Más del 95 por ciento de los casi 600 sistemas SAP analizados por la compañía de seguridad Onapsis resultaron vulnerables a espionaje, sabotaje y fraude, principalmente porque no se han aplicado los parches de seguridad, según un investigador.
Los atacantes que hacen blanco de las plataformas SAP no necesitan credenciales para realizarlos, dijo Juan Perez-Etchegoyen, CTO de Onapsis, una firma de consultores orientada hacia los sistemas ERP e infraestructura crítica de negocios en Buenos Aires.
El jueves Perez-Etchegoyen hizo énfasis sobre el tema en la conferencia Hack in the Box realizada en Amsterdam.
Las compañías globales, gobiernos y agencias de defensa usan SAP para administrar tareas diarias como planeamiento financiero, administración de la nómina y logística, dijo. Si las plataformas SAP son infringidas, los intrusos son capaces de acceder a información de los clientes, paralizar la compañía al apagar los sistemas o modificar información con intensiones fraudulentas, añadió.
“El problema es que las compañías no conocen el riesgo”, dijo Perez-Etchegoyen, aunado a que los sistemas SAP manejan la información sensible e importante de las compañías.
La razón principal por la cual las compañías que usan SAP son vulnerables es porque no aplican los parches y de esta forma dejan sus sistemas expuestos, indicó.
“SAP está trabajando duro en el área de seguridad y son buenos en ello, pero los clientes necesitan actualizarse”, enfatizó Perez-Etchegoyen.
No siempre es fácil mantenerse al día con los parches, ya que muchas implementaciones de SAP están altamente personalizadas”, explicó. Esto significa que con cada parche, el departamento de TI debe realizar pruebas extensivas para asegurar que el sistema seguirá trabajando adecuadamente, dijo.
Una de las partes destacadas como vulnerables en la implementación de SAP durante su plática es el Solution Manager, fue un componente necesario para cada puesta en marcha y punto central de la administración de sistemas, recalcó durante su presentación.
El Solution Manager por sí mismo no almacena información del negocio, pero puede ser usado para influenciar sistemas conectados, dijo, además comúnmente se conecta a varios sistemas SAP que la compañía posee.
Mientras muchos sistemas investigados por las pruebas de Onapsis son vulnerables a ataques, no es sorpresa que existan pocas fallas graves de SAP conocidas públicamente, de acuerdo con Perez-Etchegoyen. “Existen fallas”, indicó, pero si las compañías saben que sus sistemas han sido infringidos, no lo manifiestan. Un mal PR es una de las razones por las que no lo harían, dijo, agregando que en ocasiones las compañías ni siquiera saben que han sido vulneradas.
Lo mejor que los usuarios pueden hacer para asegurar sus implementaciones SAP es verificar continuamente los parches y que las configuraciones de sus servicios son correctas, dijo Perez-Etchegoyen.
Fuente: TechWorld
0 comentarios:
Publicar un comentario