Las empresas que utilizan ERP de SAP desarrollan constantemente nuevos códigos en el lenguaje de programación SAP ABAP (Advanced Business Application Programming) para adaptar y / o crear funcionalidades específicas a sus necesidades de negocio y procesos. Como resultado, pueden introducir agujeros de seguridad de forma accidental o intencionada al exponer y hacer que los entornos de SAP sean vulnerables a los ataques de piratas informáticos.
Si no conoce las respuestas a las preguntas siguientes, es probable que se encuentre en el grupo de riesgo de empresas que tienen desarrollos ABAP personalizados “conocidos como el programa Z” y que están expuestos y son vulnerables a las violaciones de seguridad.
- Você sabe quantos desenvolvimentos ABAPs foram criados para sua organização, a finalidade de cada desenvolvimento e se todos estão de fato sendo utilizados em produção pelos usuários de negócios?
- Sua empresa possui política desenvolvimento ABAP que incorpora as práticas de segurança e riscos para mitigar as vulnerabilidades e brechas mais conhecidas?
- Seu time de desenvolvedores ou empresa contratada para desenvolvimentos ABAP segue as práticas de segurança e riscos adotado na política de desenvolvimento da sua empresa?
- Sua empresa possui o mapeamento e controle das customizações que expõe o seu negócio ao risco (incluindo a identificação das principais vulnerabilidades mapeadas e procedimentos de redução dos riscos identificados)?
- Seus códigos customizados possuem restrições mínimas e necessárias para conformidade com a Lei LGPD?
Un código ABAP bien desarrollado debe incorporar mecanismos que puedan evitar vulnerabilidades y brechas de seguridad tales como INYECCIÓN SQL, INYECCIÓN DE CÓDIGO ABAP, INYECCIÓN DE COMANDOS ABAP, USUARIO Y CONTRASEÑA CON CÓDIGO DURO, RELEVANCIA DE RIESGOS SOD, CODIFICACIÓN ABAP DE INCUMPLIMIENTO DE SAP, ACCESO A DATOS SENSIBLES ( cumplimiento de la ley LGPD) etc.
Toda empresa debe tener una política de desarrollo ABAP que incorpore prácticas de seguridad y riesgo, y esta política debe ser parte del proceso de desarrollo interno y del proceso de contratación y calificación de empresas externas contratadas para trabajar en desarrollos ABAP.
Para mitigar los riesgos mencionados anteriormente, primero debe hacer un inventario de sus personalizaciones ABAP y sus vulnerabilidades. Posteriormente, determine las correcciones inmediatas, como agregar los programas y, en consecuencia, las transacciones personalizadas consideradas críticas para su matriz de Riesgo de Segregación de SoDs (Segregation of deberes). También puede hacer uso de la solución SAP ABAP Test Cockpit (SAP ATC) para automatizar el proceso de verificación y aprobación de código durante el lanzamiento de «transporte» al entorno de aprobación. SAP ATC está integrado en la plataforma SAP Netweaver y ciertamente ya tiene licencia para usarlo sin costo adicional.
Ejemplo de solución SAP ATC con interfaz FIORI (exclusividad TrustSis)
Si necesita más información sobre servicios de inventario y análisis de seguridad, riesgos de personalización y cómo utilizar la herramienta SAP ATC (flujo de aprobación con interfaz Fiori), programe una conversación con nosotros.