La seguridad de la información es un tema que está ganando mucha popularidad en la actualidad. Especialmente desde la pandemia ocasionada por el virus COVID-19. Muchas empresas se vieron obligadas adoptar sistemas informáticos para continuar e incluso mejorar sus operaciones. Los más relevantes son los ERP (Enterprise Resourse Planner) los cuales son modulares, integran y controlan todas las áreas operativas de las organizaciones mientras reducen re trabajos y brindan información en tiempo real a todos los miembros de la organización.
Esto nos hizo entender que si la información del ERP llega a ser dañado, modificado o robado, las repercusiones pueden ser catastróficas en las empresas que los utilizan. Por esta razón realizamos un trabajo de investigación para determinar y analizar los Riesgos a los que se encontrarían expuestos los sistemas ERP durante su vida útil. De esta forma, implementaríamos sistemas seguros reduciendo los costos incurridos en medidas correctivas y previniendo pérdidas por incidentes de seguridad.
Nuestro caso de estudio fue realizado en las empresas Labogen SRL, Implelab SRL y MBS. Empresas cuyas actividades son los análisis de laboratorio clínico e importación de materiales e insumos de laboratorios.
Lo que se hizo, fue el modelamiento de 30 riesgos y su valoraciónde aplicando la metodología provista por el instituto FAIR (Factor Analysis of Information Risk). De esta forma se determinó que las pérdidas potenciales en estas empresas era más de 500 millones anuales.
De la priorización de riesgos modelados, se determinó que los usuarios y el administrador del sistema son los principales Agentes de amenaza. Esto porque son quienes acceden, registran y actualizan la información del ERP permanentemente. Empleados descontentos o en situaciones de necesidad pueden ser impulsados a abusar de sus privilegios, robando información, modificando datos para ocultar fraudes y otras situaciones similares.
Por otra parte, usuarios que no recibieron un entrenamiento adecuado en el uso del sistema, introducirán datos errados o eliminarán de forma accidental información clave. De ahí la famosa frace "Introduce basura al sistema y el sistema te devolverá basura". Un ERP cuya información se encuentra comprometida, es un ERP que enteramente no servirá a la organización.
Sin embargo, el aspecto de mayor interés en este artículo tiene que ver con el alto nivel de complejidad de implementación de los ERP. Es necesario contar con conocimientos profundos de los sistemas operativos, seguridad de la información, programación en múltiples lenguajes, redes, nubes, etc. que no deben ser tomados a la ligera. Esto lo pudimos comprobar con los datos recabados al finalizar nuestra investigación.
La gráfica de arriba es una representación de las ventas realizadas en las empresas estudiadas entre los periodos de Enero de 2019 y Abril de 2021. Se hizo la comparación de las operaciones registradas en los sistemas Odoo v9 (sistema obsoleto) y Odoo v13. Aprovechando la actualización de versión.
Hasta Febrero de 2019 en promedio se realizaban 150 ventas al mes. Sin embargo, con la llegada de la primera ola de infección la demanda explosiva de pruebas de PCR incrementó las operaciones hasta 40 veces. Se puede notar la pérdida de las oportunidades de venta, mientras el sistema obsoleto se encontraba en funcionamiento. Y la razón fue el sub dimensionamiento del sistema anterior y la inescalabilidad de las características del servidor en el que se encontraba operando. Es decir, el sistema Odoo v9 no tenía la capacidad de responder a la nueva demanda.
Afortunadamente, se tomaron acciones de forma oportuna y en consecuencia las pérdidas no fueron totales. Este estudio nos ayudó a entender mejor la naturaleza de la Gestión de riesgos, ya que los incidentes materializados no se encontraban ni entre los primeros 10 riesgos priorizados. Pero al haberlos modelado, fuimos capaces de implementar un sistema lo suficientemente robusto para mitigar las pérdidas y aprovechar las oportunidades ocasionadas por un evento tan raro como una pandemia mundial.