permitirá reducir el esfuerzo en esta tarea, puesto que el usuario solo tendrá que seleccionar el sistema SAP al que quiera acceder sin la necesidad de poner su Usuario de SAP ni su contraseña. Beneficios: Reducción del tiempo y esfuerzo en la gestión de contraseñas (Alta y Modificación). Reducción de los riesgos relacionadas con la publicación de las contraseñas por parte de los usuarios.

13 Identity Management Implementación SAP IDM Uno de los mayores desafíos es hacer productivo y eficiente el proceso de gestión de accesos. SAP Identity Management ayuda a gestionar las identidades de una forma centralizada (una persona puede tener varios usuarios bajo una identidad única). SAP IDM tiene una licencia gratuita para utilizar contra sistemas SAP (aunque tiene un costo para sistemas No SAP). Beneficios: Permite el uso de Password Self-Service sin necesidad de licencias de otras aplicaciones. Permite la creación de Flujos de Aprobación previos a la asignación del acceso. Creación, Modificación y Eliminación de Usuarios en cualquier sistema (no solo SAP). Asignación de accesos basados en Posiciones. Si un empleado para a Director Comercial, IDM asignará los accesos en los sistemas necesarios y eliminará los accesos previos.

14 Proyectos a Medida Políticas y Procedimientos Los riesgos de los sistemas SAP suelen estar ocasionados por la falta de políticas y procedimientos conocidos como: Matriz de Riesgos Procedimiento de gestión de usuarios Planes de Contingencia Riesgos Políticas de copias de seguridad Política de Contraseñas Procedimiento de cambios a programas

15 Proyectos a Medida Aplicaciones de Seguridad La flexibilidad a la hora de realizar proyectos dentro de las Áreas de Negocio de Inprosec hace que muchos de los proyectos realizados no se encuentren descritos dentro de las Áreas anteriores. A continuación nombramos los mas interesantes: Automatización de Procesos (Scripts) a través de la transacción LSMW Puesta en Marcha de aplicaciones de seguridad en SAP Solution Manager: EarlyWatch Alert, Service Optimization Service y Configuration Validation Instalación de la Herramienta Read Access Logging SAP Licensing Audit

16 Soporte Seguridad SAP Inprosec está especializado en servicios de soporte de seguridad SAP. Diseño de roles basado en best practice Servicio técnico Creación y modificación de roles Gestión de tickets Reseteo de contraseñas. Asignación de accesos de emergencia. Cambios de autorización.

17 Inprosec: por qué nosotros? Equipo multidisciplinar Inprosec cuenta con un equipo plurilingüe formado por diversos perfiles académicos (ingenieros, titulados superiores, ) que desempeñan sus funciones asumiendo roles de consultores, auditores, jefes de Proyecto, etc... Mejora continua. En un mundo en constante cambio, es fundamental aprender y mejorar para adaptarse y ofrecer servicios alineados con las necesidades de los Clientes. Nuestra propuesta de valor No somos incompatibles con auditorías. Somos independientes. Somos Consultores. No competimos en mercados que no nos son familiares.

18 Cómo podríamos ayudarle? Gracias por su atención.