¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

Los ciberdelincuentes saben que el ERP es el corazón del negocio. La seguridad de la información de la empresa depende de cuán bien esté protegido el acceso al más débil de los dispositivos que forman la red.

Muchas son las empresas y organizaciones que utilizan un software específico para gestionar sus procesos dentro del negocio. A estas herramientas se las conoce como Enterprise Resource Planning o más comúnmente por sus siglas ERP. Este tipo de aplicaciones pueden gestionar una gran cantidad de procesos críticos para las organizaciones como por ejemplo: la gestión con proveedores, el ciclo de vida de un proyecto o las operaciones realizadas por el Departamento de RR.HH. o el Departamento Financiero, ya que este software puede ser utilizado para multitud de propósitos. Los ciberdelincuentes lo saben y por esa razón han puesto en su punto de mira a estas herramientas. La seguridad de la información del negocio es clave para que no bloqueen el acceso a los datos del ERP.

Parches de seguridad, actualizaciones y malas configuraciones

Varios son los factores por los que los ERP no suelen estar actualizados a la última versión comprometiendo la seguridad de la información. La propia complejidad de la herramienta, el número de instancias a actualizar, el miedo a un error en la actualización y que el servicio deje de funcionar o simplemente, por falta de cultura de seguridad y la creencia de que si algo funciona bien es mejor dejarlo como está, están entre los motivos principales.

Según informes publicados, la seguridad de la información es una preocupación para muchas empresas. Desde el año 2010 el número de vulnerabilidades descubiertas en los dos ERPs más usados a nivel mundial ha aumentado constantemente. Esto unido a que el número de exploits o códigos maliciosos públicos se ha incrementado, hace que sean un objetivo «muy jugoso» para los cibercriminales.

La investigación realizada por las empresas Digital Shadows y Onapsis, revela evidencia de que las aplicaciones críticas para el negocio que ejecutan las organizaciones más grandes del mundo están siendo atacadas.

El informe muestra un aumento de ciberataques en aplicaciones de ERP ampliamente utilizadas como SAP y Oracle, que actualmente tienen un total combinado de 9.000 vulnerabilidades de seguridad del ERP conocidas, y también destaca un aumento en los ataques a estos sistemas por parte de ciberdelincuentes.

Los ataques a las aplicaciones ERP incluyen debilitación y denegación de servicio distribuidos (DDoS) destinados a interrumpir las operaciones de negocios: una convergencia de amenazas, según el informe, que pone a miles de organizaciones y sus joyas de la corona directamente en riesgo de espionaje, sabotaje y fraude financiero.

Se están desarrollando kits de malware conocidos como Dridex para robar credenciales de usuario y datos de aplicaciones ERP detrás del firewall. Los terceros y los empleados están exponiendo información que puede proporcionar un alto valor a los actores sofisticados, advierte el informe. Los investigadores descubrieron 545 archivos SAP expuestos públicamente debido a una mala configuración, que proporciona información valiosa para que los atacantes localicen archivos confidenciales en las redes de las organizaciones.

EvaluandoERP recibió informes de empresas regionales que sufrieron ataques de ransomware que bloquearon el acceso todo el software de la organización.

Otro de los problemas más comunes que compromete la seguridad de la información es permitir el acceso a la aplicación desde Internet sin los recuados necesarios. Esto en sí mismo no es una mala práctica, pero si tenemos en cuenta que muchas herramientas no disponen de las últimas actualizaciones o que permiten la conexión segura por medio de VPN, hace que sean una amenaza para las organizaciones.

seguridad de un ERP

Objetivo de ciberdelincuentes

Los ciberdelincuentes se han aprovechado, y aprovechan, de las vulnerabilidades, la falta de configuración de los ERP y la poca seguridad de la información para diversos fines.

  • Robo de información confidencial. Muchas son las organizaciones que utilizan este tipo de software para gestionar sus proyectos y alojar información confidencial. En caso de un acceso no autorizado, la baja seguridad de la información permitiría a los ciberdelincuentes tener acceso a esta información, pudiendo venderla a la competencia o usarla como medio de extorsión.
  • Robo de datos bancarios. Números de cuenta o de tarjeta son almacenados y gestionados por los ERP, por lo que su robo puede acarrear pérdidas económicas para la empresa o sus clientes potenciando los daños que causa la falta de seguridad de la información.
  • Robo de datos personales. Es común que el departamento de RR. HH. de una organización tenga almacenados en este tipo de aplicaciones, los datos personales como nombres y apellidos, información de contacto o direcciones, etc. Todo es almacenado y gestionado desde los ERPs, por lo que la carencia de seguridad de la información dará acceso fraudulento que puede permitir su filtración con la consiguiente pérdida reputacional e incluso implicaciones legales según el reglamento de protección de datos de cada país.
  • Denegaciones de servicio. Prácticas que afectan a los servicios ofrecidos por las empresas, que pueden tener un enorme impacto reputacional si éstas no son bien gestionadas.
  • Minado de criptodivisas. Los ciberdelincuentes pueden aprovecharse de la capacidad de cómputo de los equipos que alojan este tipo de software para utilizarlos en su beneficio mediante el minado de criptomonedas. Además de incrementar el consumo energético y provocar el deterioro del dispositivo puede hacer que el sistema sea más lento, llegando incluso a hacerlo inoperativo.
  • Infecciones por malware. Infectar los dispositivos con troyanos, keyloggers o incluso ransomware es otra práctica muy extendida que puede poner en peligro la continuidad de una organización por no tomar precauciones relacionadas con la seguridad de la información.

solución de seguridad

Buenas prácticas y medidas de protección

Para prevenir que el ERP sea víctima de los ciberdelincuentes, uno de los principales puntos a seguir es implantar una política de actualizaciones mediante la cual se pueda proceder con el software las veces que sean necesarias para aplicar los parches de seguridad lanzados por el desarrollador con garantías de funcionamiento, ya que uno de los principales motivos por los que no se aplican las actualizaciones es por temor a que estas repercutan negativamente sin tomar en cuenta las seguridad de la información. Como ocurre con cualquier sistema o servicio en producción, se ha de contar con un entorno de desarrollo y/o preproducción para poder realizar las actualizaciones y comprobar si afectan al normal funcionamiento de la aplicación, evitando comportamientos que puedan perjudicar la funcionalidad del ERP en el entorno de producción y reforzando la seguridad de la información.

Otro punto importante a considerar en este tipo de herramientas, es si se habilita el acceso desde Internet. Siempre que sea posible se limitará su acceso a no ser que sea imprescindible para el funcionamiento de la empresa. En caso de que se tengan que realizar conexiones desde redes externas se deben realizar siempre a través de una VPN que mitigará posibles fugas de información y accesos no autorizados.

Evitar utilizar contraseñas por defecto o débiles, ya que muchas veces se implantan medidas de seguridad complejas, pero al usar contraseñas inseguras se reduce enormemente el nivel de seguridad.

Revisar los privilegios de los usuarios y otorgar únicamente aquellos que sean necesarios para desempeñar el trabajo.

Monitorizar y registrar el ERP para que en caso de actividad anómala o incidente de seguridad se pueda identificar la causa lo antes posible.

Un ERP es una gran alternativa con la que aumentamos significativamente la eficiencia en la gestión de una empresa, pero también podemos ponerla en riesgo si no se aplican las medidas de seguridad necesarias.

Fuente: Instituto Nacional de Ciberseguridad – INCIBE.

Adaptado por la División Consultoría de EvaluandoERP.com

 

¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

Suscríbase a nuestras novedades

Suscríbase a nuestras novedades

¿está interesado en nuestros contenidos de ERP? Suscríbase para nuestros newsletter y no deje de estar informado.

¡Listo, ya está suscripto!

Share This