Советы по обеспечению безопасности данных ERP

Новые цифровые технологии, такие как AI и IoT помогают организациям увеличить прибыль и улучшить качество обслуживания клиентов. Эти же технологии создают новые проблемы, связанные с безопасностью данных.

4 совета по обеспечению безопасности данных ERP

Как проактивно выявлять риски безопасности, поддерживая при этом инициативы, приносящие доход? 

Вот четыре совета по созданию инновационной, но бдительной команды внедрения ERP:

1. Оцените культуру своей организации.

Культура, ориентированная на клиента, способствует обеспечению безопасности данных, поскольку она побуждает сотрудников прислушиваться к проблемам обеспечения конфиденциальности клиентских данных.

2. Понять роль директора по информационной безопасности (CISO).

Директор по информационной безопасности может способствовать культурным изменениям, поощряя открытое общение и отдавая приоритет обучению и образованию.

Директорам по информационной безопасности следует регулярно проводить тренинги по кибербезопасности и предоставлять учебные материалы в различных форматах несколько раз в год. Обучение кибербезопасности особенно важно на этапе подготовки к внедрению ERP или других масштабных программных систем.

Что касается общения, директора по информационным технологиям должны проводить регулярные встречи с командами по вопросам конфиденциальности. Это, в частности, позволяет обосновать ценность безопасности.

3. Разработайте эффективные процессы управления.

Директору по информационным технологиям требуется полное представление о процессе выбора ERP, чтобы он мог оценить новую технологию с точки зрения безопасности данных. Разрабатывая программу управления поставщиками, руководители по информационной безопасности могут следить за различными поставщиками ERP и связанными с ними рисками безопасности. Используя прогнозную аналитику, руководители по информационной безопасности могут быстро обнаружить, когда внедренная система нарушает профиль безопасности организации.

Надежные процессы управления безопасностью помогают обеспечить соблюдение правовых норм, особенно когда речь идет о соблюдении стандартов управления ИТ-безопасностью.

4. Будьте бдительны в отношении безопасности Интернета вещей.

Интернет вещей (IoT) играет важную роль при внедрении ERP. Интернет вещей улучшает понимание данных и повышает операционную эффективность и поэтому эта технология привлекает организации. Если вы планируете интегрировать IoT со своей ERP-системой, следует помнить о нескольких проблемах безопасности.

Устройства Интернета вещей могут быть уязвимы для кибератак, поскольку они обмениваются данными с другими устройствами, подключенными к Интернету. Фактически, устройства IoT - цель для хакеров, которым нужен доступ к другим источникам данных.

Большинство организаций не готовы к таким атакам и не имеют надлежащей защиты. Они не понимают, что устройство, управляемое третьей стороной, может не иметь того же уровня безопасности, что и локальная технология.

Отсутствие должной осмотрительности со стороны провайдера Интернета вещей - еще одна причина, по которой хакеры нацелены на Интернет вещей. Хакеры знают, что многие провайдеры Интернета вещей не уделили времени повышению безопасности, поскольку торопились вывести устройства на рынок раньше конкурентов.

Облако и локальная безопасность ERP: преимущества и недостатки

При переходе от локальной инфраструктуры к облачной инфраструктуре часть ответственности переносится с ИТ-отдела организации на поставщика облачных услуг (CSP), но безопасность остается центральным пунктом, за который должны нести ответственность обе стороны.

Понимание того, кто несет ответственность и за какие меры безопасности, имеет решающее значение для обеспечения безопасности данных в облаке. Согласно Gartner , «почти во всех случаях именно пользователь, а не поставщик облачных услуг, не может управлять средствами контроля, используемыми для защиты данных организации».

Различия между локальной и облачной безопасностью.

1. Разграничение ответственности и обязанностей.

Самая большая разница между локальной и облачной безопасностью - это степень ответственности, которая ложится на саму организацию. Имея локальную инфраструктуру, бизнес полностью отвечает за безопасность ERP-системы. Они закупают серверы, на которых будут размещаться данные, создают и управляют межсетевыми экранами, используемыми для управления доступом к сети, а также управляют дисциплиной извлечения данных из системы.

В облачном мире ответственность за безопасность распределяется между организацией и поставщиком облачных услуг (например, Amazon Web Services или Microsoft Azure). В зависимости от того, на какой тип услуги подписан, обязанности заказчика услуг и поставщика услуг по обеспечению безопасности различаются:

• Инфраструктура как услуга (IaaS). Клиенты облака не несут ответственности за такие физические элементы, как центры обработки данных или оборудование, на которых размещены приложения. Вместо этого им нужно только управлять подготовкой виртуальных машин, защищать виртуальную сеть и контролировать приложения и интерфейсы в виртуальной сети.

• Платформа как услуга (PaaS). Когда дело доходит до платформы как услуги (PaaS), поставщик облачных услуг наследует дополнительные обязанности по обеспечению безопасности. В  этом случае заказчик теперь платит за всю платформу, а не только за облачную инфраструктуру, Поставщик теперь управляет перечисленными обязанностями для IaaS, а также предоставлением виртуальных машин и обеспечением безопасности виртуальной сети. Заказчик облака по-прежнему несет ответственность за свои данные, мониторинг интерфейсов и защиту своих приложений.

• Программное обеспечение как услуга (SaaS). В отношении программного обеспечения как услуги (SaaS) поставщик услуг связи несет ответственность за все ранее упомянутые обязанности для IaaS и PaaS, а также за само приложение. Это имеет смысл, поскольку теперь клиент облака платит за использование приложения, размещенного на платформе поставщика и в облачной инфраструктуре. В этом случае заказчик облака несет ответственность за безопасность своих данных и всех интерфейсов.

Во всех случаях ответственность за соблюдение конкретных требований безопасности лежит на клиенте. Если ваша организация планирует переход в облако, полезно перечислить все ваши требования к безопасности. При встрече с потенциальными поставщиками дайте им список ваших требований и позвольте им проверить, насколько их сервис может соответствовать вашим требованиям.

Важно отметить, что даже несмотря на то, что многие обязанности будут возложены на поставщика, вы должны соблюдать правильные процессы и процедуры, нанимать квалифицированный персонал и поддерживать целостность безопасного облака.

С этой целью разработка и документирование процессов, связанных с безопасностью ERP, может помочь подготовить ИТ-персонал к новым ролям и обязанностям. А при определении новых бизнес-процессов необходима сильная методология реинжиниринга бизнес-процессов.

2. Точки доступа.

Еще одно ключевое различие между локальной безопасностью и облачной безопасностью - это способы доступа к сети. Локальные системы ERP существуют только на устройствах, на которых они установлены. Когда бизнес-пользователям необходимо получить доступ к данным в локальной среде, им необходимо физически находиться в офисе или в сети компании.

Например, у сотрудника может быть установлена ​​система SAP на своем рабочем ноутбуке, что позволит ему просматривать данные компании с этого устройства. У того же сотрудника может быть личный ноутбук, на котором не установлена ​​система SAP. Это упрощает управление доступом к приложениям и данным, поскольку существует только одна точка доступа.

Хотя это может создать проблемы для сотрудников, работающих удаленно, они всегда могут использовать виртуальную частную сеть (VPN) для входа в свое офисное устройство. VPN безопасны, потому что для них требуется ключ безопасности или другие средства управления идентификацией.

В облачной среде сотрудники могут получать доступ к приложениям компании через веб-браузер. Это означает, что любое устройство с доступом в Интернет становится точкой входа для критически важных бизнес-данных.

Облачные среды позволяют использовать программные интерфейсы приложений (API). Хотя API-интерфейсы могут использоваться с приложениями, работающими локально, их использование не нормализовалось, пока поставщики облачных услуг (и программного обеспечения) не начали предварительно встраивать их в свои платформы.

Теперь взаимодействовать со сторонними программными приложениями так же просто, как открыть соответствующий API и разрешить доступ третьих лиц к вашей среде. Такая простота взаимодействия имеет свои преимущества, но это добавляет дополнительный уровень сложности, когда дело доходит до проектирования безопасности.

При использовании API для создания, чтения, обновления или удаления данных в другой системе крайне важно, чтобы все было правильно спланировано. Не все разрешения обычно требуются API для выполнения назначенной функции. Не менее важно определить правильные разрешения и их последствия. Не следует идти простым путем и просто давать полные разрешения API.

При создании API нужно исследовать безопасность системы, с которой осуществляется взаимодействие. Вопрос, который следует задать: «Если система безопасности нарушена, как это может повлиять на данные?» Разработка коннектора или API с учетом этого может избавить от головной боли и потенциальных судебных исков.

Преимущества и недостатки локальной безопасности по сравнению с облачной безопасностью

Независимо от того, есть ли у вас локальная инфраструктура или вы уже находитесь в облаке, с точки зрения безопасности есть ряд серьезных преимуществ и недостатков в обоих случаях.

Преимущества облачной безопасности

Огромным преимуществом, когда дело доходит до безопасности в облаке, является доступность инструментов безопасности, созданных поставщиком облачных услуг или поставщиком ERP . Обычно за дополнительную плату CSP, такие как Amazon, Microsoft и Google, предлагают встроенные инструменты безопасности, которые помогают ИТ-отделу выявлять и устранять сетевые уязвимости, а также предоставляют предложения по улучшению системы безопасности.

Поставщики облачных услуг во многом зависят от безопасности данных своих клиентов. Для этого поставщики вложили значительные средства в машинное обучение, чтобы помочь выявить слабые места в системе и немедленно уведомить вас в случае атаки.

Еще одно преимущество безопасности в облаке - это уровень автоматизации, которого можно достичь с помощью API. API-интерфейсы упрощают организацию входящих и исходящих сообщений между сетью компании и третьими сторонами, обеспечивая правильные методы аутентификации на каждом этапе.

Недостатки облачной безопасности

Хотя использование API-интерфейсов можно считать преимуществом с точки зрения автоматизации, оно также может быть недостатком при рассмотрении количества точек доступа, которыми нужно управлять. Если у вас есть несколько третьих лиц, которые автоматически получают доступ к вашей среде, будет сложно отслеживать весь входящий и исходящий трафик. В случае взлома еще более проблематично выяснить, в чем заключаются проблемы с безопасностью.

Преимущества локальной безопасности

Очевидным преимуществом локальной системы безопасности является прозрачность ответственности за требования безопасности. Ответственность за соблюдение требований безопасности полностью ложится на организацию.

Недостатки локальной безопасности

Поскольку право собственности центра обработки данных лежит исключительно на бизнесе, объем обязанностей по обеспечению безопасности, возложенных на ИТ-отдел, более чем в два раза превышает объем облачных мер безопасности.

К тому же автоматизация взаимодействия с третьими сторонами обычно практически отсутствует. Это означает, что ИТ-отдел должен безопасно создавать и управлять каналом связи каждый раз, когда в экосистему добавляется новый поставщик.

Наконец, ИТ-отделу может не хватать ресурсов, а большинство инструментов безопасности для локальных сред либо устарели, либо могут быстро устареть в связи с разработкой новых методов киберпреступников. Также, не стоит забывать, что самая распространенная форма атаки на корпоративные сети - это не столько взлом с помощью вирусов или грубой силы, но и проникновение с использованием методов социальной инженерии.

Где разместить ERP-систему?

При выборе ERP кибербезопасность является проблемой для многих организаций. В конечном итоге безопасность зависит не столько от модели развертывания и хостинга, сколько от сотрудников и процессов организации.

Почему кибербезопасность требует плана управления изменениями? Хакеры знают, что сотрудники - это самый быстрый и простой путь к данным компании. Однако сотрудники не могут быть бдительными, если не знают, на что обращать внимание. Вы обязаны подготовить их к неизбежному фишинговому мошенничеству, атаке программ-вымогателей или взлому публичного Wi-Fi.

1. Работать по старинке проще

Представьте себе мир, в котором вам никогда не нужно менять пароли и вам разрешено «работать из дома» в ближайшей кофейне. Это мир, который сотрудники оставляют позади, когда переходят к новым методы кибербезопасности. Чтобы убедить сотрудников изменить привычные модели поведения, потребуются веские причины. Ваша организация должна сообщать о важности кибербезопасности и подчеркивать, что поставлено на карту в случае нарушения безопасности.

2. Кибербезопасность - это привычка

Ежегодных тренингов недостаточно. По мере того, как технологии становятся все изощреннее, растут и методы их взлома. Новые уязвимости создаются ежедневно, и сотрудникам необходимо научиться распознавать потенциальные угрозы во всех их формах. Организация должна разработать план непрерывного обучения, учитывающий различные типы атак, с которыми может столкнуться каждый отдел. Некоторые организации заходят так далеко, что проводят имитацию кибератак, чтобы сотрудники могли учиться на своих ошибках, что часто является лучшей формой обучения.

3. Множество точек доступа

Растущее использование мобильных устройств и облачных технологий представляет собой новую проблему для организаций, пытающихся защитить данные компании. Теперь сотрудники могут получить доступ к этим данным откуда угодно через свои мобильные телефоны, которые уязвимы для мобильных вредоносных программ и зараженных приложений. Тем не менее, несложно вооружить сотрудников знаниями, необходимыми для защиты их устройств.

Разработка плана управления изменениями для кибербезопасности

Внедрение ERP не должно быть единственным случаем, когда организация рассматривает возможность повышения кибербезопасности. Кибербезопасность - это непрерывная битва, требующая долгосрочного плана управления изменениями.

Вы можете реализовать все необходимые структуры контроля кибербезопасности, но ваши процессы станут неэффективными, как только сотрудник щелкнет фишинговую ссылку. Вот почему нужны четко изложенные передовые практики и периодическое обучение.

Организация должна заручиться поддержкой руководства в части плана управления изменениями в области кибербезопасности. Тогда можно реализовать инициативы по обучению и коммуникации, которые приведут к долгосрочным изменениям поведения.

Общение с сотрудниками по вопросам кибербезопасности похоже на общение с сотрудниками по вопросам внедрения ERP. Они требуют сильного лидерства, которое способствует доверию и двустороннему общению. Они влекут за собой точные временные рамки и должную персонализацию. Они требуют наличия команды управления изменениями с определенными ролями и обязанностями.

Как обучать сотрудников вопросам кибербезопасности

1. Сообщайте о целях обеспечения безопасности.

Это гарантирует, что сотрудники понимают причину новых политик и процедур. Объясните, что безопасность напрямую касается сотрудников, что нарушение безопасности влияет не только на данные, но и на репутацию организации и, в конечном итоге, на ее способность достигать бизнес-целей.

2. Поощряйте сотрудников посещать занятия по безопасности.

Подобно общему обучению ERP, обучение безопасности должно быть постоянным и поддерживаться активным участием руководителей.

3. Делитесь новостями о нарушениях безопасности в других компаниях.

Используйте новости о нарушениях безопасности в других компаниях как обучающий инструмент. Можно также конфиденциально поделиться общей информацией о попытках атак на их собственную систему ERP. Хотя истории могут быть сильным мотиватором, будьте осторожны с тем, насколько подробно вы рассказываете о техниках атак, так как сотрудники могут использовать эту информацию для попытка подражать атакам внутри компании.

4. Запуск имитации фишинговых атак.

Это проверяет текущий уровень знаний сотрудников в области безопасности и привлекает их внимание. Оценив ответы сотрудников, объясните, как им следует реагировать на подобные атаки.

Ценность безопасности данных ERP

Доказать окупаемость инвестиций в безопасность данных ERP непросто. Обоснование инвестиций требует понимания ландшафта угроз, вероятности атаки и потенциальных убытков. Обладая этой информацией, вы или ваш директор по информационной безопасности можете убедить руководителей в том, что постоянная кибербезопасность необходима для поддержки целей организации.


Советы по обеспечению безопасности данных ERP для вашего внедрения от Panorama Consulting Group | 16 ноя.2020

Для иллюстрации - динамика угроз