Los sistemas de planificación de recursos empresariales (ERP) son el corazón del negocio. Al centralizar la información de la empresa para eficientar procesos, mejorar la rentabilidad, comunicarse entre áreas y optimizar la atención a clientes y proveedores, hace que el mantener la protección y privacidad de este activo tan valioso sea esencial para la continuidad y competencia.
Y es que, hoy más que nunca, gracias a la ola de digitalización que se atraviesa, los datos se han convertido en el nuevo petróleo del mercado. Los datos del mercado hablan por sí solos: Ernst & Young destaca que el 81% de las empresas están conscientes de que los datos deben estar en el centro de la toma de decisiones empresariales; Forrester Consulting recalca que las empresas que hacen uso adecuado de sus datos con herramientas digitales para la toma de decisiones obtienen un 58% más de probabilidades de alcanzar sus objetivos de ingresos y un 162% más de probabilidades de superarlos que sus competidores.
De acuerdo con datos de McKinsey, las organizaciones data-driven son 23 veces más propensas a adquirir clientes y 19 veces más a ser rentables que sus competidoras. Un estudio similar de PwC indica que estas empresas basadas en datos logran superar a la competencia en un 6% en rentabilidad y 5% en productividad.
Si tomamos en cuenta que el ERP concentra la gran mayoría de esta información que impulsa mejores estrategias y tomas de decisiones, se vuelve en el golden ticket que las empresas deben proteger.
De acuerdo con Moisés Morales, Asesor Líder de Ciberseguridad y Cumplimiento para América Latina y el Caribe de SAP, existen agentes externos que buscan obtener beneficios, principalmente monetarios, del robo de información a través del mal uso, la extorsión, secuestro o venta de activos digitales.”El ERP se convierte en un activo atractivo para los atacantes quienes ven la posibilidad acceder a una mina de oro dado la naturaleza de los datos que se almacenan - financieros, clientes, inventarios, etc.-, así como de los procesos clave que él se gestionan”, comenta.
Te puede interesar: ERP, la joya de la corona para cibercriminales
Riesgos como la falta de actualizaciones, configuraciones inseguras, accesos no autorizados e incluso amenazas digitales más robustas como el ransomware son los principales retos que enfrenta la protección de datos dentro del ERP, lo que hace que tanto los gestores de ERP como los líderes de seguridad trabajen en conjunto para tomar acciones efectivas que permitan mitigar los riesgos.
“De los riesgos anteriores, el tema de la actualizaciones resulta por demás crítico, pues no solo se limitan a la funcionalidad propia del ERP sino muchas de ellas llegan a ser necesarias para robustecer la seguridad. Desafortunadamente y por múltiples razones, dichas actualizaciones se retrasan por lo que el paso del tiempo puede llevar a la organización a estar expuesta ante ataques, accesos no deseados e incluso secuestro de datos”, destacó Mosés Morales, y agregando que es primordial generar conciencia dentro de las organizaciones en todos los niveles.
Datos más “jugosos” dentro del ERP
De acuerdo con el especialista de SAP, es difícil definir aquellos datos que suelen ser los más atractivos para actividades delictivas digitales, puesto que cada organización y ERP son diferentes, sí existe un patrón de aquellos que pudieran estar más expuestos ante un ataque al ERP, estos son:
- Datos Financieros
- Datos de Clientes (PII - Información Personal Identificable)
- Datos de Proveedores y Socios Comerciales
- Datos de Empleados (HR)
- Propiedad Intelectual y Datos Estratégicos
- Datos de Inventario y Cadena de Suministro
“Es clave tener una correcta definición de roles y responsabilidades, la encripción de datos en tránsito/reposo, así como mecanismos de enmascaramiento son altamente recomendables, entre otros, para mitigar”, puntualiza.
Mejores prácticas para reducir o mitigar riesgos para el ERP
Si bien es cierto que mitigar en su totalidad los riesgos en el ERP es básicamente imposible, sí existen algunas buenas prácticas que ayudarán a reducir el riesgo. La principal recomendación es implementar un enfoque estructurado y plan de acción que abarque desde los aspectos técnicos, operativos, hasta aquellos propios de la gestión, combinando la ya conocida tercia: tecnología, procesos y personas.
El Asesor Líder de Ciberseguridad y Cumplimiento de SAP recomienda incluir los siguientes puntos:
- Seguridad y Protección de Datos
- Gestión de Cambios y Actualizaciones
- Continuidad del Negocio y Plan de Recuperación
- Capacitación y Concienciación
- Monitoreo y Auditoría
- Cumplimiento Normativo
- Gestión de Proveedores y Terceros
- Respuesta a Incidentes
- Evaluación Continua de Riesgos
“No pensemos que la seguridad del ERP es tan solo el habilitar funcionalidades específicas como autenticación multifactor o el habilitar/deshabilitar usuarios. Es algo más amplio que requerirá tiempo, dinero y conocimiento”, anota.
Inteligencia Artificial: la necesidad de un uso regulado
La Inteligencia Artificial es un tema que ha estado en boga por los últimos par de años, sin embargo, más allá de la promesa de automatización y eficiencia en procesos, su integración dentro de los sistemas ERP debe ser controlado, bien planificado, y bajo estándares de privacidad, gobernanza y cumplimiento.
Al combinar políticas claras, tecnología adecuada y supervisión continua, las organizaciones pueden aprovechar los beneficios de la IA sin incurrir en riesgos legales o reputacionales.
“La integración de la IA en un ERP también introduce desafíos significativos en materia de privacidad, gobernanza y cumplimiento normativo. De tal forma, para garantizar una implementación exitosa y sostenible, las organizaciones deben adoptar un enfoque estructurado que aborde estos aspectos de manera integral y que mitigue los riesgos asociados a procesamiento de grandes volúmenes de datos, muchos de los cuales pueden ser sensible; operación bajo un marco de gobernanza que garantice transparencia, responsabilidad y alineación con los objetivos empresariales; y normativas de privacidad, la IA en un ERP debe alinearse con estándares éticos y legales”, recalca Mosés Morales.
La integración de IA en un ERP no es solo una cuestión tecnológica, sino un desafío estratégico que requiere equilibrio entre innovación y gestión de riesgos.
Factor humano, el principal punto de atención
Dentro de la tríada de: tecnología, procesos y gente, es este tercer factor uno de los principales riesgos para los ERP, ya que por más avanzada que sea la tecnología, por más bien definidos que estén los procesos, sin una correcta capacitación del factor humano, sin importar si se trata del CEO o del empleado de planta, cualquier estrategia de protección de datos está destinada a fracasar.
“La capacitación no solo busca mejorar las habilidades individuales, sino también fortalecer la cultura organizacional en materia de protección mediante esquemas de capacitación y actualización definidos por las áreas de seguridad. Estos esquemas deben ser implementados de manera estructurada y continua, asegurando que todos los colaboradores, independientemente de su nivel jerárquico, tengan acceso a la información y herramientas necesarias para desempeñar sus funciones de manera segura y eficiente", puntualiza.
La capacitación no debe ser vista como una carga adicional, o un gasto innecesario. Se trata de una inversión estratégica que contribuye a la prevención de incidentes y al fortalecimiento de la resiliencia organizacional, que debe abordar desde la gestión de riesgos, hasta la protección de datos, la respuesta a incidentes y la conformidad con normativas y regulaciones; siendo todos ellos en su conjunto cruciales para garantizar una operación segura y eficiente.
