¿Sabías que un ciberataque puede causar más perjuicios que un desastre natural? Ante la escalada de ataques contra la seguridad, hemos abordado en un webinar las claves para implementar SAP S/4HANA de forma segura en Amazon Web Services (AWS) para todas aquellas empresas que están impulsando sus procesos de transformación digital y han optado por llevar sus sistemas SAP a la plataforma de nube pública.
La seguridad de los sistemas, los datos y las aplicaciones es una preocupación que comparten todas las compañías del mundo, y es ya una prioridad para la alta dirección, lo que no es de extrañar porque los ciberincidentes han aumentado en el último año y un fallo de seguridad puede causar graves daños al negocio. Además, un ciberataque que paralice la actividad de un proveedor que preste servicios a cientos de clientes en campos críticos, podría generar más pérdidas que un desastre natural, según el estudio ‘The Economic Cost of Cyberrisk’, realizado por la Fundación para la Defensa de las Democracias (FDD) y el grupo asegurador Intangic. Su análisis apunta a que, en el primer caso, el daño económico sería de casi 80.000 millones de dólares, mientras que el provocado por el huracán Sandy en 2012 fue de 65.000 millones.
Por datos como estos, y ante la certeza de que esta cuestión es vital para todas las organizaciones, hemos querido centrar nuestra sesión en el Día Temático que AUSAPE (la Asociación de Usuarios de SAP España) dedicó a SAP S/4HANA, a cómo desplegar de forma segura esta solución en AWS.
En su intervención, Mario de Felipe, director de Desarrollo de Negocio, destacó que las plataformas hiperescalares, espacio que lidera AWS, han trabajado para garantizar un entorno seguro de cada sistema y aplicaciones. De igual forma, proveedores líderes de TI se han adentrado en el mundo cloud. Un buen ejemplo de ello es la estrategia que ha lanzado SAP, Rise with SAP, que permite abordar la transformación digital como servicio para alcanzar lo que la compañía llama ‘Intelligent Enterprise’.
Como explicó nuestro experto, tanto SAP como AWS cuentan con los recursos y herramientas necesarias para ofrecer los niveles de seguridad que mantienen a salvo las cargas de trabajo, al mismo tiempo que se asegura el rendimiento y la agilidad en los procesos.
Para los usuarios de SAP, la plataforma cloud tiene en su oferta una serie de servicios divididos en diversos dominios que ayudan a tener los sistemas SAP más seguros en un entorno de nube pública. Siguiendo las mejores prácticas de SAP, estas son Identidad, Controles de detección, Protección de la infraestructura, Protección del Dato, Respuesta ante incidentes y Protección de las aplicaciones SAP.
Por un lado, Amazon provee una serie de servicios que se integran perfectamente con las infraestructuras SAP, y que permiten definir, hacer cumplir y auditar los permisos en los servicios y recursos de AWS. Entre ellos se encuentran soluciones como AWS Identity and Access Management, para el control de acceso e identidades; AWS Organizations, para llevar a cabo una gestión basada en políticas para múltiples cuentas en AWS; AWS Cognito, para la autenticación, autorización y administración de usuarios para sus aplicaciones móviles y web; AWS Secrets Manager, para alternar, administrar y recuperar fácilmente credenciales de bases de datos, claves de API y otros datos confidenciales durante su ciclo de vida; AWS Single Sign-On, para administrar de forma centralizada el acceso a múltiples cuentas de AWS, y AWS Control Tower, un servicio orquestación que combina e integra las capacidades de otros servicios de la plataforma y que facilita la configuración y gobierno de un entorno de AWS de las diversas cuentas.
Por otro lado, hay servicios que facilitan la visibilidad necesaria para detectar problemas antes de que impacten en el negocio, mejorar la postura de seguridad y reducir el perfil de riesgo del entorno SAP.
En este punto destacan AWS CloudTrail, servicio que permite realizar auditorías de gobernanza, de conformidad, operativas y de riesgo en su cuenta de AWS; AWS Config; que monitoriza y registra constantemente las configuraciones de los recursos de AWS y automatizar la evaluación de las configuraciones registradas con respecto a las configuraciones deseadas, o AWS CloudWatch, que ofrece datos e información procesable para monitorizar sus aplicaciones, responder a cambios de rendimiento que afectan a todo el sistema, optimizar el uso de recursos y lograr una vista unificada del estado de las operaciones; AWS GuardDuty, que facilita de detección inteligente de amenazas, y VPC Flow Logs o logs de flujo de Amazon Virtual Private Cloud (VPC), que son una funcionalidad que permite capturar información sobre el tráfico IP que entra y sale de las interfaces de red en la VPC, y los datos de registro se almacenan en Amazon CloudWatch Logs.
Para Mario de Felipe, el área de seguridad de la infraestructura es “una de las más complejas, es de la que probablemente hay más información y la que tiene menos que ver con el entorno SAP”. Cuando una empresa usuaria de SAP confía sus sistemas a la nube de AWS, se debe generar un entorno seguro, utilizando los recursos de protección de la plataforma para evitar ataques externos.
La responsabilidad de la capa de seguridad SAP en cualquier nube recae sobre el cliente y, por tanto, su equipo de TI es el encargado de blindar el acceso al entorno, tanto a nivel de red y de VPC, como al del acceso a la aplicación y al sistema operativo. En este ámbito son de gran ayuda servicios como AWS Systems Manager, AWS Shield, AWS WAF (Web Application Firewall); AWS Firewall Manager, Amazon Inspector y Amazon VPC.
Respecto a la protección de datos, el especialista se detuvo en la integración de SAP en AWS a los niveles de protección de datos y de la aplicación, que están muy relacionados. En lo que se refiere a protección del dato, esta se produce en la transferencia y en el dato generado y, para que estos procesos sean seguros, AWS dispone varias herramientas para generar certificados para SSL que se integran con SAP. Además, se puede integrar el sistema SAP con herramientas como Amazon Macie utilizando SAP Enterprise Threat Detection y, a la vez, comunicarse con soluciones SIEM, tipo Splunk. Es esa la combinación que permite a las empresas identificar y comprender dónde se ha producido la brecha dentro del sistema SAP para así responder ante los incidentes.
Sigue este enlace si quieres acceder a la sesión completa. También puedes descargarte el webinar en inglés que organizamos con SAP y AWS sobre cómo asegurar tus datos SAP en la nube de AWS.