Embed Size (px)
Citation preview
Servicios de Seguridad SAP®
Experiencia
Tenemos una sólida experiencia, habiendo realizado numerosos proyectos tanto para grandes empresas como multinacionales.
Áreas de negocio
Las áreas de negocio en las que
Inprosec desarrolla su actividad
son:
- SAP®
• Seguridad SAP®
• SAP® GRC
- Seguridad de la información.
DISPONIBILIDAD
INFORMACIÓN
Presentación
Certificaciones
Además de su formación académica, las Personas que forman parte del equipo de Consultoría de Inprosec son especialistas en Seguridad y Gestión de Proyectos: certificaciones CISA, CSX, ITIL, ISO 27001, Prince2 y SAP GRC.
8.85 Nota media obtenida por Inprosec en 2016 según nuestros clientes
SAP Security Services
Los riesgos de los sistemas SAP® suelen estar ocasionados por la falta de políticas y procedimientos conocidos como:
Diseño de Roles
SAP Security Assessment
Identity Management
Proyectos a Medida
Diseño de roles
Uno de los mayores problemas con
los roles de SAP® es no emplear un criterio único .
Varios modelos ejecutados por distintos grupos de trabajo coexisten en el mismo sistema, generando riesgos innecesarios basado en requisitos de usuarios.
Roles basados en tareas alineadas
con SAP GRC
Best Case
Metodología Best Practice
Inprosec
Roles basados en usuarios, puestos o departamentos
Worst Case
SAP Security Services
Ahorro en el tiempo de procesos
Ausencia de conflictos
SoD
Sostenibilidad del modelo de roles
SAP Security Services
Diseño de roles
El modelo de roles que diseñamos requiere de un
menor esfuerzo. (10 min/rol)
Ahorro 67%
Conocemos el negocio y
trabajamos para comprender sus
necesidades
Conocer y Entender
Creamos solo los accesos que el
negocio necesita
Eficiencia
ROI
Return of Investment
Inprosec está especializado en maximizar el ROI de sus clientes.
SAP Security Assessment
Análisis de Riesgos
Inprosec ofrece un análisis de riesgos para informar sobre los riesgos de segregación de funciones en sistemas SAP.
Análisis de Seguridad
Con este servicio se puede obtener una visión global del nivel de seguridad de los sistemas SAP.
Análisis Modelo de Roles
Análisis del modelo de roles para mejorarlo y compararlo con un modelo basado en buenas prácticas.
Test de intrusión
Este servicio tiene como objetivo vulnerar los sistemas SAP, simulando un ciberataque.
El SAP Security Assessment es un producto integral de seguridad que Inprosec ofrece a sus clientes para disponer de la información sobre los principales riesgos existentes en los sistemas SAP ®.
Análisis de código
Revisión técnica, en sistemas SAP, de programas, transacciones y código propios.
SoD
SoD
Uno de los mayores problemas en relación con la segregación de funciones (SoD) en sistemas SAP es la falta de información al respecto. ¿Es un problema o no?, ¿los riesgos existentes son específicos de una serie de departamentos o procesos?, etc.
Inprosec ofrece un análisis de riesgos a clientes SAP para poder disponer de información real y clara sobre los riesgos de segregación de funciones.
Análisis de Riesgos
SAP Security Assessment
Beneficios:
Disponer de información en relación con los riesgos de SoD en sistemas SAP.
Definir acciones y propuestas de mejora para reducir los riesgos de SoD en sistemas SAP.
El primer paso para entender y reducir los riesgos de segregación de funciones existentes en un sistema SAP, es conocer cómo está construido el modelo de roles utilizado y como es asignado a los usuarios.
Inprosec ofrece un análisis del modelo de roles, teniendo en cuenta los riesgos de segregación de funciones y el uso transaccional, para analizar la posible reducción de riesgos utilizando el modelo de roles actual o presentar una comparativa frente a la implementación de un modelo basado en buenas prácticas.
Este servicio incluye adicionalmente el Análisis de Riesgos ya que es necesario para un correcto estudio del modelo de roles.
Análisis Modelo de Roles
SAP Security Assessment
Con este servicio se puede obtener una visión global del nivel de seguridad de los sistemas SAP incluyendo los siguientes apartados:
Usuarios y Contraseñas.
Análisis de riesgos de accesos críticos de IT.
Análisis técnico de vulnerabilidades.
Parámetros de Seguridad.
Carga y estado del sistema.
Políticas y Procedimientos.
Análisis de Seguridad
SAP Security Assessment
Test de intrusión
El Test de intrusión de sistemas SAP tiene como objetivo vulnerar los sistemas SAP, simulando un ciberataque con la finalidad de encontrar puntos débiles de seguridad, tanto en la propia plataforma objetivo como en cualquiera de los sistemas de información circundantes.
SAP Security Assessment
Fase 2
Detección de vulnerabilidades
Fase 3
Explotación de vulnerabilidades
Fase 4
Escalado de permisos
Fase 1
Recopilación de información
Análisis en ciclo
Otro de los grandes desafíos a la hora de hacer más seguros los sistemas SAP pasa por diseñar y desarrollar aplicaciones propias (comúnmente llamadas Z) seguras.
Inprosec ofrece un análisis de código que ayuda a garantizar que las aplicaciones de desarrollo propio no presenten fallos de seguridad, cumplimiento regulatorio, calidad o problemas de rendimiento.
Con los resultados obtenidos tras la realización de este informe será posible llevar a cabo acciones concretas para corregir y mejorar el funcionamiento de las aplicaciones, para satisfacer exigencias de auditoría tanto interna como externa.
Análisis de código
SAP Security Assessment
Uno de los mayores problemas que existe en las organizaciones que tienen múltiples sistemas SAP es el esfuerzo invertido en la gestión de contraseñas.
La implementación de un Single Sign On en sistemas SAP permitirá reducir el esfuerzo en esta tarea, puesto que el usuario solo tendrá que seleccionar el sistema SAP al que quiera acceder sin la necesidad de poner su Usuario de SAP ni su contraseña.
Reducción del tiempo y esfuerzo en la gestión de contraseñas (Alta y Modificación).
Reducción de los riesgos relacionadas con la publicación de las contraseñas por parte de los usuarios.
Single Sign On.
Identity Management
SSO
Beneficios:
Uno de los mayores desafíos es hacer productivo y eficiente el proceso de gestión de accesos. SAP Identity Management ayuda a gestionar las identidades de una forma centralizada (una persona puede tener varios usuarios bajo una identidad única). SAP IDM tiene una licencia gratuita para utilizar contra sistemas SAP (aunque tiene un costo para sistemas No SAP).
Permite el uso de Password Self-Service sin necesidad de licencias de otras aplicaciones. Permite la creación de Flujos de Aprobación previos a la asignación del acceso. Creación, Modificación y Eliminación de Usuarios en cualquier sistema (no solo SAP). Asignación de accesos basados en Posiciones. Si un empleado para a Director Comercial, IDM asignará los accesos en los sistemas necesarios y eliminará los accesos previos.
Implementación SAP IDM
Identity Management
Beneficios:
Proyectos a Medida
Riesgos
Matriz de Riesgos
Planes de Contingencia Políticas de copias de
seguridad
Procedimiento de cambios a programas
Política de Contraseñas
Procedimiento de gestión de usuarios
Políticas y Procedimientos
Los riesgos de los sistemas SAP® suelen estar ocasionados por la falta de políticas y procedimientos conocidos como:
La flexibilidad a la hora de realizar proyectos dentro de las Áreas de Negocio de Inprosec hace que muchos de los proyectos realizados no se encuentren descritos dentro de las Áreas anteriores. A continuación nombramos los mas interesantes:
Aplicaciones de Seguridad
Proyectos a Medida
Automatización de Procesos (Scripts) a través de la transacción LSMW
Puesta en Marcha de aplicaciones de seguridad en SAP Solution Manager: EarlyWatch Alert, Service Optimization Service y Configuration Validation
Instalación de la Herramienta “Read Access Logging”
SAP Licensing Audit
Soporte Seguridad SAP
Inprosec está especializado en servicios de soporte de seguridad SAP®.
Diseño de roles basado en best
practice
Creación y modificación de roles
Servicio técnico
Reseteo de contraseñas. Asignación de accesos de
emergencia. Cambios de autorización.
Gestión de tickets
Inprosec: ¿por qué nosotros?
Equipo multidisciplinar Nuestra propuesta de valor
No somos incompatibles con auditorías.
Somos independientes. Somos Consultores.
No competimos en mercados que no nos son familiares.
Inprosec cuenta con un equipo plurilingüe formado por diversos perfiles académicos (ingenieros, titulados superiores,…) que desempeñan sus funciones asumiendo roles de consultores, auditores, jefes de Proyecto, etc.
Mejora continua
En un mundo en constante cambio, es fundamental aprender y mejorar para adaptarse y ofrecer servicios alineados con las necesidades de los Clientes.
. .
.
Gracias por su atención.
¿Cómo podríamos ayudarle?
www.inprosec.com
