Aunque los ciberataques siguen siendo una prioridad para los equipos directivos y tácticos, es posible que muchos no se den cuenta de lo vulnerables que son sus sistemas ERP. Esto podría convertirse en un problema relevante mientras que la evidencia confirma el incremento de ataques especializados a estos componentes tecnológicos.
Recordemos que el término ERP, refiere a Enterprise Resource Planning (planificación de recursos empresariales), y son sistemas de aplicación que las compañías utilizan para gestionar actividades empresariales diarias como la contabilidad, abastecimiento, proyectos y cadena de suministro, entre otras.
Con base en nuestra experiencia, una de las razones por las que las empresas no han asegurado sus sistemas ERP al nivel adecuado, es el tamaño y complejidad que representa esta tarea. Los ERP se componen de una amplia gama de elementos, como procesos y flujos de trabajo, datos maestros y almacenes de datos, una infraestructura informática subyacente, una gran red de almacenamiento y en algunos casos, cientos de interfaces.
Esta complejidad se ve agravada por el hecho de que las empresas a menudo no tienen una transparencia de lo que ocurre realmente en sus sistemas ERP, desde los datos que pasan a través de ellos hasta las interfaces con otros sistemas y las transacciones que se realizan.
Además, los sistemas ERP tienen interconexiones entre aplicaciones internas y fuentes de datos y sistemas externos, como la cadena de suministro o el sistema logístico de un proveedor. Puede ser difícil entender las distintas dependencias, lo que significa que proteger una sola parte del sistema puede no servir de nada, porque cada interconexión puede ser una vulnerabilidad. Un ejemplo de esto último fue el ataque cibernético del cual Target fue victima en 2013, donde el retailer americano daba acceso a proveedores a través de un portal, y la solución del tercero fue comprometida, lo que permitió a los atacantes ganar accesos a la red de Target. Como resultado, se estima que fueron robados 40 millones registros de tarjetas de crédito/débito y 70 millones de registros de información de clientes.
Existen prácticas bien establecidas para proteger los sistemas de los ciberataques. Pero la escala y la complejidad de los sistemas ERP hacen que las compañías deban ajustar sus esfuerzos. Aunque no existe un entorno perfectamente protegido, algunas actividades que pueden ser tenidas en cuenta para estar mejor preparados a los ciberataques:
¿Qué información es importante?
Algunas compañías rara vez tienen una visión clara de cuáles y dónde se encuentras sus datos y sistemas más importantes. Sin embargo, las empresas que siguen las mejores prácticas son sistemáticas a la hora de identificar qué sistemas son los más importantes, evaluando las distintas implicaciones de los posibles ciberataques. ¿El ataque hará caer todo el sistema? ¿Existe una solución alternativa? ¿El impacto del ataque es nominal (como un retraso en el envío de las facturas) o supondrá una pérdida de ingresos (como la pérdida de facturas)? Los datos de los clientes suelen considerarse críticos. Como esos datos suelen estar almacenados en muchos lugares diferentes, las compañías deben invertir tiempo en localizar todos los lugares en los que residen e identificar las interfaces que dan acceso a ellos.
Inventario de interfaces
Un mapa de todas las interfaces del sistema ERP con los flujos de datos relacionados es útil. En muchos casos, estas interfaces están relacionadas con sistemas legados, elementos puntuales poco utilizados o en el peor de los casos, componentes duplicados. Al identificarlas y cuestionar críticamente cuáles siguen siendo necesarias, las compañías pueden reducirlas y a su vez la superficie de ataque.
Crear este mapa no es fácil. La escala y la complejidad de los sistemas ERP pueden hacer que las propias evaluaciones lleven mucho tiempo, a veces más de 4 meses. Existen diferentes enfoques para realizar estas actividades como: análisis de tráfico para localizar interfaces, traces de autorizaciones y llamados a funciones remotas, construcción de sistemas espejo para análisis detallado.
Responsables funcionales de ERP como parte integral de los ejercicios de hacking ético y respuesta a incidentes
Cómo responder a los ciberataques a un ERP sólo funciona si los equipos de ERP forman parte activa de los ejercicios. Con frecuencia, estos equipos son tratados como auxiliares en los ejercicios de ciberataques o ni siquiera se les consulta. Pero sus conocimientos son cruciales para garantizar que los ejercicios sean realistas y pongan a prueba los sistemas de toda la empresa.
No existe un sistema perfecto cuando de ataques se trata. Pero si se aplican prácticas cibernéticas sólidas, se definen modelos de Gobierno y se supervisan activamente los sistemas ERP, las compañías podrían reducir potencialmente las amenazas a los sistemas empresariales más vitales. En BDO, entendemos la relevancia que un ERP representa en las compañías y a través de nuestra práctica de Cyber
Inscríbase para recibir las últimas noticias y publicaciones de BDO
Please fill out the following form to access the download.