Autor: Alfredo Enrione – Director del Centro de Gobierno Corporativo y Sociedad

Estimados miembros de directorios y CEOs,

En una reciente conversación con el CIO de una multinacional, surgió una preocupante debilidad en la ciberseguridad empresarial actual, paradójicamente causada por una de las principales herramientas de eficiencia: los ERPs.

Tradicionalmente, las empresas mantenían dos mundos de TI separados: los sistemas operativos que controlan producción y logística, y los sistemas corporativos que manejan finanzas, RRHH y otros procesos de soporte.

En las últimas décadas, los ERPs como SAP y Oracle han revolucionado la gestión al integrar todos los procesos y datos en una sola plataforma. Estas integraciones permiten eficiencias, visibilidad y toma de decisiones antes inimaginables. No es de extrañar que las empresas hayan invertido billones de dólares en implementar ERPs.

Sin embargo, esta interconectividad también ha creado un nuevo riesgo de ciberseguridad. Antes, las amenazas se concentraban en los sistemas corporativos, que cuentan con defensas más robustas. Hoy, los cibercriminales pueden vulnerar los sistemas operativos, frecuentemente con tecnologías antiguas y difíciles de proteger, y desde ahí moverse lateralmente para acceder a los sistemas centrales y causar disrupción o robo de datos.

Varios casos recientes ilustran este riesgo:

  • El virus NotPetya que costó $1.300 millones a Merck ingresó vía un software operativo ucraniano [1].
  • El ransomware que paralizó 40 plantas de Norsk Hydro entró por las redes de producción [2].
  • El hackeo a SolarWinds comprometió a 18.000 organizaciones a través de su cadena de suministro [3].

Para cosechar los beneficios de los ERPs sin exponerse a riesgos excesivos, las empresas deben adoptar una estrategia de «seguridad por diseño» en sus integraciones. Esto implica:

  1. Parchear vulnerabilidades en sistemas operativos legacy.
  2. Mantener segmentación entre redes de producción y corporativas.
  3. Monitorear en tiempo real tráfico anómalo entre sistemas.
  4. Establecer protocolos de respuesta rápida para aislar brechas.
  5. Educar a todo el personal en mejores prácticas de ciberseguridad.

Los Directorios deben asegurarse que la gerencia implemente estos controles y pondere adecuadamente los riesgos de ciberseguridad al evaluar iniciativas de transformación digital.

Preguntas para los lectores:

  • ¿Han evaluado en detalle las vulnerabilidades que sus integraciones de sistemas podrían estar creando?
  • ¿Consideran los riesgos de ciberseguridad al decidir sus inversiones en tecnología?
  • ¿Qué lecciones podemos aprender de incidentes recientes como NotPetya, LockerGoga o SolarWinds?

Espero que este artículo contribuya a un valioso debate sobre cómo aprovechar responsablemente las eficiencias de los ERPs en equilibrio con una robusta postura de ciberseguridad. Sus comentarios son bienvenidos.

[1] https://www.bloomberg.com/news/articles/2019-12-03/merck-cyberattack-s-1-3-billion-question-was-it-an-act-of-war

[2] https://www.wired.com/story/norsk-hydro-ransomware-attack/

[3] https://www.csoonline.com/article/3601508/solarwinds-supply-chain-attack-explained-why-organizations-were-not-prepared.html

Artículo relacionadosMás del autor