Los 10 problemas de seguridad más comunes del ERP y cómo resolverlos

El crecimiento del trabajo a distancia desde el comienzo de la pandemia del COVID-19 ha dado lugar a superficies de ataque y riesgos nunca antes imaginados. El ransomware y otras amenazas externas se están apoderando de las organizaciones más resistentes, y los sistemas ERP están expuestos como nunca antes.

La mayoría de estos problemas de seguridad no son nada nuevo, pero han crecido exponencialmente. El primer paso para mejorar la seguridad de la empresa es reconocer los retos actuales.

A continuación, los problemas de seguridad más comunes de los sistemas ERP y cómo abordarlos.

1. Vulnerabilidades desconocidas

Muchas organizaciones no han identificado completamente sus brechas de seguridad, y mucho menos las han abordado. El problema de seguridad de ERP más común es que el personal de TI y de seguridad no sabe lo que no sabe.

Los responsables de TI deben conocer a fondo los riesgos de seguridad del ERP de su empresa antes de tomar cualquier otra medida.

2. Falta de actualizaciones de software

Muchas estaciones de trabajo y servidores carecen de actualizaciones de software necesarias. Estas omisiones pueden incluir software ERP obsoleto, así como sistemas operativos subyacentes y aplicaciones de apoyo con un mantenimiento inadecuado. La falta de actualizaciones puede dar lugar a cualquier cosa, desde infecciones de malware hasta ataques de denegación de servicio, pasando por accesos remotos no autentificados.

A pesar de la posibilidad de que los sistemas críticos sufran cortes del sistema y tiempos de inactividad, los equipos de TI deben actualizar el software e implementar parches de seguridad regularmente.

3. Autenticación débil del ERP

Los inicios de sesión inadecuados pueden incluir contraseñas débiles, cuentas compartidas y una falta de autenticación multifactorial. Como mínimo, la autenticación del ERP debe ser tan fuerte como los controles de las cuentas del dominio interno. Cuando el sistema utiliza credenciales únicas, esta norma no suele cumplirse.

Refuerce los inicios de sesión si es necesario para evitar problemas en el futuro.

4. Vulnerabilidades específicas de las aplicaciones web

Algunas aplicaciones web permiten la inyección de SQL y la escalada de privilegios, y poseen fallos de lógica de negocio que permiten a los usuarios manipular partes del sistema que, de otro modo, deberían estar desautorizadas o bloqueadas.

Sea consciente de qué aplicaciones poseen o permiten estos problemas potenciales.

5. Recursos compartidos de red abiertos

Ciertos sistemas ERP –generalmente los más antiguos– requieren que todos los usuarios de la red tengan acceso a las carpetas del sistema ERP. Esta práctica es extremadamente insegura y puede dar lugar a ransomware y accesos no autorizados.

Considere un cambio de software si el sistema ERP actual exige estos permisos.

6. Falta de señalización de problemas

Los empleados deben notificar al departamento de TI o a otros responsables técnicos inmediatamente cuando se produzca un problema de seguridad del ERP. Eduque a los empleados sobre la importancia de señalar los problemas para que el departamento de TI y otros departamentos sean conscientes de cualquier problema potencial antes de que el problema sea aún mayor.

7. Falta de planificación de la respuesta a incidentes

La mayoría de las organizaciones no han documentado un plan de respuesta a incidentes para proteger o recuperar su sistema ERP. Elabore un plan ahora para evitar tener que lidiar con una crisis.

8. Falta de pruebas adecuadas

Los responsables de TI no pueden abordar los problemas de seguridad más comunes de los ERP si no los conocen. Implemente escaneos de vulnerabilidad y pruebas de penetración periódicas y consistentes que vayan más allá de las auditorías de control de TI.

Las pruebas ayudarán a garantizar que el departamento de TI encuentre cualquier problema potencial y lo solucione.

9. Expectativas poco claras de los empleados

Muchas organizaciones tienen políticas de seguridad mal documentadas. Y muchos manuales de empleados apenas mencionan las expectativas tecnológicas de los empleados. El trabajo a distancia puede enturbiar aún más las aguas.

Un comité de seguridad debería trabajar junto a los asesores legales y de recursos humanos para garantizar que las normas de uso de la tecnología son claras y que los empleados están bien formados en cuestiones de seguridad, actuando en apoyo de la seguridad y no en contra de ella.

10. Falta de formación continua del personal técnico

El personal técnico debe estar al día sobre los problemas de seguridad más comunes del ERP, ya que estos problemas crecen y cambian. También deben conocer las últimas prácticas y formación en materia de seguridad. Pueden producirse riesgos innecesarios si el personal utiliza prácticas no actualizadas, por lo que la formación continua es esencial.

Sobre el autor

Kevin Beaver, CISSP, es consultor independiente de seguridad de la información, escritor y conferenciante profesional de Principle Logic, con sede en Atlanta, Georgia. Autor del best-seller «Hacking For Dummies», está especializado en pruebas de vulnerabilidad y penetración, revisiones de programas de seguridad y trabajos de consultoría virtual de CISO.