Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Un ERP desactualizado pone en peligro la seguridad empresarial

  • Noticias y Actualidad

portatil ERP big data

Un software de gestión empresarial es un elemento clave que aumenta significativamente la eficiencia de una empresa, pero también puede ponerla en riesgo si no se aplican las medidas de seguridad necesarias. Desde el año 2000 el número de vulnerabilidades descubiertas en los dos ERP más usados ha aumentado constantemente.

Son muchas son las empresas y organizaciones que utilizan un software de gestión empresarial (ERP), un tipo de aplicaciones capaces de gestionar una gran cantidad de procesos críticos para las organizaciones, como las operaciones realizadas por Recursos Humanos o el departamento Financiero. Este software puede ser utilizado para multitud de propósitos, lo que ha hecho que los ciberdelincuentes hayan puesto en su punto de mira a estas herramientas, muchas de las cuales no suelen estar actualizadas a la última versión.

Según INCIBE, algunos de los motivos de la desactualización de las herramientas ERP son la propia complejidad de la herramienta, el número de instancias a actualizar, el miedo a un error en la actualización y que el servicio deje de funcionar, o simplemente la creencia de que si algo funciona bien es mejor dejarlo como está. Pero lo cierto es que, según diversos informes, desde el año 2000 el número de vulnerabilidades descubiertas en los dos ERP más usados a nivel mundial ha aumentado constantemente, disparando el número de exploits o códigos maliciosos públicos.

Los ciberdelincuentes se aprovechan de las vulnerabilidades y la falta de configuración de los ERP para diversos fines, incluido el robo de información confidencial, pudiendo venderla a la competencia o usarla como medio de extorsión; el robo de datos bancarios almacenados y gestionados por los ERP, cuyo robo puede acarrear pérdidas económicas para la empresa o sus clientes; el robo de datos personales, como nombres y apellidos, información de contacto o direcciones de empleados y clientes, cuya filtración conlleva una pérdida reputacional e incluso implicaciones legales según el RGPD; denegaciones de servicio, que pueden tener un enorme impacto reputacional si éstas no son bien gestionadas; e infecciones por malware, como troyanos, keyloggers o incluso ransomware, lo que puede poner en peligro la continuidad de una organización.

INCIBE señala que, para prevenir que el ERP sea víctima de los ciberdelincuentes, uno de los principales puntos a seguir es implantar una política de actualizaciones mediante la cual se puedan realizar las actualizaciones de software necesarias con las que aplicar los parches de seguridad lanzados por el desarrollador con garantías de funcionamiento. Hemos de contar con un entorno de desarrollo y/o preproducción para poder realizar las actualizaciones y comprobar si afectan al normal funcionamiento de la aplicación, evitando comportamientos que puedan perjudicar la funcionalidad del ERP en el entorno de producción.

Otro punto importante a considerar en este tipo de herramientas es si se habilita el acceso desde Internet. Siempre que sea posible se limitará su acceso a no ser que sea imprescindible para el funcionamiento de la empresa. En caso de que se tengan que realizar conexiones desde redes externas se deben realizar siempre a través de una VPN que mitigará posibles fugas de información y accesos no autorizados.

Otras medidas son evitar utilizar contraseñas por defecto o débiles, lo que reduce enormemente el nivel de seguridad; revisar los privilegios de los usuarios y otorgar únicamente aquellos que sean necesarios para desempeñar el trabajo; y monitorizar y registrar el ERP para que, en caso de actividad anómala o incidente de seguridad, se pueda identificar la causa lo antes posible.