ERP: cinco formas de elevar la seguridad en el sistema

ERP: cinco formas de elevar la seguridad en el sistema
ERP: cinco formas de elevar la seguridad en el sistema

Alejandro González, country manager México de Rimini Street aborda el tema, ERP: cinco formas de elevar la seguridad en el sistema.

La seguridad en el sistema ERP

Los especialistas en seguridad tienden a centrarse en sistemas y controles específicos de seguridad, delegando la responsabilidad del entorno ERP al equipo de aplicaciones.

La suposici√≥n com√ļn, pero a menudo peligrosa, es que las aplicaciones, las bases de datos y el middleware son seguros siempre que est√©n completamente parcheados.

Depender de los proveedores de software para remediar las vulnerabilidades de manera oportuna puede ser peligroso para la salud de su organización, considera González.

Los parches no resuelven el problema de los ataques de d√≠a cero en tiempo real para los que no hay defensa disponible y, en la mayor√≠a de los casos, la vulnerabilidad dura mucho m√°s all√° del d√≠a cero porque pueden pasar meses o a√Īos para que se publique un parche y para que las empresas lo implementen.

Mantenerse al día con los parches cuando se lanzan puede ser costoso, lento y perturbador; como cualquier actualización de software, un parche de seguridad tiene el potencial de romper personalizaciones e integraciones importantes, afirma.

Una encuesta reciente de 504 CIOs y CFOs muestra que el 81% admitió que se abstuvieron de implementar un parche de seguridad importante debido a la preocupación de que interrumpiría las operaciones comerciales.

El parcheo de vulnerabilidades debería ser parte de una estrategia mucho más amplia para solidificar sus defensas en términos de personas y procesos, así como de tecnología. La seguridad puede fallar en cualquier nivel y debe reforzarse en todos los niveles.

Soluciones para la seguridad de ERP

Solucionar rápida y completamente las vulnerabilidades es un desafío para los principales proveedores.

Cuando los investigadores de seguridad informan de una vulnerabilidad (o se identifica como parte de ataques del mundo real), a menudo el proveedor tarda meses en confirmar el problema, dise√Īar una estrategia para abordarlo y desarrollar y distribuir c√≥digo nuevo.

A veces, los parches tardan a√Īos en desarrollarse. Una actualizaci√≥n de parche cr√≠tico (CPU) de Oracle de abril de 2019 abord√≥ una falla presente en muchos productos de Oracle que se hab√≠a informado tres a√Īos atr√°s.

Además, una vez lanzados, estos parches no siempre solucionan el problema. Una CPU de 2018 que se suponía que debía corregir una vulnerabilidad crítica en el middleware WebLogic basado en Java de Oracle (CVE-2018-2628) fue seguida rápidamente por informes de que era posible darle la vuelta a la solución.

Algunas categor√≠as de vulnerabilidades pueden persistir durante a√Īos; por ejemplo, los dos ejemplos que acabamos de citar implican una vulnerabilidad en la forma en que Java serializa y deserializa objetos. Si bien los desarrolladores del n√ļcleo de Java trabajan para solucionar una falla arquitect√≥nica que se remonta a los primeros d√≠as del lenguaje, han seguido surgiendo maneras de explotar la deserializaci√≥n.

‚ÄúNo est√° indefenso ante estas amenazas, pero le recomendamos que las aborde con una estrategia de defensa en profundidad de varios niveles que bloquee los ataques en cada oportunidad, incluso si el c√≥digo central no ha sido parcheado‚ÄĚ, explica el experto.

En ese sentido, recomienda un enfoque de cinco aristas:

  • Entiende tu entorno
  • Fortalece y administra tu configuraci√≥n
  • Supervisa la actividad de la cuenta privilegiada
  • Asegura el nivel web y otra infraestructura de aplicaciones
  • Asegura la base de datos

Es muy importante comprender y fortalecer tu entorno. Si realizas un inventario minucioso, es probable que encuentres software innecesario expuesto donde los piratas inform√°ticos pueden explotarlo.

Por ejemplo, las instalaciones predeterminadas pueden incluir versiones antiguas de Java y scripts de demostración inseguros. Particularmente en cualquier servidor al que potencialmente se pueda acceder desde Internet, una buena práctica es inventariar y eliminar el código que no tiene un propósito comercial, enfatiza.

Leíste: ERP: cinco formas de elevar la seguridad en el sistema, te recomendamos: ERP: el dilema para trasladarlo a la nube

Te invitamos a que nos sigas en Twitter con toda la información en tiempo real de Busines-Latam: https://twitter.com/business_latam y en Facebook en: https://www.facebook.com/businesslatamweb/