Práctica recomendada 5.2: clasifique los datos dentro de las cargas de trabajo de SAP

La sensibilidad de los datos puede afectar los controles necesarios para mitigar el riesgo. AWS sugiere consultar los marcos del estándar dentro de su industria o su organización y adoptarlos para clasificar sus cargas de trabajo de SAP y los datos que contienen.

Sugerencia 5.2.1: determine la clasificación de los datos y los requisitos de manipulación

Identifique cualquier marco de clasificación de datos ya implementado en su organización. Estos marcos pueden ayudarle a categorizar los datos en función de la sensibilidad de la información, como, por ejemplo, los datos que deben protegerse por cuestiones de confidencialidad, integridad y disponibilidad. Existen modelos de clasificación estándar, por ejemplo, el Esquema de categorización de información de EE. UU., que se pueden personalizar en función de su industria, empresa o requisitos de TI.

Comprenda cómo se deben manipular los datos según las pautas apropiadas para la clasificación. Esto incluye los controles de seguridad específicos relacionados con los requisitos estándar o normativos (por ejemplo, PCI-DSS o GDPR) y las consideraciones de privacidad comunes (por ejemplo, el manejo de Información personal identificable [PII]). En los siguientes documentos, podrá encontrar información adicional:

• Documentación de AWS: Data Classification: Secure Cloud Adoption Whitepaper (Clasificación de datos: documento técnico de adopción segura de la nube)

• Documentación de AWS: Reglamentación General de Protección de Datos (RGPD)

• NIST Security and Privacy Controls for Information Systems and Organizations (Controles de seguridad y privacidad del NIST para organizaciones y sistemas de Información)

• ISO 27001 – Annex A.8: Asset Management (Anexo A.8: administración de activos)

• Well-Architected Framework [seguridad]: Protección de los datos

Sugerencia 5.2.2: identifique los tipos de datos de SAP con reglas de manejo específicas

En función de los procesos empresariales que admite su sistema SAP, podrían existir requisitos para la manipulación y el almacenamiento de datos. Familiarícese con las pautas que rigen para su ubicación y su industria. Entre algunos ejemplos vinculados a SAP, se encuentran los siguientes:

• Evaluar si es necesario un complemento digital para pagos a fin de proteger los datos del titular de la tarjeta almacenados y garantizar la conformidad con la Payment Card Industry (PCI, industria de tarjetas de pagos).

• Evaluar los datos de RR. HH. para conocer los requisitos de residencia de los datos, por ejemplo, algunos países y jurisdicciones podrían requerir que los datos se almacenen dentro de una ubicación geográfica específica.

• Considere qué datos podrían tener que estar cifrados en sistemas que no sean de producción para ocultar información confidencial, pero mantener la integridad de los datos.

Sugerencia 5.2.3: clasifique todas sus cargas de trabajo según el marco definido

Clasifique sus sistemas SAP según su uso comercial y la existencia de tipos de datos críticos. Los sistemas de transacciones, como SAP ERP, tienen más probabilidades de contener información confidencial que los sistemas analíticos, tales como SAP BW, o los sistemas de administración, como Solution Manager, aunque esto deberían validarlo expertos funcionales y de seguridad.

Además, debe evaluar si los mismos controles se aplican a cargas de trabajo que no son de producción. Por ejemplo, las cargas de trabajo que no son de producción incluyen datos de producción y, por lo tanto, ¿deben cumplir con los mismos controles de seguridad?