As funcionalidades modernas de segurança de ERP estão a evoluir e a melhorar a cada dia. Então, por que as empresas estão a sentir-se mais expostas do que nunca? Em parte, isso deve-se à rápida aceleração das tecnologias digitais e de cloud. Até 2025, a IDC prevê que o número de dispositivos IoT aumente para mais de 30 bilhões—e continue a crescer exponencialmente. Muitos destes dispositivos fazem parte das redes de Internet Industrial das Coisas (IIoT) das empresas—e, como tal, normalmente alimentam dados num sistema ERP central. Hoje em dia, um ERP na nuvem moderno é essencial para a maioria das empresas, ajudando a unificar todas as operações empresariais sob um único sistema. No entanto, esta característica principal pode também ser uma fraqueza quando se trata de cibersegurança, tornando-se um portal único para uma grande quantidade de informações críticas.

Desafios modernos de ERP e segurança de software

As abordagens tradicionais para a cibersegurança já não são suficientes. A ideia de construir um perímetro seguro em torno de ativos de TI ou bases de dados específicos, e depois limitar e controlar o acesso, não é eficaz num ecossistema conectado à nuvem.

Num ambiente de ERP na nuvem, as organizações estão a recalibrar a sua abordagem à segurança à medida que partilham mais responsabilidade com os fornecedores de nuvem pública, e, portanto, concentram-se menos na infraestrutura e mais nas responsabilidades do lado da aplicação que continuam a possuir.

Os ataques de ransomware e phishing representam um desafio em rápido crescimento. À medida que os ERPs são integrados em mais departamentos, há um maior número de utilizadores com acesso autorizado, o que—para os hackers—significa um terreno de caça mais rico para alvos de phishing. A integração operacional mais ampla do ERP também significa um escopo e uma gama mais ampla de dados valiosos contidos dentro do ERP—o que também aumenta seu valor como alvo de hacking. Além disso, com sistemas ERP legados, as tentativas de expandir a integração ERP em novos departamentos frequentemente requerem complementos e codificação personalizada, o que pode aumentar a superfície potencial de ataque. Em outras palavras: há mais pontos fracos em mais lugares. Isto é agravado por um aumento de trabalhadores remotos e temporários que necessitam de pontos de acesso externos.

Os cibercriminosos podem roubar e extorquir, mas também podem desligar sistemas essenciais e paralisar operações inteiras. Grandes organizações (particularmente em setores como finanças e seguros, manufatura, serviços empresariais e saúde) há muito tempo são um alvo, no entanto, pequenas e médias empresas estão a ser cada vez mais atacadas—frequentemente devido à sua falta de recursos de segurança e expertise.

Que tipos de dados ERP os cibercriminosos visam?

Hackers roubam todos os tipos de dados por várias razões. Mas, na maioria das vezes, os cibercriminosos corporativos estão atrás de dados, incluindo dados ERP, que podem ser monetizados mais rapidamente, seja extorquindo a própria empresa vítima ou enganando—ou de outra forma prejudicando—clientes ou indivíduos mencionados nos dados roubados. Isso pode resultar em tentativas de acessar diretamente fundos através de violações de cartões de crédito ou transferências de dinheiro. Mas como as bases de dados financeiras e de ERP tendem a ser algumas das mais bem protegidas, os hackers normalmente causam estragos ao aceder a outros tipos de dados mais acessíveis.

Uma camada adicional de risco para as empresas vem não apenas dos danos causados aos seus lucros, reputação e clientes—mas também do risco de ações judiciais coletivas movidas por aqueles indivíduos mencionados nos dados roubados. Nos casos em que estes dados incluem informações pessoais, legais ou médicas sensíveis de pessoas, os danos de litígios podem ser irreparáveis.

Principais 7 problemas de segurança de ERP e como resolvê-los

1. Software desatualizado

Os melhores fornecedores de ERP são implacáveis na sua batalha contra novos e emergentes riscos de segurança. Sempre que tal risco é identificado, uma correção de segurança é desenvolvida e distribuída aos clientes. No passado, algumas empresas ignoraram ou adiaram a implementação destas atualizações por longos períodos de tempo, deixando os seus sistemas vulneráveis. Isto é especialmente verdade no caso de ERPs mais antigos que passaram por inúmeras personalizações e soluções alternativas, tornando a implementação de patches mais problemática de gerir.

Correção: As atualizações e os patches de segurança precisam ser implementados regularmente—apesar do risco de interrupções e tempo de inatividade—porque novas ameaças surgem o tempo todo. Aplicar patches e atualizações para ERP no local requer uma abordagem baseada em risco para priorizar aqueles com maiores implicações de segurança e, embora não seja um processo fácil ou não disruptivo, é fundamental para mitigar os riscos. Isto também é verdade para as empresas que têm um cenário ERP híbrido.

Com o software ERP na nuvem, a distribuição e implementação de patches é um processo contínuo que ocorre nos bastidores pelo fornecedor de serviços sem qualquer interrupção para o negócio. Além disso, a gestão automatizada de patches que vem com uma implementação de ERP na nuvem pode ajudar a garantir a conformidade com regras de governança e conformidade em constante mudança.

2. Questões de autorização

No clima empresarial de hoje, os gestores de equipas de RH, TI e outros são pressionados a colocar novos utilizadores a funcionar o mais rapidamente possível, o que pode levar a uma falta de rigor ao conceder autorizações de ERP, ou mesmo a desativá-las quando os funcionários deixam a empresa. Os sistemas ERP legados estão frequentemente em maior risco para esta situação devido a capacidades de autenticação desatualizadas e à falta de fluxos de trabalho automatizados que suportam a autorização.

Corrigir: Os sistemas ERP modernos são construídos tendo em mente o risco, incluindo capacidades inerentes de provisionamento e autenticação e um fluxo de trabalho que é sofisticado, mas simples de usar. Além disso, as empresas podem implementar uma segurança mais ampla de ponta a ponta usando ferramentas de governança de acesso à identidade.

3. Treinamento de segurança inadequado

Distribuir um memorando de formação com a sua política oficial de phishing não é o mesmo que coordenar sessões de aprendizagem regulares e interativas com todas as suas equipas. Na verdade, numa pesquisa recente, 78% das organizações que consideravam que os seus métodos de formação eram suficientes para eliminar os riscos de phishing—ficaram surpreendidas ao descobrir que 31% dos seus funcionários falharam num teste básico de phishing. Senhas fracas, falta de conhecimento sobre phishing e protocolos de segurança mal compreendidos significam que até mesmo os seus funcionários mais leais e diligentes podem estar inadvertidamente a colocar o seu negócio em risco.

Corrigir: Muitos funcionários simplesmente não têm consciência das maneiras pelas quais suas ações inocentes podem causar risco ou dano. Não deixe o treinamento em cibersegurança nas mãos das pessoas erradas, nem o coloque em baixa na agenda em relação a outras prioridades. Trabalhe com um profissional para realizar uma auditoria de risco em toda a sua empresa para descobrir onde os elos de segurança mais fracos podem estar escondidos. Trabalhe com os líderes da sua equipa para criar planos de formação regulares que atendam às suas necessidades particulares. Implemente horários automatizados para cada departamento, com datas de testes, renovações de certificados e cursos de formação de atualização.

4. Escassez de pessoal experiente em segurança ERP

Para empresas que utilizam software ERP legado, as equipas de TI devem compreender totalmente os seus riscos específicos e variados de segurança ERP—e ser capazes de executar e implementar práticas de segurança de classe mundial. Isto inclui identificar ameaças, realizar varreduras de vulnerabilidades e testes de penetração, criar planos de resposta a incidentes e integrar as mais recentes ferramentas de monitorização de cibersegurança em sistemas desatualizados. No clima de hoje, não só é difícil encontrar e reter profissionais qualificados, como também é caro e demorado encaixar o crescente número de sessões de formação necessárias para manter as equipas de TI atualizadas com o ritmo acelerado dos desenvolvimentos em segurança digital.

Corrigir: O ERP na nuvem proporciona um alívio enorme para esta preocupação crescente. As funções de segurança robustas, como monitorização 24/7 e recuperação de desastres, são todas geridas pelo fornecedor—sem problemas, na nuvem. Além disso, as tarefas de TI do dia-a-dia e mais demoradas, como gestão de patches, testes e atualizações—também podem ser automatizadas na nuvem e ocorrer sem qualquer interrupção perceptível.

5. Falha em cumprir com os padrões de segurança e governança

À medida que os sistemas ERP são integrados em mais e mais departamentos, o âmbito dos dados vulneráveis torna-se cada vez mais diversificado, incluindo coisas como informações seguras de produtos, registos médicos ou propriedade intelectual. Quanto mais sensíveis forem os dados (financeiros, médicos ou legais, por exemplo), mais provável é que tenham os seus próprios protocolos únicos de segurança e armazenamento. O não cumprimento ou desconhecimento destes protocolos pode levar não apenas a potenciais violações desses dados, mas também a penalizações e até repercussões legais por não conformidade.

Corrigir: Hoje, os melhores ERPs—com bases de dados modernas—podem facilitar a automação centralizada e o controlo de uma gama de protocolos de conformidade para uma grande variedade de tipos de dados. Isto significa que as equipas de TI podem trabalhar com especialistas em assuntos de toda a empresa para determinar inicialmente os padrões de segurança corretos e, em seguida, automatizar sistemas e painéis de utilizadores para garantir que os protocolos corretos sejam seguidos no futuro.

6. Autenticação de um fator

Um fator (uma única palavra-passe ou código de acesso) simplesmente não é suficiente. Embora hoje em dia a maioria das empresas esteja ciente deste facto, mais de 40% das organizações ainda não utilizam autenticação em duas etapas em todos os potenciais pontos de entrada do ERP. Em outras palavras, não adianta proteger os seus dados mais obviamente cruciais com autenticação de dois fatores (2FA) se outras coisas conectadas, como dispositivos IoT ou aplicações departamentais, forem deixadas vulneráveis com senhas de um passo.

Corrigir: É essencial para empresas de todos os tamanhos implementarem imediatamente protocolos de 2FA (incluindo tokens de segurança ou varreduras biométricas) em todos os potenciais pontos de entrada do ERP. Esta é uma solução simples e de baixo custo que é extremamente importante.

7. Exportação de dados

Apesar dos protocolos oficiais, os utilizadores gostam de colocar coisas em folhas de cálculo ou guardá-las noutros formatos, e os riscos de exportação de dados continuam a ser um problema para as empresas.

Corrigir: As empresas podem controlar isso de alguma forma bloqueando downloads de Excel ou rastreando ações dos usuários dentro da base de dados. Mas, no final do dia, a melhor maneira de proteger contra a exportação de dados é limitar o número de pessoas que têm acesso a dados vulneráveis. Com um ERP moderno, os chefes de departamento podem facilmente determinar e definir não apenas quem pode ver o quê, mas quais elementos de um conjunto de dados podem acessar e visualizar. E, ao contrário dos sistemas legados, os ERPs na nuvem têm funcionalidades de segurança integradas que podem ser automatizadas para enviar notificações e prevenir comandos não autorizados, como downloads ou exportações de dados.

Melhores práticas de segurança cibernética para ERP

Muitos dos problemas e soluções que discutimos estão relacionados com estratégias de segurança mais amplas para otimizar os seus recursos humanos e tecnológicos num mundo de cibercrime. A seguir estão algumas práticas básicas adicionais recomendadas para ajudá-lo a obter o máximo dos serviços e benefícios associados às funções e características de segurança do ERP na nuvem:

• Certifique-se de que os acordos de nível de serviço estão em vigor para a continuidade do negócio, recuperação de desastres e capacidades de tempo de atividade. Ferramentas baseadas na nuvem podem ajudar a integrar estes acordos num só lugar, em operações globais, e automatizar atualizações.
• Realizar auditorias de hiperescaladores e de terceiros. Essas auditorias independentes de terceiros são essenciais para garantir a conformidade entre negócios em todas as etapas e para apoiar iniciativas como a Certificação do Modelo de Maturidade de Cibersegurança (CMMC) e os esforços de Zero Trust.
• Encripte todos os seus dados e concentre-se em fortalecer processos, protocolos e gestão de projetos para todas as equipas envolvidas nas práticas de segurança ERP. Particularmente nas áreas de gestão de patches, configuração de segurança, análise de vulnerabilidades e gestão de ameaças.
• Faça o investimento necessário em consultoria em especialistas externos de cibersegurança de classe mundial para garantir que todas as suas equipas estejam bem informadas sobre os seus papéis e responsabilidades nas áreas de redução de risco.
• Certifique-se de que a monitorização 24/7 e a gestão de segurança proativa foram implementadas em toda a sua empresa para melhorar a capacidade de resposta a incidentes. Isto inclui o seu ERP e quaisquer sistemas, dispositivos ou ativos de IoT dos quais um hacker possa obter acesso.
• Use uma abordagem de teste de ERP baseada em domínio para fornecer um processo de teste consistente e replicável para abordar vetores de atores comuns em toda a superfície de ataque.

Próximos passos para melhorar a segurança do ERP

O cibercrime afeta-nos a todos e, se as empresas quiserem combatê-lo, devem adotar uma abordagem multifacetada. Tecnologias de ERP em nuvem são um ótimo ponto de partida—dando às empresas uma base unificada a partir da qual coordenar e automatizar uma defesa poderosa e eficaz.

Mas, no final, os seus esforços de cibersegurança começam e terminam com as suas pessoas. Os líderes da sua equipa e os funcionários fazem parte da solução, mas não se pode esperar que descubram isso por conta própria. Um bom primeiro passo na sua jornada de cibersegurança ERP é construir planos de comunicação e formação que envolvam especialistas interessantes, aprendizagem prática, planos de aula visuais e práticos, e até alguns exemplos reais do que pode acontecer quando algo corre mal. Medidas específicas de formação e certificação são importantes, mas também funciona melhor aumentar a consciência geral e o interesse no tópico.

A segurança digital é agora uma parte importante das nossas vidas, então por que não tornar o aprendizado sobre cibersegurança uma experiência envolvente e intrigante?