Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad en SAP:
sepa cómo mantenerla controlada
Por Anibal Mastroberti, Consultor Cybsec S.A.
Uno de los principales objetivos e in- ción hace que un determinado módulo, se Seguridad en el Sistema SAP
tereses de una empresa es mantener a sal- adapte a las necesidades de los procesos de La información de negocio de las em-
vo la información de negocio a personas o una empresa y forma parte de lo que se puede presas que utilizan SAP, se encuentra guarda-
sistemas indeseados. Gran cantidad de las llamar como una capa de Zona Gris, que se da dentro del mismo sistema. Es por eso, que
principales empresas, en su mayoría, gran- explicará luego. Toda la información utiliza- es primordial asegurar y restringir el acceso,
des y medianas han implementado diversos da por la Capa Funcional, se encuentra guar- solamente a la/s persona/s que deben tener
sistemas informáticos que permiten facilitar dada dentro del sistema en distintas tablas y conocimiento de parte de la información que
su gestión y optimizar el uso y el proceso les sirva para realizar su trabajo utilizando el
de transformación de su información de sistema. Dentro de las consideraciones que
negocio entre distintas las diversas áreas Capas del sistema SAP se deben tener en cuenta para hacer esta
que la componen mediante la utilización de restricción en las distintas capas menciona-
un sistema ERP (Planificación de Recursos das, es que existen muchas configuraciones
Empresariales). por defecto y la gran mayoría, son inseguras
En particular en este artículo se va a con- dentro del sistema. A continuación, hace un
siderar uno de esos sistemas ERP creado en el análisis por capa de la seguridad necesaria
año 1992 por la empresa Alemana SAP AG en cada una.
denominado SAP R/3 (existen diversidad de
versiones previas y posteriores). SAP R/3 es Seguridad en la Arquitectura
una aplicación cliente – servidor. Esto quiere Los servidores que formen parte de
decir, que para poder utilizar el sistema, se la infraestructura SAP deben estar en una
tiene que instalar un programa (cliente) y ese red aislada, en particular lo que es conocido
programa es el que realiza el acceso al sistema como SAProuter y la infraestructura de SAP
ERP de SAP, que se encuentra instalado en un dentro de una DMZ. Una DMZ es una zona
servidor. Se va a explicar como está compues- de la red que se mantiene separada de la red
ta una de estas partes del sistema (servidor), empresarial y de las redes externas. De esta
haciendo una separación en distintas capas forma, se realiza el acceso desde el exterior
en las que se puede subdividir. en forma segura a la infraestructura SAP. Este
acceso es necesario para el Soporte Directo
Capa Funcional objetos en una gran Base de Datos. realizado por parte de SAP.
Esta capa contiene la lógica de negocio, La Zona Gris consiste en la parametri- Esta separación permite limitar las co-
que puede separarse en diversos módulos, zación/configuración específica que se realiza nexiones que se hagan al sistema, permitien-
que se diferencian por el proceso de nego- tanto en la Capa Funcional, como en el mis- do únicamente el uso de aquellas autorizadas.
cio o área funcional que abarca cada uno. mo sistema SAP R/3 a nivel de Sistema Ope- Se pueden implementar estas restricciones de
Por ejemplo existe un módulo de finanzas, rativo, para su adecuado funcionamiento. La acceso utilizando un Firewall (rechaza co-
conocido y denominado por la sigla FI; Base de Datos es el lugar donde se guarda la nexiones indebidas) y el uso de la aplicación
un módulo de ventas y distribución deno- información utilizada por la Capa funcional mencionada SAProuter, que permite además
minado SD, entre tantos otros. Se pueden y parte de la información denominada Zona restringir el acceso a la infraestructura SAP
agrupar estos módulos entres grandes áreas Gris (Configuración). Para la instalación tan- (ver diagrama de arquitectura).
(financiera, logística y recursos humanos) y to de la Base de Datos, como el aplicativo
funcionan de un modo integrado, por nece- SAP R/3, se requiere tener instalado primero Seguridad en Sistemas
sidad de interacción en los distintos procesos un Sistema Operativo en el servidor que se Operativos
de negocio. utilice. • Seguridad en las cuentas de acceso:
Cada empresa, decide ‘implementar’ Idealmente, se instalan tres ambientes de Como el sistema SAP, se instala en un
o instalar y configurar o parametrizar los trabajo distintos de un mismo sistema SAP Sistema Operativo, se debe limitar el acceso
módulos que se adapten a su operatoria y (Desarrollo, Testing / QA y Producción). En y uso, solamente para hacer tareas de insta-
en algunos casos adaptar la operatoria de el gráfico, se muestra un diagrama donde se lación y actualización del sistema a personas
la empresa los procesos estandarizados de modela la arquitectura que se aconseja para especializadas (Basis). Se deben utilizar polí-
cada módulo. El concepto de parametriza- infraestructuras de SAP. ticas que defina la empresa, para el ingreso al
Salto Cualitativo
Hacia una velocidad de transferencia 10 veces mayor de los cableados estructurados
En el número anterior hicimos un normas a las cuales nos hemos referido. Esto de eventuales fallas. Pero de ningún modo
repaso de la evolución de los cableados es imposible de de-mostrar de otra manera reemplazan a un certificado de sistemas o
estructurados. Analizamos tres ‘hitos’ de que con pruebas y mediciones que sólo se de componentes Cat.6A emitido por un la-
tal proceso. El pasado 15 de abril, la nor- pueden realizar en laboratorios de prueba boratorio de pruebas independiente (ver el
ma internacional ISO/IEC 11801 publicó especializados. punto anterior).
su segunda enmienda. A partir de ahora, El cliente es capaz de diferenciar los Para la certificación del cableado ins-
no sólo se especifican los requerimientos verdaderos sistemas y componentes Cat.6A talado Cat.6A en indispensable utilizar
para sistemas Cat.6A, sino también los pa- de los falsos de gracias a los certificados emi- instrumental con categoría de precisión
rámetros de transferencia (y la forma de tidos por laboratorios de pruebas indepen- IIIe o IV con generador de frecuencia de
testearlos y certificarlos) de cada uno de dientes. Por eso, debe ser una regla solici- por lo menos 500 MHz. Si se trata de un
los componentes Cat.6A. La característica társelos al proveedor sin excepciones. En el sistema completo Cat.6A, siempre hay que
más importante de estos componentes: la caso de un sistema Cat.6A se trata de un testearlo como canal (Channel) usando pa-
interoperabilidad. certificado para todo el canal de transmisión tchcords correspondientes al sistema dado.
y en el caso de los componentes Cat.6A, cada De tratarse de un cableado realizado con
Dos vías para la realización de un ca- uno de éstos está certificado por separado componentes con interoperabilidad Cat.6A
bleado estructurado Cat.6A. Estamos fren- (o, eventualmente, en grupos de una misma tenemos dos opciones: realizar la medición
te a una nueva etapa, en la que los cableados línea de productos). Para saber si se trata de como canal (de la misma forma que para
Cat.6A se podrán construir de dos modos: un sistema Cat.6A, un elemento constitu- un sistema Cat.6A) o como enlace perma-
mediante la instalación de todo un sistema tivo de sistema un Cat.6A o un verdadero nente (Permanent Link). La segunda opción
Cat.6A, o instalando componentes Cat.6A componente Cat.6A es importante prestar presenta la ventaja de que al momento de
con interoperabilidad. Ambas posibilidades atención a los textos y datos que constan en realizar la distribución, no es indispensable
tienen el mismo valor y están respaldadas los certificados. definir un tipo concreto de patchcord, ni
por las normas internacionales. El rol de las certificaciones para los su fabricante (lo que en la mayoría de los
El rol de los certificados para los siste- sistemas y los componentes Cat.6A. Las casos no se puede asegurar). La categoría de
mas y los componentes Cat.6A. La categoría mediciones de certificación del cableado performance está garantizada para todos los
de performance 6A está garantizada tanto instalado mediante instrumental portátil patchcords Cat.6A sin necesidad de medi-
a nivel sistema como a nivel componente (testers) tienen como fin verificar la cali- ción o verificación complementaria.
Cat.6A sólo en el caso de responder a las dad del trabajo de instalación y la detección Todos los instrumentos de medición
presentan, además de la norma internacio-
nal, la norma nacional TIA/EIA válida en los
Dos vías para la realización de un cableado estructurado Cat.6ª EE. UU. En principio, ésta emana de solucio-
nes no apantalladas y por eso las exigencias
para las características de transmisión de los
componentes y de los sistemas son meno-
res. Es por eso que es necesario seleccionar
siempre en los testers la norma ISO/IEC
11801. Las excepciones son: instalaciones
realizadas en los EE. UU., instalaciones reali-
zadas en países cuya norma nacional emane
de la TIA/EIA-568, instalaciones realizadas
en sedes, sucursales o filiales de firmas esta-
dounidenses localizadas en otros países.