Los sistemas de planificación de recursos empresariales (ERP, por sus siglas en inglés) son una herramienta indispensable para la mayoría de las empresas. Permiten realizar un seguimiento de los recursos y compromisos empresariales en tiempo real y gestionar los procesos comerciales diarios (por ejemplo, adquisiciones, gestión de proyectos, fabricación, cadena de suministro, recursos humanos, ventas, contabilidad, etc.). Las diversas aplicaciones integradas en los sistemas ERP recopilan, almacenan, gestionan e interpretan datos sensibles de las numerosas actividades comerciales, lo que permite a las organizaciones mejorar su eficiencia a largo plazo. No hace falta decir que la seguridad de un sistema tan crucial y de todos los datos que almacena debe ser primordial para cada organización.
Uno de los mayores conceptos erróneos sobre la seguridad de los sistemas ERP es que la seguridad incorporada es suficiente. En realidad, aunque no haya otorgado acceso a los datos de recursos humanos de su empresa a un tecnólogo de su equipo, aún podrían acceder a la base de datos subyacente que almacena estos datos”, explica Mike Rulf, CTO de la Región de las Américas en Syntax. “Otro concepto erróneo es que la seguridad de acceso de su sistema ERP es lo suficientemente robusta como para permitir que las personas accedan a su ERP desde Internet”. De hecho, la complejidad técnica de los sistemas ERP significa que los investigadores de seguridad constantemente encuentran vulnerabilidades en ellos, y las empresas que los exponen a Internet sin pensar o priorizar su protección crean riesgos de los que pueden no ser conscientes.
Cuando se aseguran los sistemas ERP, es necesario considerar todas las formas en que alguien podría acceder potencialmente a datos sensibles y desplegar políticas y controles empresariales que aborden estas posibles vulnerabilidades. La corrección de las fallas de seguridad es extremadamente importante, ya que garantiza un entorno seguro para los datos de la empresa.
Aunque la corrección de errores es necesaria, es cierto que los líderes empresariales no pueden interrumpir la actividad comercial diaria por cada nueva corrección. “Las empresas necesitan alguna forma de mitigar las amenazas entre la publicación de las correcciones y su prueba y despliegue completos. Un firewall de aplicaciones puede actuar como un buffer que permita un acceso seguro a su tecnología e información exclusivas durante este intervalo. Además, un firewall de aplicaciones le permite separar la gestión de seguridad y cumplimiento de la gestión del sistema ERP, lo que permite los controles y equilibrios requeridos por la mayoría de los estándares de auditoría”, aconseja Rulf.
También insta a los CISO (Oficiales de Seguridad de la Información) a integrar el proceso de inicio de sesión con su servicio de directorio corporativo, como Active Directory, para no tener que recordar desactivar las credenciales de un empleado en múltiples sistemas cuando este deja la empresa.
En resumen, la seguridad en los sistemas ERP es fundamental para proteger los datos sensibles de una empresa. Es importante reconocer que la seguridad incorporada no es suficiente y que se deben implementar políticas y controles adecuados para abordar las posibles vulnerabilidades. Además, es necesario contar con soluciones como firewalls de aplicaciones para mitigar las amenazas mientras se realizan las correcciones de seguridad. La integración del proceso de inicio de sesión con el directorio corporativo también es una medida importante para garantizar la gestión eficiente de las credenciales de los empleados. Al tomar estas medidas, las organizaciones pueden proteger de manera efectiva sus sistemas ERP y salvaguardar la integridad de sus datos empresariales.
