Los sistemas ERP son una parte fundamental de la operativa de muchas compañías. En ellos se ejecutan los procesos críticos de negocio, como los comerciales, de abastecimiento, pagos, transportes, recursos humanos, planificación financiera y producción, entre otros. La información gestionada por estos sistemas es vital y cualquier acceso indebido puede significar pérdidas económicas enormes.

Se podría decir que los ERP son un objetivo relativamente asequible para los hackers, y muy atractivo si se tiene en cuenta la información vital que manejan. El motivo no es la falta de seguridad de los sistemas, ni sus vulnerabilidades inherentes, ya que los fabricantes procuran mantener sus soluciones protegidas y permanentemente publican parches de seguridad o actualizaciones para solventar vulnerabilidades. El problema radica en que, debido a la complejidad de estos sistemas y su clara integración en el día a día de las empresas, con frecuencia no se mantienen tan actualizados como se debiera. No es una cuestión de falta de atención. Más bien se debe a que —muchas veces— para aplicar cierto parche es necesario realizar actualizaciones de versión y eso implica paradas totales y complejos procesos que consumen un tiempo del que, a veces, no se dispone.

El resultado es un terreno “abonado” para que se desarrollen amenazas como el espionaje, el sabotaje y el fraude. Si combinamos esto con el crecimiento exponencial que han sufrido este tipo de prácticas a nivel mundial, se delinea un panorama particularmente preocupante.

Los ERP son un objetivo relativamente asequible para los hackers, y muy atractivo

Evaluación y prevención

La fiabilidad de los mecanismos de protección o la velocidad de respuesta a los incidentes son primordiales. Aunque la mejor forma de protección es un análisis continuo de las debilidades existentes —en áreas como la gestión de acti­vos, de vulnerabilidades y riesgos, y la gestión segura de los desarro­llos—, una adecuada evaluación de seguridad debería cubrir, al menos, estas tres áreas:

  • Plataforma. Controlar la configuración de la arquitectura del ERP, como los puertos abiertos, conexiones a Internet, etc.
  • Configuración. Comprobar los parámetros que afecten a la seguridad del sistema y de los datos.
  • Segregación de funciones. Verificar que los roles y autorizaciones de los usuarios son correctos y que sus permisos se corresponden con las tareas que realizan.

Un análisis de estos elementos permite obtener una instantánea fiable de la seguridad y facilita la búsqueda de vulnerabilidades, potenciales o reales, frente a ataques externos o internos.

El siguiente paso es establecer mecanismos de prevención frente a las amenazas de estos sistemas. Para ello, el equipo encargado de su gestión debería tener la seguridad entre sus principales prioridades, a un nivel similar al que ocupa el asegurar la disponibilidad de los sistemas. Pero esto no siempre es así. Existen sistemas que se dejan años sin “parchear” porque no “se encuentra el momento” para detenerlos y aplicar las mejoras pertinentes en ámbitos como el control de acceso, la seguridad de la arquitectura y, sobre todo, de los datos. No solo hablamos de integridad de la información, sino también de que esta no abandone el sistema, o la compañía, cuando se trate de datos sensibles.

El objetivo de la prevención no es solo señalar las vulnerabilidades, sino también remediarlas y proporcionar una información detallada de los riesgos al CISO (chief information security officer), junto con distintas opciones para mitigarlos. Solo así se evita que escalen en problemas futuros.

Un análisis de estos elementos permite obtener una instantánea del estado de la seguridad

Detección

Aunque se apliquen las mejores medidas de protección y prevención, siempre existe la posibilidad de un ataque o de un comportamiento anormal que no se puede prevenir a través de los medios tradicionales. Además, especialmente en compañías grandes con cientos de aplicaciones comerciales, la gestión de vulnerabilidades plantea varios desafíos adicionales: el parcheo efectivo, la complejidad de los sistemas, la falta de recursos y la compatibilidad con versiones anteriores.

Un escenario de detección efectiva debería tener en cuenta, al menos, las siguientes áreas:

  • Detección de amenazas. Análisis de los logs buscando comportamientos anómalos.
  • Filtración indebida de datos. Averiguar si usuarios no autorizados pueden acceder a los datos del ERP o si se realizan copias en dispositivos externos. El objetivo es corregir el sistema y los permisos asignados.
  • Comportamiento de los usuarios. Detectar comportamientos que se salgan de lo común, como accesos fuera de horario, a zonas o transacciones no habituales, etc.

Cualquier anomalía detectada debe disparar un evento —un aviso o una acción directa— para remediar el problema. De hecho, la capacidad para dar respuesta es vital a la hora de resolver los incidentes, recuperar el normal funcionamiento y minimizar el impacto operativo de los ataques.

Para ello, la metodología que se aplica comienza por crear tareas individuales para cada problema de seguridad que se identifique. Tras corregirlo, es importante disponer de una trazabilidad completa de los cambios que se han realizado entre cada análisis de vulnerabilidades. Por último, resulta vital que para cada evento del sistema se envíe una notificación por email, o al SIEM corporativo, para que se puedan iniciar las acciones apropiadas.

Multicapa

Una solución de ciberseguridad para los sistemas ERP debe cubrir tanto las áreas técnicas como las de negocio. Los parámetros que afectan a la configuración deben analizarse de acuerdo con su conformidad con las recomendaciones más reconocidas: SOX, GDPR, NERC CIP o PCI DSS. De esta forma se garantiza el cumplimiento con la seguridad técnica y también con las normativas vigentes en todo el ERP.

Aunque no es posible proteger todos los componentes de TI por igual, ni asegurar que los sistemas sean seguros al 100%, los sistemas ERP — teniendo en cuenta su importancia— deberían estar en el centro de la ciberseguridad en cualquier organización. En general, el nivel de seguridad de estas soluciones se puede calificar como medio/bajo, y eso es algo que hay que remediar.

Herramientas y servicios

Para dar respuesta a estos escenarios, en Techedge hacemos uso de herramientas como SystemProfiler de VirtualForge, ProfileTailor Dynamics de Xpandion o Smart Cybersecurity Platform de ERPScan. Estas soluciones nos ayudan a realizar un análisis de todo el sistema y a descubrir los problemas potenciales o reales. Esta información, combinada con nuestro know-how, permite remediar las vulnerabilidades y fortalecer la seguridad del sistema y de los datos que contiene. Además, es importante combinar estos servicios más allá de un análisis puntual del sistema, pues incluyen también la formación en el uso de las herramientas apropiadas para que las empresas puedan controlar el nivel de seguridad de su ERP siempre que lo necesiten.

Compartir
Artículo anteriorCarlos Grau
Artículo siguienteEscritorios virtuales
Nuestra misión es ayudar a las organizaciones a evolucionar hacia verdaderas compañías digitales a través de cortos ciclos iterativos de innovación impulsada por los negocios. Logramos esto al proporcionar soluciones y servicios de negocios ágiles que se derivan de nuestra capacidad única de combinar asesoría comercial, experiencia tecnológica y pasión por la innovación.