Os recursos de segurança do ERP moderno evoluem e melhoram a cada dia. Então, por que as empresas se sentem mais expostas do que nunca? Em parte, isso se deve à rápida aceleração da tecnologia digital e na nuvem. Até 2025, a IDC prevê que o número de dispositivos IoT aumente para mais de 30 bilhões – e continue a crescer exponencialmente. Muitos desses dispositivos fazem parte das redes de Internet das Coisas Industrial (IIoT) e, como tal, normalmente enviam os dados a um sistema ERP central. Hoje, um Cloud ERP moderno é essencial na maioria das empresas e ajuda a unificar todas as operações de negócios em um único sistema. No entanto, esse recurso central também pode ser um ponto fraco para a segurança cibernética por ser um portal único que dá acesso a muitas informações essenciais.

Os desafios do ERP moderno e da segurança de software

As abordagens tradicionais à segurança cibernética não são mais suficientes. A ideia de criar um perímetro seguro em torno de ativos ou bancos de dados específicos de TI, e depois limitar e controlar o acesso, não é eficaz em ecossistemas conectados à nuvem.

No ambiente Cloud ERP, as empresas vêm recalibrando a abordagem à segurança, pois dividem a responsabilidade com os provedores de nuvem pública e, portanto, concentram-se menos na infraestrutura e mais nas responsabilidades relacionadas aos aplicativos, as quais continuam sendo delas.

Os ataques de phishing e ransomware são desafios que estão crescendo rapidamente. Como os ERPs são integrados a mais departamentos, há um número maior de usuários com acesso autorizado, o que, para os hackers, significa um ambiente propício para alvos de phishing. A integração operacional mais ampla do ERP também aumenta o escopo e a variedade dos dados valiosos contidos nesse sistema, tornando-o um alvo maior de ataques. Além disso, nos sistemas ERP legados, a tentativa de expandir a integração do ERP aos novos departamentos geralmente requer bolt-ons e codificação personalizada que aumentam a superfície exposta a ataques. Em outras palavras, há mais pontos fracos em mais lugares. Isso é agravado pelo aumento da quantidade de trabalhadores remotos e temporários que precisam de pontos de acesso externos.

Os cibercriminosos podem roubar e extorquir, mas também derrubar sistemas essenciais e bloquear operações inteiras. As grandes organizações (principalmente em setores como industrial, de finanças, seguros, serviços empresariais e saúde) são alvos há muito tempo. No entanto, as empresas em crescimento são cada vez mais atacadas, muitas vezes devido à falta de recursos e expertise em segurança.

Que tipos de dados do ERP são alvo de cibercriminosos?

Os hackers furtam todos os tipos de dados por várias razões. Em geral, os cibercriminosos corporativos querem dados, como os dados do ERP, que possam ser monetizados com rapidez, seja pela extorsão da empresa atacada ou pelo prejuízo ou fraude de clientes ou indivíduos relacionados aos dados roubados. Isso resulta em tentativas de acessar recursos diretamente por clonagem de cartões de crédito ou transferências de dinheiro. Mas, como os bancos de dados financeiros e do ERP tendem a ser os mais seguros, normalmente os hackers causam estragos extraindo outros tipos de dados mais fáceis de acessar.

Uma camada adicional de risco para as empresas – além dos danos causados aos lucros, à reputação e aos clientes – é o risco de processos coletivos na Justiça iniciados por pessoas cujos dados foram roubados. Quando esses dados incluem informações confidenciais pessoais, clínicas ou jurídicas, o prejuízo dos processos litigiosos pode ser irrecuperável.

Os 7 principais problemas de segurança do ERP e como corrigi-los

1. Software desatualizado

Os melhores fornecedores de ERP são implacáveis na batalha contra riscos novos e emergentes à segurança. Sempre que um risco é identificado, um patch de segurança é desenvolvido e distribuído aos clientes. No passado, algumas empresas ignoravam ou atrasavam por bastante tempo a implementação dessas atualizações e deixavam seus sistemas vulneráveis. Isso acontecia principalmente em ERPs mais antigos que passaram por inúmeras personalizações e soluções alternativas, o que dificulta a implementação de patches.

Correção: as atualizações e os patches de segurança precisam ser instalados regularmente – apesar do risco de inatividade e interrupções – porque novas ameaças surgem o tempo todo. A instalação de patches e as atualizações no ERP on premise requerem uma abordagem baseada em riscos para priorizar aqueles que são mais importantes para a segurança. Embora seja disruptivo e complexo, o processo é fundamental para reduzir os riscos. Isso também se aplica às empresas com uma estrutura de ERP híbrido.

Com o software Cloud ERP, a distribuição e a implementação de patches é um processo integrado que ocorre nos bastidores, executado pelo provedor de serviços sem interrupção dos negócios. Além disso, a gestão automática de patches, incluída na implementação do Cloud ERP, garante o cumprimento das regras de governança e compliance em constante mudança.

2. Problemas de autorização

No atual cenário de negócios, os gerentes de RH, TI, entre outros, são pressionados a integrar os novos usuários o mais rápido possível, o que pode provocar falta de rigor nas autorizações do ERP e até na desativação dos colaboradores que saem da empresa. Em geral, os sistemas ERP legados correm mais risco nessa situação devido aos recursos desatualizados de autenticação e à falta de workflows automatizados que ofereçam suporte a autorizações.

Correção: os sistemas ERP modernos são desenvolvidos considerando os riscos e incluem workflows e recursos inerentes de provisionamento e autenticação sofisticados, mas fáceis de usar. Além disso, as empresas podem implementar uma segurança mais abrangente, de ponta a ponta, com ferramentas de governança de acesso e identidade.

3. Treinamento inadequado de segurança

Enviar um memorando de treinamento com a política oficial contra phishing não é o mesmo que coordenar sessões de aprendizagem regulares e interativas com todas as equipes. Em uma pesquisa recente, 78% das organizações que achavam que seus métodos de treinamento eram suficientes para eliminar o risco de phishing descobriram que 31% dos colaboradores falharam em um teste básico de phishing. Senhas fracas, falta de conhecimento de phishing e de protocolos de segurança podem fazer com que até os colaboradores mais leais e dedicados coloquem a empresa em risco sem querer.

Correção: muitos colaboradores simplesmente não sabem que suas ações inocentes podem causar risco ou danos. Não entregue o treinamento em segurança cibernética às pessoas erradas, nem o coloque como uma prioridade secundária na agenda. Trabalhe com profissionais e faça uma auditoria de risco em toda a empresa para descobrir onde estão os elos de segurança mais frágeis. Trabalhe com os líderes das equipes e desenvolva planos de treinamento regulares que atendam às necessidades específicas de sua empresa. Implemente cronogramas automáticos para cada departamento, com os cursos de atualização, as datas de teste e a renovação dos certificados.

4. Falta de pessoal experiente em segurança de ERP

Nas empresas que executam um software ERP legado, as equipes de TI precisam ter pleno conhecimento dos inúmeros riscos de segurança específicos e executar e implementar as melhores práticas de segurança do setor. Isso inclui a identificação de ameaças, a realização de varreduras de vulnerabilidade e testes de penetração, o desenvolvimento de planos de resposta a incidentes e a integração das ferramentas mais recentes de monitoramento de segurança cibernética aos sistemas desatualizados. No clima atual, além da dificuldade de encontrar e reter profissionais qualificados, a adaptação ao número crescente de sessões de treinamento necessárias para manter as equipes de TI atualizadas com a rápida evolução da segurança digital é também onerosa.

Correção: o Cloud ERP alivia bastante essa preocupação crescente. As funções mais robustas de segurança, como o monitoramento 24 horas por dia, 7 dias por semana, e a recuperação de desastres, são gerenciadas pelo fornecedor, sem interrupções e na nuvem. Além disso, as tarefas cotidianas e mais demoradas de TI – como gestão de patches, testes e upgrades – também podem ser automatizadas na nuvem e ocorrer sem qualquer interrupção perceptível.

5. Descumprimento dos padrões de segurança e governança

À medida que os sistemas ERP se integram a cada vez mais departamentos, cresce a amplitude dos dados vulneráveis, como informações seguras sobre produtos, prontuários médicos e propriedade intelectual. Quanto mais confidenciais forem os dados (financeiros, médicos ou jurídicos, por exemplo), mais provável será que tenham protocolos exclusivos de segurança e armazenamento. O não cumprimento ou o desconhecimento destes protocolos pode causar vazamento dos dados, penalidades e até mesmo consequências jurídicas pela falta de compliance.

Correção: hoje, os melhores ERPs, com bancos de dados modernos, facilitam a automação centralizada e o controle de vários tipos de protocolos de compliance de dados. Isso significa que as equipes de TI podem trabalhar com especialistas no assunto em toda a empresa para determinar os padrões de segurança corretos e, em seguida, automatizar os sistemas e dashboards do usuário e garantir que os protocolos corretos sejam cumpridos.

6. Autenticação de fator único

Um só fator (uma única senha ou código) não basta. Embora hoje a maioria das empresas saiba disso, mais de 40% das organizações ainda não usam a autenticação de dois fatores em todos os possíveis pontos de entrada no ERP. Em outras palavras, não adianta proteger os dados mais importantes com autenticação de dois fatores (2FA) se outras conexões, como os dispositivos IoT e os aplicativos de departamentos, ficam vulneráveis com senhas de fator único.

Correção: é essencial que empresas de qualquer porte implementem imediatamente protocolos 2FA (com tokens de segurança ou varredura biométrica) em todos os possíveis pontos de entrada no ERP. É uma medida simples, de baixo custo e imprescindível.

7. Exportação de dados

Apesar dos protocolos oficiais, os usuários preferem colocar as informações em planilhas ou salvá-las em outros formatos, e o risco da exportação de dados continua sendo um problema para as empresas.

Correção: isso pode ser controlado se as empresas bloquearem os downloads do Excel ou rastrearem as ações dos usuários dentro do banco de dados. No fim das contas, a melhor maneira de se proteger da exportação de dados é limitar o número de pessoas com acesso a dados vulneráveis. Com o ERP moderno, os líderes de departamentos podem determinar e definir facilmente quem vê o que e também quais elementos de um conjunto de dados podem ser acessados e visualizados. E, ao contrário dos sistemas legados, o Cloud ERP tem recursos de segurança integrados que podem ser automatizados para enviar notificações e impedir comandos não autorizados, como o download ou a exportação de dados.

Melhores práticas de segurança cibernética do ERP

Muitos problemas e correções que discutimos estão ligados a estratégias de segurança mais amplas que otimizam os recursos humanos e tecnológicos em um mundo de crimes cibernéticos. Confira alguns fundamentos de melhores práticas adicionais que permitem tirar o máximo proveito dos serviços e benefícios ligados às funções e aos recursos de segurança do Cloud ERP:

• Verificar se os acordos de nível de serviço estão em vigor para a continuidade dos negócios, a recuperação de desastres e a manutenção do tempo produtivo. Ferramentas baseadas na nuvem ajudam a integrar esses contratos de todas as operações globais em um só lugar e também a automatizar as atualizações.
• Fazer auditorias externas em hyperscaler. As auditorias externas independentes são essenciais para garantir o compliance dos negócios em todas as etapas e para oferecer suporte a iniciativas como o programa Cybersecurity Maturity Model Certification (CMMC) e a iniciativa Zero Trust.
• Criptografar todos os seus dados e focar no fortalecimento de processos, protocolos e gestão de projetos de todas as equipes envolvidas nas práticas de segurança do ERP, principalmente nas áreas de gestão de patches, configurações de segurança, exame de vulnerabilidade e gestão de ameaças.
• Fazer o investimento necessário em consultoria externa com os melhores especialistas em segurança cibernética e garantir que todas as equipes conheçam bem suas funções e responsabilidades nas áreas de redução de riscos.
• Assegurar a implementação do monitoramento 24 horas por dia, 7 dias por semana, e da gestão proativa da segurança em toda a empresa para melhorar a capacidade de resposta a incidentes. Isso inclui o ERP e todos os sistemas, dispositivos ou ativos IoT que um hacker possa usar para conseguir acesso.
• Usar uma abordagem de teste do ERP com base em domínios e ter um processo de teste coerente e reproduzível para lidar com vetores de ação comuns em toda a superfície de ataque.

Próximas etapas para melhorar a segurança do ERP

O crime cibernético afeta todos nós. Para combatê-lo, as empresas precisam de uma abordagem multifacetada. A tecnologia de Cloud ERP é um excelente ponto de partida que proporciona às empresas uma base unificada para coordenar e automatizar uma defesa forte e eficaz.

Mas, no fim das contas, a segurança cibernética começa e termina com o pessoal da sua empresa. Líderes e colaboradores fazem parte da solução, mas você não pode esperar que descubram tudo sozinhos. Para começar bem a jornada da segurança cibernética do ERP, é preciso investir em planos de comunicação e treinamento com especialistas interessantes, aprendizagem com participação ativa, planos de aula visuais e práticos, inclusive com exemplos reais do que pode acontecer quando houver erros. As medidas específicas de treinamento e certificação são importantes, mas o ideal é aumentar a conscientização geral e o interesse pelo tema.

Hoje, a segurança digital é essencial. Então, por que não tornar a aprendizagem da segurança cibernética uma experiência envolvente e interessante?