En un contexto marcado por la continua transformación digital, el aumento de las exigencias regulatorias y una creciente dependencia tecnológica, los sistemas SAP se han consolidado como uno de los activos más críticos para las organizaciones.
Su evolución ha sido tal que han dejado de ser simples plataformas de gestión para convertirse en sistemas que concentran información altamente sensible y en los que se ejecutan los procesos clave para la operativa del negocio. Por ello, hoy están en el epicentro de la gestión del riesgo tecnológico y de la ciberseguridad.
En paralelo, las revisiones de seguridad también han experimentado una profunda transformación. Lo que durante años fue un ejercicio centrado principalmente en el control financiero, actualmente se ha convertido en una disciplina cada vez más estructurada y regulada, impulsada por la criticidad de los datos, la complejidad de los ecosistemas SAP y la necesidad de ofrecer garantías sólidas en materia de seguridad, continuidad del negocio y cumplimiento regulatorio.
Para entender este cambio de paradigma, conviene analizar cómo han cambiado las revisiones de seguridad SAP, cómo han ampliado su alcance y por qué ocupan un lugar central en el gobierno y la protección de los sistemas.
Las revisiones de seguridad SAP consisten en la realización de un análisis estructurado y exhaustivo que permite evaluar si los sistemas SAP cuentan con los controles necesarios, tanto técnicos como organizativos, para proteger de forma adecuada los procesos de negocio y la información crítica de una organización. Su objetivo no es solo detectar configuraciones incorrectas, sino ofrecer una visión realista de la exposición del riesgo y de la capacidad del entorno SAP para operar de forma segura.
Durante años las revisiones de seguridad SAP se han centrado en accesos y autorizaciones. Sin embargo, los entornos SAP actuales están altamente interconectados y expuestos, así como sometidos a mayores exigencias regulatorias, lo que hace insuficiente el enfoque tradicional y deja fuera riesgos con impacto directo en el negocio.
Por ello, la seguridad en SAP debe abordarse de manera holística, tal y como reflejan marcos de control como el SAP Secure Operations Map, que desciende por las diferentes capas de la organización; gobernanza y gestión del riesgo, procesos de cumplimiento y respuesta ante incidentes, seguridad del código y de las integraciones, hardening y monitorización de los sistemas, así como la protección del entorno tecnológico. Limitar la revisión a “quién puede hacer qué” deja fuera riesgos con impacto directo en la continuidad del negocio, el cumplimiento normativo y la protección de la información.
No existe una periodicidad válida o universal para todas las organizaciones. La frecuencia de las revisiones de seguridad SAP debe definirse en función de la criticidad del entorno y su complejidad.
En entornos SAP críticos, complejos o altamente regulados, es recomendable realizar revisiones periódicas. Su objetivo no es solo evitar el incumplimiento y posibles debilidades, sino que representan mecanismos de control continuo.
En el interior de los sistemas SAP se concentran los procesos más críticos de una organización: finanzas, compras, ventas, producción, recursos humanos o datos maestros, entre otros. Una brecha de seguridad en un sistema SAP ya no se considera solo un incidente tecnológico aislado, sino un riesgo directo para la continuidad del negocio. Además, su complejidad y fuerte integración con otros sistemas tanto internos como externos, lo convierten en un objetivo prioritario para los ciberdelincuentes.
Por ejemplo, un ataque a un sistema logístico de SAP puede desencadenar un desabastecimiento del almacén y con ello una parada de la cadena de producción, afectando directamente a las cuentas de resultados y a la reputación empresarial.
Las revisiones de seguridad SAP son una herramienta adicional a disposición de los equipos encargados de la gestión del riesgo, no un ejercicio puntual de auditoría. Actualmente, la mayor parte de los marcos regulatorios como la Directiva NIS2, SOX, RGPD o el Esquema Nacional de Seguridad exigen gobierno, trazabilidad y capacidad de respuesta ante incidentes en sistemas SAP.
Una revisión de seguridad SAP bien estructurada, planteada y mapeada permite alinear los controles técnicos con los requisitos regulatorios, aportando evidencias sólidas y reduciendo la exposición al riesgo. Además, facilitan una visión clara para la dirección sobre el estado real del sistema y las medidas necesarias a tomar.
Una revisión de seguridad SAP eficaz debe ofrecer una visión end‑to‑end del riesgo, yendo más allá de controles puntuales. Esto implica evaluar el modelo de gobierno, la configuración técnica, la gestión de identidades y accesos, la gestión de vulnerabilidades, la gestión de parches de seguridad, la monitorización y trazabilidad, la seguridad del desarrollo y del código, las integraciones, la continuidad y resiliencia, la gestión de terceros con acceso a la plataforma, la protección de los datos, y el alineamiento regulatorio, entre otros aspectos.
Marcos como el SAP Secure Operations Map, y su adaptación en enfoques como el de KPMG, permiten estructurar estas revisiones de forma coherente a lo largo de todas las capas: organización, procesos, aplicación, sistema y entorno tecnológico.
Cuando un sistema SAP no es revisado de forma recurrente, se acumulan riesgos silenciosos: usuarios con permisos excesivos por cambios organizativos o de posición, configuraciones inseguras, falta de aplicación de parches críticos o conexiones obsoletas con terceros que permanecen activas. Son situaciones que rara vez generan alertas, pero que incrementan de forma constante la exposición a incidentes de alto impacto.
Por ejemplo, es habitual encontrarnos con usuarios con antiguas conexiones con terceros que presentan brechas de seguridad, al dejar “puertas abiertas al sistema”, o deficiencias en la monitorización de la actividad en el sistema, dificultando la detección temprana de comportamientos anómalos o incidentes de seguridad.
Cada cambio relevante en el entorno SAP modifica su exposición al riesgo. Migraciones a S/4HANA, adopción de soluciones cloud, nuevos desarrollos o integraciones pueden arrastrar configuraciones históricas que ya no encajan con el nuevo modelo de seguridad. Sin una revisión específica asociada al cambio, estos riesgos pasan desapercibidos y se consolidan en el nuevo entorno.
Por ejemplo, en una migración a S/4HANA pueden trasladarse configuraciones históricas que ya no encajan con el nuevo modelo de seguridad, generando riesgos que pasan desapercibidos si no se revisan.
Algunas señales claras son: la ausencia de revisiones recientes, cambios relevantes sin evaluación de seguridad, dificultades para explicar quién accede a qué, dependencia excesiva de controles manuales o incidencias recurrentes en auditorías. Que el sistema funcione no implica que el riesgo esté bajo control.
Un ejemplo de una señal muy clara es cuando el cliente no puede responder con claridad a preguntas básicas como: “¿qué actividades realizan los usuarios de emergencia y quién las supervisa?”, o “¿qué terceras partes tienen acceso a SAP y cuáles son realmente necesarias?”.
Más allá de reducir riesgos, una revisión de seguridad SAP aporta claridad, gobernanza, confianza y habilita al negocio en la toma de decisiones. Permite conocer el estado real del sistema y priorizar inversiones, alineando tecnología, negocio y regulación.
Deja un comentario