Foto Generada con AI. Portal ERP México.
La ciberseguridad es un tema que se encuentra de manera constante en la agenda de los líderes empresariales, y si bien la superficie de ataque en un mundo cada vez más digitalizado es amplia, hay un objetivo que funge como ‘la joya de la corona’: Los sistemas ERP.
Un sistema ERP concentra las operaciones clave del negocio: ventas, facturación, inventario, recursos humanos, cadena de suministro y más, por lo que acceder a éstos puede ser un objetivo muy jugoso para los cibercriminales. “La ciberseguridad en el ERP es un tema que no se comenta lo suficiente, lo cual es altamente preocupante ya que cuando el ERP no funciona, la empresa simplemente no funciona: pierdo mi inventario, el control de mis procesos, mis ingresos, reputación y más. El ERP es el corazón del negocio, por eso es importante protegerlo adecuadamente”, comentó Marcelo Felman, director de ciberseguridad de Microsoft Latinoamérica.
Debido al valor que representa el ERP para cualquier empresa, sin importar su tamaño o industria, éste necesita ser protegido a todo costo, tanto de los riesgos “tradicionales”, como de nuevas amenazas que vienen con el auge de la digitalización e inteligencia artificial que amplían la superficie de ataque.
De acuerdo con el experto de Microsoft, el modus operandi suele ser el mismo: se comienza la campaña de ataque con alguna forma de ingeniería social para después, desde adentro de la organización, robar cuentas privilegiadas que les permita extender el daño. Si logran quitarle la cuenta a alguien que administra el ERP, las consecuencias suelen ser severas.
Víctor Alonso Martínez, director de operaciones de Veyron destaca: “Hoy en día, los ERP requieren que tengamos más cuidado que nunca, con aspectos que van desde la autenticación, la segregación de perfiles, e incluso la administración de APIs, porque muchos sistemas están conectados con otros mediante APIs, extendiendo la superficie de ataque. No solo hablamos de riesgos en el ERP como sistema central, sino incluso riesgos mediante APIs de terceros que no estén bien configuradas”.
Te recomendamos: Sistemas ERP, clave para sostener la nueva ola de Transformación Digital en México
Principales riesgos del ERP
Si bien el mantra de la ciberseguridad indica que no existe la protección al 100%, si existen algunas buenas prácticas que se pueden realizar para reducir los riesgos:
- Actualización de software y migración a entornos de nube
Las organizaciones están mirando hacia la nube no sólo como una manera de seguir innovando y soportar las cargas de trabajo que un flujo digital requiere, sino como un modo de proteger datos e instancias. A diferencia de los entornos on-premise, la nube le ofrece a los ERP actualizaciones constantes del proveedor que permite corregir errores y cerrar posibles brechas.
Pero para aprovechar de estos beneficios, los ERPs deben de tener habilitada la actualización siempre en sus últimas versiones, así como todo el hardware y software que lo conecta, a fin de salvaguardar la información y poder tenerla siempre supervisada.
“Hoy el cómputo en la nube nos da la posibilidad de tener toda la infraestructura tecnológica para alojar un software, y ser administrado por gente especialista en el sector que sabe cómo mantener actualizado el ERP, cómo mantener respaldadas las bases de datos, y todo el producto en general, para que los gestores puedan aprovechar toda esta flexibilidad que ofrece el cloud para innovar”, comenta José Angel Tinoco, Director de Operaciones Tech en Indra Group.
- Gestión de identidad y accesos
Un punto en el que, tanto los expertos en ciberseguridad como en ERP coinciden, es que el factor humano sigue siendo la principal brecha de seguridad, ya sea por acciones malintencionadas o errores. Para reducir el riesgo, es necesaria una correcta gestión de identidad y acceso, especialmente para las cuentas privilegiadas.
“Uno de los principales riesgos de las empresas es el social, es decir, los colaboradores, ya sea operativos o técnicos que tienen acceso al sistema. Debemos de tenerlos perfectamente concientizados de los riesgos que existen y del poder que tienen al acceder a esta información de la organización. Si bien la parte tecnológica es muy importante, la parte humana suele ser la más vulnerable y, curiosamente, la más desatendida”, puntualizó José Angel Tinoco, y agrega que es vital eliminar accesos y permisos no sólo cuando una persona abandona la organización, incluso cuando asciende de puestos o cambia de área, evitando acceder a información que ya no le corresponden.
El experto de Microsoft recomienda seguir los tres pilares de Zero Trust: verificar, otorgar el menor nivel de privilegio posible, y asumir que ya hay un incidente dentro para responder con altos estándares de seguridad que permita detectar y responder.
- Inteligencia Artificial, mayor productividad pero con mayores riesgos
Si bien la realidad es que la gran mayoría de los sistemas ERP actuales cuentan con alguna integración de Inteligencia Artificial, pensando en simplificar el acceso a la información y automatizar procesos, existe una nueva superficie de ataque, especialmente con la integración de agentes de IA capaces de realizar acciones sin supervisión humana.
De acuerdo con datos de Microsoft, el 80% de las Fortune 500 ya usa agentes de IA en el trabajo, sin embargo, muchos de estos agentes no están siendo gestionados por el área TI, dando paso a lo que se denomina Shadow AI. Además, sólo el 47% de las organizaciones ha implementado controles de seguridad para estos agentes.
“Ofrecen muchas ventajas como automatizar tareas, sin embargo, hay que estar conscientes de que los agentes también tienen vulnerabilidades diferentes a la IA o cualquier otra tecnología. ¿Qué pasa si alguien manipula el comportamiento de los agentes dentro de procesos financieros o fiscales? Es un riesgo que no se ha valorado lo suficiente hasta ahora, y que los equipos de ciberseguridad tienen que encargarse. Se necesita tratar a los agentes con las mismas reglas de protección como si se tratasen de un humano”, destacó el director de ciberseguridad de Microsoft.
Por su parte, el experto de Indra Group agrega que, de acuerdo con la ley en México, se contempla como una causal de despido justificado que los colaboradores expongan información confidencial de la empresa, por lo cual, al exponer datos a IA no autorizada mediante el Shadow AI podría costar el empleo y generar demandas o sanciones. “Es una mala práctica que puede llegar a consecuencias severas”, destaca.
¿La solución? Proveer de un ERP que incluya un agente de IA eficaz y potente para evitar que los trabajadores busquen esta herramienta por fuera. Sin embargo, aún existirá el empleado que busque vías alternas, por lo que se recomienda tener total visibilidad de los procesos y flujos de trabajo para, en caso de que un empleado intente sacar la información del ERP, se pueda contener.
- Capacitación continua del personal
Toda la ola de innovación en la que se están inmiscuyendo las empresas, de cualquier tamaño e industria, pueden provocar que el personal se sienta un poco frustrado, al tener que adoptar tecnologías que prometen ser intuitivas, pero terminan por atravesar una curva de aprendizaje compleja, lo que lleva a malas prácticas.
Las empresas deben invertir no sólo en actualizar sistemas, sino en actualizar las habilidades de las personas para adecuarse al nuevo mundo en el que se está desarrollando el negocio y así, reducir los riesgos. “Se debe reconocer la tecnología, entrenar, capacitar, y enseñar a las personas a que revisen procesos y no confíen ciegamente, así sea un agente que promete tomar decisiones. No hay que delegar cosas que no son apropiadas para delegar. Es un proceso lento y complejo, pero es estrictamente necesario”, destacó Marcelo Felman.
El director de operaciones de Veyron recomienda no dejar de lado la cultura de ciberprotección con aspectos básicos, que aunque podrían parecer antiguos, se siguen cometiendo y con más frecuencia de lo que se puede pensar. “La seguridad informática debe abordarse de punta a punta, y no es sólo no abrir correos electrónicos maliciosos, sino incluso malas prácticas que se siguen repitiendo, como dejar contraseñas en un papel o PowerPoint, o incluso no dejar abierta la máquina con información sensible de la empresa, etcétera. La capacitación y buenas prácticas de seguridad es un paso básico para proteger el ERP, es la piedra angular”.
- Plan de Respuestas a Accidentes: Vigente y comprobable
Hemos hablado hasta ahora de la parte preventiva, pero también tenemos que estar abiertos a la posibilidad de que, tarde o temprano, el ataque será exitoso, por lo cual es importante no sólo contar con un Plan de Respuestas a Accidentes, sino tenerlo constantemente actualizado ante nuevas amenazas y realizar pruebas periódicas frecuentes que garanticen su funcionamiento ante una eventualidad.
Es importante destacar que las empresas deben prepararse para entender, detectar y responder ante una interrupción de servicio, incluso yendo más allá de la ciberseguridad; puede ocurrir por error humano, falla técnica o, incluso, desastre natural. Las empresas deben revisar constantemente estos planes de respuesta para garantizar que sean efectivos cuando se les necesita.
“Como consultores, hemos visto un incremento en el secuestro de los sistemas que frenan la operación. Y lo peor ha venido cuando intentan abrir los respaldos y éstos han sido vulnerados también. Normalmente, cuando un cibercriminal ataca es porque ha estado dentro de los sistemas desde semanas o meses antes. He ahí la importancia de activar los planes de contingencia para garantizar que tienen la capacidad de restablecerse cuando se necesitan”, destacó Víctor Alonso.
ERP y ciberseguridad: materias que deben ir de la mano
Los expertos en tecnología nos destacan la importancia de tomar la ciberseguridad por el ‘Back to the Basics’, es decir, empezar por aspectos tan sencillos que muchas veces se dejan de lado: antimalware, buenas prácticas alineadas a procedimientos y políticas, ataques simulados de prevención, y políticas que involucren tecnología, procesos y personas.
“Reconozcamos al ERP no como un sistema más en la organización, sino como el sistema que alberga toda la información crítica del negocio. La ciberseguridad en este ambiente no es solamente un tema de tecnología, sino un tema esencial que tiene el poder de inclusive cerrar empresas completas por la falta de atención adecuada”, destacó José Ángel Tinoco.
Muchas empresas no son conscientes del poder que tiene un ERP, ya que una caída significa una parar operaciones que afectan al negocio e incluso, en casos más severos, la permanencia del mismo, por ello, la ciberseguridad en el ERP es un tema que debe permanecer en la agenda de los líderes de negocio.
