Problemas de seguridad del ERP al trabajar de forma remota
Mantener seguros los sistemas empresariales de la organización es tarea de todos, desde el liderazgo superior hacia abajo. Ahora que el coronavirus tiene a millones de personas trabajando desde su hogar, esto es más importante que nunca.
A medida que millones de ciudadanos en diversos países se ven obligadas a trabajar desde su casa y los equipos de TI con exceso de trabajo abordan nuevos desafíos técnicos, los hackers están agudizando sus habilidades. Ahora, más que nunca, es fundamental estar alerta sobre la seguridad empresarial y el ERP.
El rol del liderazgo
Hay muchas lecciones que aprender de la situación del COVID-19.
En términos de seguridad de la información, el comité de gobernanza de la seguridad, que debe incluir tanto al CIO como al CISO, debe revisar y abordar el riesgo de la información y su supervisión. Ahora es el momento de actualizar las políticas de seguridad de la información en el manual del empleado y en otros documentos para que cubran las formas de mantener seguros el ERP de la compañía y otros sistemas.
El papel de los equipos de seguridad de la información
Los equipos de TI y seguridad, así como los responsables del sistema ERP deben comprender los nuevos desafíos que plantea la pandemia de COVID-19.
Es lo suficientemente desafiante para abordar las vulnerabilidades habituales de un ERP. Ahora, los equipos de tecnología empresarial necesitan administrar nuevos riesgos de seguridad ERP. El brote de COVID-19 ha creado una tormenta perfecta de vulnerabilidades: una reciente fuerza de trabajo remota que está en gran medida fuera del control de TI, y piratas informáticos que buscan agresivamente formas de penetrar en las redes y estafar a los empleados. La fuerza de trabajo remota ha creado una superficie de ataque extendida que puede representar una de sus mayores amenazas de seguridad hasta la fecha. Agreguen a eso la distracción generalizada del usuario provocada por la pandemia, y la prisa de los equipos de seguridad de la información para manejar nuevos problemas, lo que agrava los desafíos de seguridad del teletrabajo.
Como parte de mantener seguro el entorno ERP durante la pandemia de COVID-19, los equipos de tecnología deben continuar con las pruebas de vulnerabilidad y penetración. Deben encontrar los defectos y arreglarlos cuando sea posible. Durante este proceso o mediante una evaluación diferente, también pueden identificar mejoras de seguridad centradas en el ERP, incluidas las relacionadas con la autenticación de usuarios, la gestión de proveedores, el registro de seguridad, el monitoreo y las alertas.
Educación del usuario durante COVID-19
La prevención de infracciones de seguridad también requiere que los equipos de seguridad de la información tomen medidas para garantizar que los activos críticos de ERP de la organización no estén más expuestos durante este tiempo. Eso requiere educación del usuario.
Cuando sea posible, la gerencia ejecutiva o el área de Recursos Humanos (RRHH) deben comunicar las políticas de seguridad del ERP y otras políticas de seguridad importantes. Esta comunicación puede venir en forma de boletines, recordatorios por correo electrónico o reuniones de personal en línea. De esa forma, recibirán más atención y serán mejor recibidos que si se originaran por los equipos de TI o de seguridad, como suele suceder.
Aquí hay tres formas de aumentar la conciencia de seguridad en la nueva fuerza de trabajo remota.
-
Animen a los usuarios a revisar las políticas
Dentro de la mensajería a los usuarios, un líder organizacional, ya sea de la gerencia ejecutiva o de RR. HH., puede resaltar las partes críticas de las políticas de la compañía y compartir dónde pueden encontrarlas los usuarios, como en el manual del empleado.
- Uso aceptable, es decir, lo que se espera y lo que se permite;
- Autenticación, especialmente relacionada con los controles multifactor que existen;
- Adquisición y eliminación de computadoras, especialmente en relación con la compra y configuración de computadoras nuevas, así como vender o desechar las viejas;
- Copias de seguridad de datos, especialmente relacionadas con el almacenamiento de datos en áreas seguras admitidas por la empresa y no al azar en computadoras personales o en aplicaciones de almacenamiento y uso compartido de archivos centrados en el consumidor en la nube;
- Correo electrónico, especialmente relacionado con los próximos correos electrónicos personales y comerciales;
- Cifrado, especialmente relacionado con el cifrado de disco completo en computadoras portátiles, así como encriptación de teléfonos y tabletas;
- Contraseñas, especialmente relacionadas con la complejidad y el intercambio de contraseñas;
- Instalación y uso de software, es decir, qué está permitido y qué no; y,
- Conectividad de red privada virtual (VPN), incluido el software VPN personal utilizado con fines de privacidad.
Recordar a los usuarios el plan de respuesta a incidentes de la organización, al menos a un alto nivel, también es una buena idea. El líder designado puede explicar las amenazas y lo que constituye un incidente. El líder también puede alentar a los usuarios a informar cualquier cosa extraña que ocurra en sus sistemas. Estos esfuerzos deberían ser parte de su programa de concientización y capacitación existente.
-
Instar a los usuarios a mantener actualizado el software
Quien sea el vocero sobre la seguridad empresarial relacionada con las repercusiones del COVID-19 también debe alentar a los empleados a actualizar sus parches de software cuando se les solicite. Esto incluye no solo las actualizaciones de Windows y macOS, sino también las que involucran software de terceros como Adobe Reader, Google Chrome y Zoom. Los usuarios deben actualizar sus computadoras corporativas y sus dispositivos personales. Deberían actualizar sus aplicaciones móviles y también actualizar teléfonos y tabletas con las últimas actualizaciones de Android e iOS cuando se les solicite. Los líderes deben comunicar estas prácticas en términos claros y simples, y enviar recordatorios amistosos periódicos para aumentar la probabilidad de aceptación del usuario.
-
Documentar nuevas políticas donde sea necesario
Existen excelentes recursos en línea donde un administrador de ERP o un miembro del equipo de seguridad de la información puede comprar o descargar plantillas de políticas de seguridad. Lo importante es abordar todos los elementos de una buena política de seguridad y personalizarlos según las necesidades específicas de la organización en función de la evaluación de riesgos de información más reciente. Por supuesto, los líderes deberán compartir cualquier política nueva con los usuarios.
Estas recomendaciones se centran en dos cosas para ayudar a proteger su entorno ERP. Primero, el comité de gobernanza de seguridad está revisando las expectativas para los usuarios de la organización: qué hacer y qué no hacer. Los usuarios ya deberían entender la mayoría de estos requisitos. Sin embargo, el COVID-19 ha alterado casi todas las facetas de la vida y es fundamental recordar a los usuarios las mejores prácticas de seguridad. Segundo, los líderes están haciendo que los usuarios formen parte del equipo de seguridad de la información. Recuerden que un programa de seguridad efectivo se basa en la participación proactiva del usuario.