El ERP como activo crítico es ya una prioridad para el CFO

Josep Bardallo, Cybersecurity & Cloud Director de Excelia, explica para Portal ERP España por qué la seguridad del software de gestión es el reto más urgente para la dirección financiera

Josep Bardallo, Cybersecurity & Cloud Director de Excelia. Foto: cortesía. Portal ERP España.

“Si el cibercrimen fuera un país sería la tercera economía mundial, solo por detrás de Estados Unidos y China”, asegura Josep Bardallo, Cybersecurity & Cloud Director de Excelia. En conversación exclusiva con Portal ERP España, el experto asegura que la ciberseguridad del ERP ha dejado de ser una cuestión puramente técnica para convertirse en un asunto de primer nivel para la dirección financiera. Defiende que el riesgo asociado a estos sistemas puede y debe trasladarse al lenguaje del negocio para que el CFO pueda gestionarlo de forma efectiva.

El directivo sostiene que el riesgo ha dejado de ser una abstracción para convertirse en una métrica financiera gestionable por el CFO. “Se puede realizar un estudio concreto y cuantificar los impactos”, señala Bardallo, quien recalca que esta metodología permite que la amenaza esté “estudiada y bastante categorizada”. Esta traducción al lenguaje del balance se apoya en variables como el daño reputacional, el coste regulatorio y el impacto operacional por tiempos de inactividad por ransomware.

“El ERP concentra la información más sensible de la organización, lo que lo convierte en un objetivo prioritario”, asegura. Bardallo identifica tres vulnerabilidades que suelen ser ignoradas por las empresas. La primera es la exposición directa al migrar el software de gestión a la nube o a entornos de hosting. Según explica el directivo de Excelia, el riesgo crítico surge al dejar el sistema accesible desde internet de forma abierta; una práctica derivada de la necesidad de facilitar el acceso remoto, pero que con frecuencia descuida el blindaje del entorno. “Como tienes que tener acceso desde fuera, ese entorno no se suele securizar bien”, advierte, señalando que esta apertura imprudente facilita el camino a los atacantes.

Te puede interesar: ERP desactualizados y brechas de seguridad: los riesgos que enfrenta el CFO

El segundo error recurrente es la falta de actualización de los sistemas. Al ser elementos críticos, su mantenimiento es complejo y los ciberdelincuentes aprovechan estas brechas de seguridad. Finalmente, destaca la deficiente gestión de identidades. “La mayoría de problemas de hoy en día de ciberseguridad viene por un mal uso de la gestión de identidades”, afirma, subrayando que, aunque se cuente con perímetros protegidos, no implementar un doble factor de autenticación equivale a entregar las llaves del sistema a un tercero.

“Estas debilidades, combinadas con infraestructuras cloud sin una capa de seguridad específica, elevan el nivel de exposición de las empresas”. La migración masiva de ERPs a la nube ha cambiado la naturaleza del riesgo, pero no siempre se acompaña de la diligencia necesaria. “Cuando lo pasas a la nube para facilitar el acceso a veces se olvida poner una capa de seguridad para esconderlo”, señala Bardallo. En su experiencia, la ciberseguridad no siempre se incorpora desde el inicio del proyecto, y el departamento especializado entra en juego demasiado tarde.

La estrategia de las tres capas: concienciación, detección y respuesta

Para mitigar estos riesgos, Bardallo propone un enfoque de tres niveles. El primero es la concienciación, “dado que entre el 80% y el 90% de los ataques se inician mediante phishing”. Recomienda lanzar campañas simuladas y formación anual para reducir el número de empleados que ceden sus credenciales.

Asumiendo que siempre existirá un margen de error humano “de entre el 5% y el 10%”, subraya la necesidad de una segunda capa: medidas de detección rápida. “El usuario es el eslabón débil, tienes que poner medidas para que, aunque den ese primer paso, puedas detectarlos rápidamente”, explica.

El tercer nivel —y el más crítico para reducir el impacto financiero— son los planes de contingencia. Mientras que un ciberataque conlleva costes inevitables de respuesta y remediación, Bardallo subraya que la capacidad de recuperación sí es una variable controlable. “Si se quiere minimizar el impacto económico ante un incidente, la clave reside en estructurar un plan de contingencia robusto”, afirma con contundencia. Para el directivo, restaurar la operación en tiempo récord es uno de los mayores “quick wins” financieros: cuanto más rápida sea la vuelta a la normalidad, menor será el impacto en el balance.

Esta exigencia de resiliencia operativa no es solo una recomendación estratégica, sino que ya cuenta con un mandato legal. La entrada en vigor de normativas como DORA obliga a las empresas, especialmente del sector financiero, a tomar medidas inmediatas para garantizar esta continuidad. Estas regulaciones “exigen un gobierno de ciberseguridad que incluya un plan director y una rigurosa gestión de la cadena de suministro”. Según el experto, la revisión de proveedores es el aspecto que suele estar menos implementado y el que “exige mayor transparencia ante reguladores como el Banco de España o la CNMV”.

En un escenario donde el error humano sigue siendo la vía de entrada principal, la defensa del ERP requiere un enfoque que combine la concienciación de los empleados con una infraestructura capaz de detectar intrusiones y restaurar la operación con celeridad. Para Bardallo, este nivel de protección solo es posible si la dirección financiera asume que la seguridad de su software de gestión “es ya una responsabilidad directa del negocio”.

Entender el ERP como un activo estratégico implica reconocer que blindar su arquitectura es la salvaguarda necesaria para proteger la rentabilidad frente a la que ya se considera la tercera economía del mundo: el cibercrimen. “Solo así es posible anticipar riesgos y reducir impactos”, concluye el experto, subrayando que proteger el ERP es, en última instancia, proteger el pilar central sobre el que descansa la continuidad de toda la operación empresarial.