Por qué la seguridad del ERP es clave para controlar los riesgos en la empresa

Analizamos cómo se logra mantener la seguridad del ERP explicando cuáles son los riesgos a los que nos enfrentamos y cómo se gestionan.

• El ERP, como herramienta básica para la empresa, ha de mantenerse siempre seguro
• La nube es una buena opción para simplificar accesos al ERP y para facilitar su gestión

El ERP se ha convertido en la herramienta básica para el funcionamiento de muchas empresas. Por lo tanto, un pequeño problema con este software puede suponer un gran contratiempo, problemas de acceso o pérdida de datos en el peor de los casos. Por este motivo la seguridad del ERP es clave para controlar los riesgos en la empresa.

La seguridad es un requisito indispensable para el ERP, una herramienta clave para mantenerlo todo bajo control

Lo cierto es que algunos de los principales riesgos que puede tener un ERP se derivan de su propia importancia dentro de la empresa. Es complicado encontrar el momento para parar los sistemas y actualizar el programa. De esta manera las correcciones de seguridad que se deberían aplicar se realizan tarde. No solo del propio programa, también de los sistemas operativos de servidores, bases de datos, etc.

¿Qué tipos de riesgos debemos considerar en el ERP?

Vamos a ver algunos de los principales riesgos y cómo podemos tratar de mitigarlos de la mejor manera posible:

• ERP o sistemas operativos obsoletos. Frecuentemente, las actualizaciones del fabricante o de Microsoft no se aplican, simplemente porque no se encuentra el momento de parar todo. Un ejemplo de esta cuestión es mantener nuestro ERP en un servidor con Windows 2008 R2, que al igual que Windows 7 ha finalizado su soporte el pasado mes de enero.
• Conexiones externas y accesos de Internet. La seguridad del ERP y sus datos se puede ver comprometida por un acceso externo. Este sería el caso de puertos abiertos en el router para el acceso desde el exterior. Este ha sido uno de los vectores de ataque de ciberdelincuentes para secuestrar archivos de empresas. También son un riesgo las conexiones desde internet a través de programas de terceros, que en muchas ocasiones no cifran la comunicación. Para toda conexión externa, el uso de una VPN (Virtual Private Network) sería fundamental si no queremos comprometer la seguridad.
• Creación de roles de acceso. Es esencial que cada usuario que acceda lo haga con sus propias credenciales para establecer una trazabilidad adecuada. Saber quién ha leído a un documento, quién ha hecho un cambio, etc. La creación de roles permite agrupar a los usuarios según su función. No es lo mismo un usuario que trabaja en el almacén que uno que lo hace en contabilidad. No necesitan acceder todos a la misma información.
• Cumplimiento con el RGPD, algo que garantizan los fabricantes del ERP pero que es fundamental tener en cuenta si tratamos con datos personales. No solo se trata de controlar el acceso, sino de dar respuesta a las peticiones de los usuarios respecto a sus derechos de acceso, rectificación u oposición entre otros.

Cómo limitar los riesgos y mejorar la seguridad del ERP

Para tratar de limitar los riesgos es fundamental establecer una serie de acciones que sean realizadas de forma periódica:

• Establecer un calendario de actualizaciones, tanto del programa como de los sistemas operativos de servidor y terminales que acceden a los datos. En sistemas complejos hay que probar la actualización en un entorno de pruebas antes de ponerla en producción. Además, hay que establecer un plan B por si algo saliera mal, para tratar de no interferir en la continuidad del negocio.
• Creación de un esquema de copias de seguridad, que no solo debe contemplar datos sino también sistemas. Hay que salvaguardar los datos, programa, bases de datos y tener un plan preparado en caso de desastre. Se requiere planificar una copia de seguridad externa que nos permita continuar en caso de un problema mayor, como podría ser un incendio en nuestras instalaciones.
• Deben realizarse pruebas de esfuerzo periódicas para asegurarnos que las copias están funcionando bien y para valorar el tiempo de recuperación que necesitamos y si, llegado el momento, podremos recuperar todo en el menor tiempo posible.
• Necesitamos tener un sistema de alertas en la detección de accesos indeseados que nos avise si alguien no autorizado está accediendo a nuestros datos.

¿ERP en nuestras instalaciones o en la nube?

Como hemos visto muchos de los problemas de la seguridad del ERP se derivan del mantenimiento que debemos hacer de los sistemas y el programa instalado en nuestros servidores y ubicado en nuestras oficinas. Por este motivo, muchas empresas apuestan por llevar el ERP a la nube como una fórmula para garantizar una mayor seguridad y continuidad del negocio.

La nube puede mejorar la seguridad de nuestro ERP y simplificar su mantenimiento

Claro que esto plantea también la necesidad de tener conexiones de internet redundantes, ya que un fallo de nuestro proveedor de servicio de comunicaciones puede impedirnos el acceso. Esto hoy en día no es tanto problema con la posibilidad de conexión a través de 4G y en un futuro próximo 5G, por lo que casi todas las empresas ya tienen estas conexiones a internet por dos métodos diferentes.

La cuestión es si derivamos el mantenimiento y la gestión el ERP a nuestro proveedor y que se ocupe de las actualizaciones o seguimos manteniendo los datos en nuestras oficinas. En muchos casos, la decisión la marca la inversión realizada en hardware que ya disponen; en otros, se busca simplificar la gestión y los accesos pasando a la nube. Cada empresa tiene que analizar las oportunidades que representan ambos modelos y decidir cuál es el más adecuado para ellas.