Las características modernas de seguridad del ERP evolucionan y mejoran día a día. Entonces, ¿por qué las empresas se sienten más expuestas que nunca? En parte se debe a la rápida aceleración de las tecnologías digitales y en la nube. Para el 2025, IDC prevé que el número de dispositivos de IoT aumente a más de 30.000 millones —y que siga creciendo exponencialmente—. Muchos de estos dispositivos forman parte de las redes de internet de las cosas industrial (IIoT) de las empresas —y como tales, suelen nutrirse con datos a un sistema de ERP central—. Actualmente, un ERP en la nube moderno es crítico para la mayoría de las empresas, porque ayuda a unificar todas las operaciones de negocios bajo un único sistema. Sin embargo, esta característica central también puede ser una debilidad en términos de ciberseguridad, ya que es un portal de entrada a una gran cantidad de información crítica.

Desafíos en seguridad de software y ERP modernos

Los enfoques tradicionales de la ciberseguridad ya no son suficientes. La idea de construir un perímetro seguro en torno a activos o bases de datos de TI específicos, y luego limitar y controlar el acceso, no es eficaz en un ecosistema conectado a la nube.

En un entorno de ERP en la nube, las organizaciones están recalibrando su enfoque hacia la seguridad a medida que comparten más responsabilidad con los proveedores de la nube pública y, por lo tanto, se centran menos en la infraestructura y más en las responsabilidades del lado de la aplicación que siguen siendo propias.

Los ataques de ransomware y phishing presentan un desafío que crece rápidamente. A medida que los ERP se integran abarcando más departamentos, hay un mayor número de usuarios con acceso autorizado, lo cual —para los hackers— significa un coto de caza más rico para los objetivos de phishing. Una integración de ERP operativa más amplia también significa un alcance más amplio y una gama creciente de datos valiosos contenidos en el ERP —lo cual también aumenta su valor como objetivo de hackeo—. Además, con los sistemas de ERP heredados, los intentos de expandir la integración de ERP a nuevos departamentos suele requerir arreglos y programación personalizada que pueden servir para aumentar la superficie de ataque potencial. En otras palabras: hay más puntos débiles en más lugares. Esto se ve agravado por el aumento de trabajadores a distancia y temporales que requieren puntos de acceso externos.

Los ciberdelincuentes pueden robar y extorsionar, pero también pueden apagar sistemas esenciales y detener operaciones enteras. Las grandes organizaciones (particularmente en sectores como finanzas y seguros, fabricación, servicios empresariales y atención médica) han sido un objetivo desde hace mucho tiempo, sin embargo las pequeñas y medianas empresas están siendo atacadas cada vez más —a menudo debido a su falta de recursos y experiencia en seguridad—.

¿A qué tipos de datos de ERP apuntan los ciberdelincuentes?

Los hackers roban todo tipo de datos por todo tipo de razones. Pero, en su mayor parte, los ciberdelincuentes corporativos persiguen los datos, incluidos los datos de ERP, que pueden ser monetizados más rápidamente, ya sea extorsionando a la propia empresa victimizada o estafando —o dañando— a clientes o individuos nombrados en los datos robados. Esto puede dar lugar a intentos de acceder directamente a los fondos a través de violaciones a tarjetas de crédito o transferencias de dinero. Pero como las bases de datos financieras y de ERP tienden a ser algunas de las más seguras, los hackers suelen causar estragos accediendo a otros tipos de datos más accesibles.

Una capa adicional de riesgo para las empresas viene no solo con el daño causado a sus ganancias, reputación y clientes —sino también en el riesgo de demandas colectivas presentadas por aquellas personas nombradas en los datos robados—. En los casos en que estos datos incluyan información personal, legal o médica sensible de las personas, el daño causado por un litigio puede ser irreparable.

Los 7 principales problemas de seguridad del ERP y cómo solucionarlos

1. Software obsoleto

Los mejores proveedores de ERP son implacables en su batalla contra los nuevos y emergentes riesgos de seguridad. Cada vez que se identifica un riesgo de este tipo, se desarrolla un parche de seguridad que se distribuye a los clientes. En el pasado, algunas empresas han ignorado o retrasado la aplicación de estas actualizaciones durante largos períodos, lo cual ha dejado a sus sistemas vulnerables. Esto es especialmente cierto en el caso de sistemas de ERP más antiguos que han sufrido numerosas personalizaciones y soluciones alternativas, lo cual hace que la implementación de parches sea más problemática de gestionar.

Corrección: las actualizaciones y los parches de seguridad deben implementarse regularmente —a pesar del riesgo de interrupciones y tiempo de inactividad— porque surgen nuevas amenazas todo el tiempo. La aplicación de parches y actualizaciones para ERP on-premise requiere un enfoque basado en riesgos para priorizar a aquellos con más implicancias de seguridad y, si bien no es un proceso fácil ni poco disruptivo, es clave para mitigar los riesgos. Esto también es cierto para aquellos negocios que tienen un entorno de ERP híbrido.

Con el software de ERP en la nube, la distribución e implementación de parches es un proceso fluido que continúa detrás de escena por parte del proveedor de servicios sin disrupciones al negocio. Además, la gestión de parches automatizada que viene con una implementación de ERP en la nube puede ayudar a garantizar el cumplimiento de las siempre cambiantes normas de control y compliance.

2. Problemas de autorización

En el clima de negocios actual, los gerentes de RR. HH., TI y otros equipos están presionados para poner en marcha a los nuevos usuarios lo más rápido posible, lo cual puede provocar una falta de rigor al otorgar autorizaciones de ERP, o incluso desactivarlas cuando los colaboradores dejan la empresa. Los sistemas de ERP heredados suelen estar en mayor riesgo respecto a esta situación debido a capacidades de autenticación obsoletas y la falta de flujos de trabajo automatizados que den soporte a la autorización.

Corrección: los sistemas ERP modernos se construyen teniendo en cuenta el riesgo, incluidas las capacidades de abastecimiento y autenticación inherentes y flujos de trabajo que son sofisticados pero fáciles de usar. Además, las empresas pueden implementar una seguridad integral más amplia utilizando herramientas de control de acceso de identidad.

3. Capacitación inadecuada en materia de seguridad

Difundir un memo sobre su política oficial contra el phishing no es lo mismo que coordinar sesiones de capacitación periódicas e interactivas con todos sus equipos. De hecho, en una encuesta reciente, el 78% de las organizaciones que consideraban que sus métodos de capacitación eran suficientes para eliminar los riesgos de phishing se sorprendieron al descubrir que el 31% de su personal no superaba una prueba básica sobre el tema. Contraseñas débiles, falta de conocimiento sobre el phishing y protocolos de seguridad mal entendidos implican que incluso sus colaboradores más leales y diligentes sin querer pueden poner en riesgo su negocio.

Corrección: muchos colaboradores simplemente no son conscientes de las maneras en que sus acciones inocentes pueden causar riesgos o daños. No deje la capacitación en ciberseguridad en manos de las personas equivocadas, ni le reste importancia en la agenda frente a otras prioridades. Trabaje con un profesional para realizar una auditoría de riesgo en toda su empresa para descubrir dónde se esconden los eslabones de seguridad más débiles. Trabaje con los líderes de su equipo para crear planes de capacitación regulares que aborden sus necesidades particulares. Implemente cronogramas automatizados para cada departamento, con fechas de prueba, renovaciones de certificados y cursos de capacitación de actualización.

4. Escasez de personal experimentado en seguridad de ERP

Para las empresas que utilizan software de ERP heredado, los equipos de TI deben comprender plenamente sus riesgos específicos y una infinidad riesgos de seguridad de ERP —y ser capaces de ejecutar e implementar las mejores prácticas de seguridad de su clase—. Esto incluye la identificación de amenazas, la realización de escaneos de vulnerabilidad y pruebas de penetración, la creación de planes de respuesta ante incidentes y la integración de las últimas herramientas de monitoreo de ciberseguridad en sistemas desactualizados. En el clima actual, no solo es difícil encontrar y retener profesionales calificados, sino que también es caro y requiere mucho tiempo adaptarse al creciente número de sesiones de capacitación necesarias para mantener a los equipos de TI al día con ritmo acelerado del desarrollo de la seguridad digital.

Corrección: el ERP en la nube brinda un enorme alivio para esta preocupación creciente. El proveedor gestiona las funciones de seguridad pesadas, como el monitoreo 24x7 y la recuperación ante desastres —de manera fluida, en la nube—. Además, las tare as de TI cotidianas que consumen más tiempo, como la gestión de parches, las pruebas y las actualizaciones —también pueden automatizarse en la nube y llevarse a cabo sin interrupciones perceptibles—.

5. Incumplimiento de los estándares de seguridad y control

A medida que los sistemas de ERP se integran en cada vez más departamentos, el alcance de los datos vulnerables se hace cada vez más diverso, incluyendo cosas como información sensible de productos, registros médicos o propiedad intelectual. Cuanto más sensibles sean los datos (financieros, médicos o legales, por ejemplo), más probabilidades habrá de que tengan sus propios protocolos de seguridad y almacenamiento. Si no se respetan —o no se tienen en cuenta— estos protocolos pueden dar lugar no solo al posible incumplimiento respecto a esos datos, sino también a sanciones e incluso repercusiones legales en caso de estar fuera de regla.

Corrección: hoy, los mejores ERP —con bases de datos modernas— pueden facilitar la automatización y el control centralizados de una variedad de protocolos de compliance para una amplia variedad de tipos de datos. Esto significa que los equipos de TI pueden trabajar con especialistas de toda la empresa para determinar inicialmente los estándares de seguridad correctos y, a continuación, automatizar los sistemas y los dashboards de usuario para garantizar que se cumplan los protocolos correctos en el futuro.

6. Un único factor de autentificación

Un único factor (una sola contraseña o código de acceso) simplemente no es suficiente. Si bien en la actualidad la mayoría de las empresas son conscientes de este hecho, más del 40% de las organizaciones siguen sin utilizar la autenticación de dos pasos en todos los puntos de entrada potenciales al ERP. En otras palabras, no tiene sentido proteger sus datos más cruciales con autenticación de dos factores (2FA) si otras elementos conectados, como los dispositivos IoT o las aplicaciones departamentales, se dejan vulnerables con contraseñas de un solo paso.

Corrección: es esencial para las empresas de todos los tamaños implementar inmediatamente protocolos 2FA (incluidos tokens de seguridad o escaneos biométricos) en todos los puntos de entrada potenciales del ERP. Se trata de una solución sencilla y de bajo costo que es sumamente importante.

7. Exportación de datos

A pesar de los protocolos oficiales, a los usuarios les gusta poner las cosas en hojas de cálculo o guardarlas en otros formatos y los riesgos de exportación de datos siguen siendo un problema para las empresas.

Solución: las empresas pueden controlar esto bloqueando las descargas de Excel o haciendo seguimiento de las acciones de los usuarios dentro de la base de datos. Pero en definitiva, la mejor manera de protegerse contra la exportación de datos es limitar el número de personal que tiene acceso a información vulnerable. Con un ERP moderno, los responsables de departamentos pueden determinar y establecer fácilmente no solo quién puede ver qué, sino a qué elementos de un data set puede acceder. Y a diferencia de los sistemas heredados, los ERP en la nube tienen características de seguridad integradas que se pueden automatizar para enviar notificaciones y evitar acciones no autorizadas, tales como descargas o la exportación de datos.

Mejores prácticas en ciberseguridad de ERP

Muchos de los problemas y arreglos que hemos discutido se relacionan con estrategias de seguridad más amplias para optimizar sus recursos humanos y tecnológicos en un mundo de ciberdelincuencia. Los siguientes son algunos conceptos básicos de mejores prácticas adicionales para ayudar a aprovechar al máximo los servicios y beneficios asociados con las funciones y características de seguridad de ERP en la nube:

• Asegúrese que tener en vigencia acuerdos de nivel de servicio para continuidad del negocio, recuperación ante desastres y capacidades de uptime. Las herramientas basadas en la nube pueden ayudar a integrar estos acuerdos en un solo lugar, abarcando todas las operaciones globales, y a automatizar las actualizaciones.
• Realice auditorías de hiperescaladores de terceros. Estas auditorías independientes de terceros son esenciales para garantizar el compliance de negocios cruzados en todas las etapas y para dar soporte a cosas como la certificación de modelo de madurez de ciberseguridad (CMMC) y las iniciativas Zero Trust.
• Cifre todos sus datos y centrarse en fortalecer los procesos, los protocolos y la gestión de proyectos para todos los equipos involucrados en las prácticas de seguridad de ERP. Especialmente en áreas de gestión de parches, configuración de seguridad, escaneo de vulnerabilidades y gestión de amenazas.
• Realice la inversión de consultoría necesaria en expertos en ciberseguridad externos de clase mundial para garantizar que todos sus equipos estén bien versados en sus roles y responsabilidades en las áreas de reducción de riesgos.
• Asegúrese de que se haya implementado un monitoreo 24x7 y una gestión de seguridad proactiva en toda su empresa para mejorar la capacidad de respuesta ante incidentes. Esto incluye su ERP y cualquier sistema, dispositivo o activo de IoT desde el que un hacker pudiera tener acceso.
• Utilice un enfoque de prueba de ERP basado en dominios para brindar un proceso de prueba consistente y replicable para abordar los vectores de actores comunes abarcando toda la superficie de ataque.

Próximos pasos para mejorar la seguridad del ERP

La ciberdelincuencia nos afecta a todos y si las empresas deciden combatirla, deben adoptar un enfoque multidisciplinario. Las tecnologías de ERP en la nube son un gran lugar para comenzar —brindando a los negocios una base unificada desde la cual coordinar y automatizar una defensa poderosa y eficaz—.

Pero en definitiva, sus esfuerzos de ciberseguridad comienzan y terminan con su gente. Los líderes y colaboradores de su equipo forman parte de la solución, pero no se espera que lo resuelvan por su cuenta. Un buen primer paso en su recorrido de ciberseguridad del ERP es construir planes de comunicación y capacitación que involucren expertos interesantes, capacitación práctica, planes de enseñanza visuales y prácticos e incluso algunos ejemplos reales de lo que puede pasar cuando algo sale mal. Las medidas específicas de capacitación y certificación son importantes, pero funcionan también para aumentar la concienciación general y el interés por el tema.

La seguridad digital es ahora una parte importante de todas nuestras vidas, así que, ¿por qué no hacer del aprendizaje sobre ciberseguridad una experiencia atractiva e intrigante?