Ir al contenido principal

Un ERP desactualizado pone en peligro la seguridad empresarial.

Son muchas son las empresas y organizaciones que utilizan un software de gestión empresarial (ERP), un tipo de aplicaciones capaces de gestionar una gran cantidad de procesos críticos para las organizaciones, como las operaciones realizadas por Recursos Humanos o el departamento Financiero. Este software puede ser utilizado para multitud de propósitos, lo que ha hecho que los ciberdelincuentes hayan puesto en su punto de mira a estas herramientas, muchas de las cuales no suelen estar actualizadas a la última versión.

Un software de gestión empresarial es un elemento clave que aumenta significativamente la eficiencia de una empresa, pero también puede ponerla en riesgo si no se aplican las medidas de seguridad necesarias. Desde el año 2000 el número de vulnerabilidades descubiertas en los dos ERP más usados ha aumentado constantemente.

Según INCIBE, algunos de los motivos de la desactualización de las herramientas ERP son la propia complejidad de la herramienta, el número de instancias a actualizar, el miedo a un error en la actualización y que el servicio deje de funcionar, o simplemente la creencia de que si algo funciona bien es mejor dejarlo como está. Pero lo cierto es que, según diversos informes, desde el año 2000 el número de vulnerabilidades descubiertas en los dos ERP más usados a nivel mundial ha aumentado constantemente, disparando el número de exploits o códigos maliciosos públicos.
Los ciberdelincuentes se aprovechan de las vulnerabilidades y la falta de configuración de los ERP para diversos fines, incluido el robo de información confidencial, pudiendo venderla a la competencia o usarla como medio de extorsión; el robo de datos bancarios almacenados y gestionados por los ERP, cuyo robo puede acarrear pérdidas económicas para la empresa o sus clientes; el robo de datos personales, como nombres y apellidos, información de contacto o direcciones de empleados y clientes, cuya filtración conlleva una pérdida reputacional e incluso implicaciones legales según el RGPD; denegaciones de servicio, que pueden tener un enorme impacto reputacional si éstas no son bien gestionadas; e infecciones por malware, como troyanos, keyloggers o incluso ransomware, lo que puede poner en peligro la continuidad de una organización.
INCIBE señala que, para prevenir que el ERP sea víctima de los ciberdelincuentes, uno de los principales puntos a seguir es implantar una política de actualizaciones mediante la cual se puedan realizar las actualizaciones de software necesarias con las que aplicar los parches de seguridad lanzados por el desarrollador con garantías de funcionamiento. Hemos de contar con un entorno de desarrollo y/o preproducción para poder realizar las actualizaciones y comprobar si afectan al normal funcionamiento de la aplicación, evitando comportamientos que puedan perjudicar la funcionalidad del ERP en el entorno de producción.
Otro punto importante a considerar en este tipo de herramientas es si se habilita el acceso desde Internet. Siempre que sea posible se limitará su acceso a no ser que sea imprescindible para el funcionamiento de la empresa. En caso de que se tengan que realizar conexiones desde redes externas se deben realizar siempre a través de una VPN que mitigará posibles fugas de información y accesos no autorizados.
Otras medidas son evitar utilizar contraseñas por defecto o débiles, lo que reduce enormemente el nivel de seguridad; revisar los privilegios de los usuarios y otorgar únicamente aquellos que sean necesarios para desempeñar el trabajo; y monitorizar y registrar el ERP para que, en caso de actividad anómala o incidente de seguridad, se pueda identificar la causa lo antes posible.

Comentarios

Publicar un comentario

Entradas más populares de este blog

El 62% de las empresas europeas pierden datos confidenciales por el extravío de memorias USB.

La mayoría de las compañías no incluye el control de estos dispositivos de almacenamiento de datos en sus políticas de protección de datos. Un estudio realizado por Kingston Technology y el Instituto Ponemon en noviembre de 2011 en Dinamarca, Finlandia, Francia, Alemania, Holanda, Noruega, Suecia, Suiza, Polonia y Reino Unido ha revelado que empresas públicas y privadas de toda Europa olvidan la importancia de las memorias USB cuando establecen sus medidas de seguridad de información. Cada profesional encuestado contaba con más de 10 años de experiencia en Tecnologías de la Información o seguridad en el entorno TI. Los empleados son a menudo negligentes sobre los peligros potenciales de seguridad de las memorias USB, lo que en ocasiones deja al descubierto información sensible y privada de sus empresas. Algunos de los datos revelados por el estudio son el siguiente: El 75% de los encuestados declaró que los empleados de sus empresas utilizan memorias USB sin solici...
Publicar un comentario
Leer más

La industria 5.0: robots al servicio del ser humano

A diferencia de la industria 4.0, donde predominan los robots industriales y el control de la información , en la Industria 5.0 el ser humano es el protagonista y la máquina le colabora . Con la Industria 5.0 se habla de la revolución colaborativa, en donde lejos de reemplazar al trabajador, lo pone en el centro de la producción y posibilita que tanto el robot (cobot) como el humano laboren de manera conjunta, en sincronía para un proceso más productivo , inteligente y orientado a la personalización . Esta producción industrial se caracteriza por su rapidez, el empoderamiento humano, la manufactura personalizada y la oportunidad para que otros sectores empresariales y las Pymes tengan acceso al uso de estas unidades robóticas. Actualmente, empresas como Whirlpool, Mercedes Benz y BM W le apuestan a la Industria 5.0 a tal grado que han realizado sus propias investigaciones no sólo para conocer el potencial de la tecnología, sino para ver qué tan rentable será la dupla p...
Publicar un comentario
Leer más

La estrategia base de proyectos.

El desarrollo de un proyecto siempre tiene como propósito generar un beneficio del cual se espera que a corto, mediano o largo plazo tenga una repercusión financiera positiva . Sin embargo, es importante entender que la rentabilidad y el crecimiento de un proyecto son una tensión entre sí, y cuánto más te inclinas por uno, más comprometes el otro. Según un estudio de Bain & Company, desde 2001 hasta 2010 solo el 9% de empresas consiguieron desarrollar rentabilidad y crecimiento simultáneamente. Es por ello que debes ser consciente de la situación actual de tu proyecto y hacia qué parte de las tensiones quieres enfocarte.  Si juntas las tensiones en una matriz tendremos cuatro cuadrantes, uno de crecimiento, uno de rentabilidad, uno de crecimiento y rentabilidad simultánea y el último de fracaso. Justo como se muestra enseguida.  Lo cierto es que tú también puedes estar en el 9%, aunque no es tarea fácil. Primero, debes de apoya...
Publicar un comentario
Leer más