Kompleksowe podejście do bezpieczeństwa danych

Bezpieczeństwo danych w systemie ERP zależy od wielu czynników. Pierwszym jest oczywiście poziom bezpieczeństwa samej bazy danych, który powinien być podstawowym kryterium, kiedy wybieramy odpowiedni dla swoich potrzeb system ERP. Liczy się też sposób identyfikacji i autoryzacji użytkowników przez system, sposób przechowywania danych, zastosowane metody szyfrowania danych i replikacji danych etc. Jednak trzeba wiedzieć, że mimo zastosowanych rozwiązań, takich jak choćby wielowarstwowa architektura oprogramowania, nie ma pełnego bezpieczeństwa systemu ERP bez solidnej ochrony dla całej infrastruktury IT. Kluczowe jest więc opracowanie polityki bezpieczeństwa, która będzie wyznaczać najważniejsze zasady i procedury ochrony danych, a także określi sposób ich wdrożenia oraz egzekwowania przyjętych zasad.

Opracowując politykę bezpieczeństwa, należy wziąć pod uwagę, że systemom ERP zagrażają czynniki z wielu kategorii. Są to zarówno wszelkiego typu awarie, błędy ludzkie, jak również, wciąż intensyfikujące się, działania cyberprzestępców. Lista zagrożeń jest spora i stale się wydłuża, między innymi dzięki nowo powstającym metodom działania przestępców internetowych. Dlatego specjaliści ds. bezpieczeństwa mają przed sobą bardzo poważne zadanie. Niedopilnowanie jakiegokolwiek aspektu, w przypadku ewentualnej utraty lub wycieku danych, może nawet doprowadzić firmę do bankructwa. Jest więc czym się martwić.

Przydzielanie uprawnień

Jednym z najważniejszych elementów w przypadku systemów ERP jest polityka przydzielania uprawnień do zasobów. W praktyce oznacza to, że każdy z użytkowników systemu ERP powinien korzystać wyłącznie z tych danych oraz funkcji, które są mu niezbędne do wykonywania pracy. Jednocześnie dostęp powinien być udzielany po każdorazowej identyfikacji i uwierzytelnieniu użytkownika. Bardzo często spotyka się błąd związany ze zbyt szerokim przydzielaniem uprawnień – należy zwrócić na to uwagę. Warto też zastanowić się, czy użytkownicy systemu ERP mają możliwość pobierania dużych ilości danych oraz czy zostało uregulowane, na jakie nośniki takie dane można pobierać.

Silne hasła

Przyjęta polityka bezpieczeństwa powinna też wymuszać na użytkownikach systemu ERP regularną zmianę haseł dostępowych. Przy tym muszą to być tzw. silne hasła, czyli odpowiednio długie, zawierające małe i wielkie litery, cyfry i znaki specjalne oraz jednocześnie hasła unikalne, a więc niestosowane jako dane dostępowe do innych systemów, usług i aplikacji. Warto także zwrócić uwagę, czy aby zbyt duża grupa osób nie dysponuje danymi dostępowymi na przykład do serwera.

Kopie bezpieczeństwa

Bardzo istotną kwestią dla bezpieczeństwa systemu ERP, a także całej infrastruktury IT, jest stworzenie odpowiedniego środowiska zapasowego. Najważniejsze jest oczywiście wykonywanie kopii zapasowych. Dobrą praktyką w tym wypadku jest zastosowanie różnych nośników i przechowywanie danych w różnych lokalizacjach. Właściwie zaprojektowane środowisko zapasowe pozwoli na przykład szybko wznowić działalność po utracie danych w wyniku cyberataku albo innych przyczyn. Bez tego odbudowywanie bazy danych może nawet okazać się niemożliwe.

Edukowanie pracowników

Jedno z najważniejszych zagrożeń dla systemów ERP, choć nie tylko dla nich, wynika z błędów ludzkich. Tych można uniknąć tylko dzięki wysokiej świadomości na temat cyberbezpieczeństwa. Dlatego pracownicy każdego szczebla powinni doskonale orientować się w podstawowych zasadach bezpieczeństwa danych. Jakie to zasady? Systematyczne wykonywanie aktualizacji nie tylko systemu ERP, ale też wszystkich programów używanych w firmie. Zakaz udostępniania i zapisywania haseł. Każdorazowe wylogowanie się z systemu w przypadku konieczności pozostawienia włączonego urządzenia dostępowego bez nadzoru. Zakaz logowania się do aplikacji biznesowych za pośrednictwem publicznych punktów Wi-Fi, które zazwyczaj nie są w odpowiedni sposób zabezpieczone. Wykonywanie częstych kopii zapasowych na odpowiednie nośniki danych i wiele innych.

Audyt bezpieczeństwa

Dobrą praktyką jest przeprowadzanie regularnych audytów, które pozwalają na bieżąco weryfikować skuteczność zastosowanych zabezpieczeń technicznych i organizacyjnych. Dzięki temu można wykryć oraz usunąć luki w systemie zabezpieczeń, jak również nieprawidłowości w zakresie przyjętej polityki bezpieczeństwa. Zastosowanie bezpiecznej bazy danych, w połączeniu z przemyślaną, spójną, zintegrowaną, a przy tym odpowiednio egzekwowaną polityką bezpieczeństwa jest najlepszym wsparciem dla zabezpieczenia systemu ERP. Dlatego warto zadbać o każdy aspekt.