Paul Laudanski Director, Security Research @ Onapsis Offensive Security Research
A medida que las empresas avanzan hacia S/4HANA y entornos en la nube o híbridos, aumentan los requisitos de seguridad para los entornos SAP. Los Onapsis Research Labs han publicado una lista de verificación para 2026 con cuatro áreas de actuación prioritarias.

La protección de los entornos SAP sigue siendo una de las tareas centrales para los equipos de TI y seguridad en las empresas. A medida que avanza la transformación hacia S/4HANA y hacia entornos en la nube o híbridos, también aumentan las exigencias en materia de ciberseguridad, cumplimiento normativo y resiliencia operativa. En este contexto, los Onapsis Research Labs, la unidad de investigación del proveedor especializado en seguridad SAP Onapsis, han publicado una lista de verificación para 2026 que identifica cuatro áreas de actuación prioritarias.

Evaluaciones continuas y gestión de parches

Un primer punto clave es la gestión de vulnerabilidades y parches. Según la lista de verificación, esto incluye la implementación oportuna de las SAP Security Notes y HotNews, la revisión de configuraciones críticas para la seguridad, y la protección de componentes como SAProuter, Web Dispatcher o las conexiones de comunicación cifradas. De acuerdo con los Onapsis Research Labs, muchas empresas siguen recurriendo a procesos manuales, asumiendo así riesgos innecesarios, por ejemplo debido a tiempos de respuesta más lentos ante vulnerabilidades críticas. Una revisión automatizada de los avisos de seguridad, en cambio, puede ofrecer mayor rapidez, eficiencia y contexto adicional; ya existen soluciones especializadas para automatizar estos procesos.

Gestión de identidades y detección de amenazas

El segundo ámbito se refiere a la gestión de identidades y permisos. Las cuentas de usuario con privilegios excesivos siguen siendo uno de los riesgos de seguridad más comunes en las aplicaciones empresariales, según la lista de verificación. Se recomienda realizar revisiones periódicas de los conceptos de autorización, aplicar de forma consistente la segregación de funciones, y controlar las cuentas privilegiadas y los accesos de emergencia. Además, las empresas deberían aplicar de manera obligatoria la autenticación multifactor para administradores y accesos externos, y reevaluar periódicamente sus procesos de identidad y aprovisionamiento. Ante ciberataques cada vez más eficientes impulsados por IA, la detección temprana de ataques también gana relevancia. Los Onapsis Research Labs recomiendan implementar detección de amenazas específica para SAP e integrar los datos de telemetría de SAP relevantes en las plataformas SIEM y SOAR ya existentes.

Nuevos requisitos derivados de los entornos en la nube e híbridos

Con el creciente traslado de procesos críticos de negocio a entornos en la nube, también aumenta la importancia del modelo de responsabilidad compartida, según la lista de verificación. Si bien el proveedor asume determinadas tareas de infraestructura, la responsabilidad sobre los datos de negocio, los accesos de usuario, los conceptos de autorización, las API y los desarrollos propios sigue recayendo en la propia organización usuaria. Según los Onapsis Research Labs, las empresas deberían revisar periódicamente este reparto de responsabilidades para evitar brechas de seguridad en la interfaz entre proveedor y usuario.

Cumplimiento normativo y resiliencia

El cuarto bloque temático se refiere a los requisitos regulatorios. Los controles de seguridad de SAP deben alinearse de forma continua con normativas como ISO 27001, DORA, NIS2 o NIST, según los Onapsis Research Labs. También aquí la automatización puede contribuir a una entrega más rápida y eficiente de las evidencias de cumplimiento. Igual de decisivos, señala la lista de verificación, son los conceptos de copia de seguridad y recuperación ante desastres probados con regularidad, los planes de recuperación documentados y la formación específica para los equipos de SAP, TI y SOC, con el fin de poder reaccionar de forma rápida y coordinada en caso de emergencia.

El mensaje central de la lista de verificación es claro: la seguridad de SAP no es un proyecto puntual, sino que requiere la implementación constante de medidas fundamentales y controles de seguridad continuos en las cuatro áreas mencionadas. Para los responsables de TI y seguridad en empresas usuarias de SAP, la lista de verificación puede servir como guía para priorizar las medidas de seguridad durante el próximo año. La lista de verificación completa de los Onapsis Research Labs está disponible en línea.

Por Jakob Jung

El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM. Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Aviso sobre Cookies en WordPress por Real Cookie Banner