Firmowy system informatyczny, którego integralną częścią jest platforma ERP, jest obecnie niezbędnym elementem dla prowadzenia biznesu. Potrzeba gromadzenia i przetwarzania coraz większej i większej ilości danych wymusza na przedsiębiorcach inwestycje w wydajne i nowoczesne narzędzia. Spora liczba firm stawia na chmurę, która wydaje się nie mieć wad a wśród zalet znajdziemy stale aktualizowany software, obniżenie kosztów obsługi i serwisowania infrastruktury. Niestety, wybór takiej ścieżki może prowadzić do zwiększenia ryzyka włamania do danych (jeśli trafimy pod skrzydła wątpliwej jakości dostawcy usługi).
Dane w bazach firmowych mają wielką wartość, szczególnie jeśli chodzi o zgromadzone know-how, dane rozliczeniowe i dane osobowe naszych klientów. W związku z tym warto przeanalizować naszą politykę w tym zakresie pod kątem najczęstszych zagrożeń, którym możemy w łatwy sposób zapobiec.
Wybór nieodpowiedniego dostawcy
Kuszeni agresywnym marketingiem i niskimi cenami możemy złapać się w pułapkę nierzetelnych dostawców oprogramowania ERP i hostingu. Dostępne propozycje powinniśmy lustrować pod kątem zawartych funkcjonalności, możliwych do uzyskania ograniczeń uprawnień (szczególnie jeśli rotacja pracowników korzystających z systemu będzie duża), oraz zabezpieczeń i zgodności z przepisami.
Wertując rynek warto za ostateczny cel (przed zakupem oczywiście) uznać wybór 3 ofert od szanowanych dostawców, którzy mogą przedstawić referencje wdrożeń w przedsiębiorstwach o podobnym profilu i wymaganiach wobec oprogramowania. Co więcej, nie powinniśmy bać się zadawania sprzedającym pytań dotyczących oferowanego przez systemy bezpieczeństwa i użytych do jego stworzenia technologii. Nawet jeżeli sami nie rozumiemy technicznego żargonu będziemy mogli wykorzystać odpowiedzi do zmuszenia oferentów do porównań między systemami. Pozwoli to też na określenie w jakim stopniu są oni pewni bezpieczeństwa swoich produktów i usług.
Pozostawanie w technologicznym ogonie
Traktowanie inwestycji w system informatyczny jako jednorazowego wydatku na cały okres działalności firmy nie jest wśród przedsiębiorców odosobnionym wypadkiem. Technologia, a w szczególności technologia informatyczna podlega ciągłej ewolucji starając się nadążyć nad stałymi i nieuniknionymi zmianami standardów i oczekiwań rynku. Jeżeli nie będziemy podążać za zmianami niechybnie zostaniemy w tyle narażając się tym samym na zagrożenie związane z potencjalnymi wrogimi działaniami. Jest to fakt nie tylko dla systemów ERP, ale dla całej sfery informatycznej – systemów operacyjnych, programów zabezpieczających, urządzeń sieciowych etc.
Większość producentów proponuje aktualizację swoich produktów w ramach subskrypcji, rocznych pakietów gwarancyjnych lub pojedynczych płatności za wersję, chociaż ten ostatni model dostępu do nowych wersji jest bardzo rzadki. O aktualizacje nie musimy się martwić posiadając wersje chmurowe oprogramowania – w takim przypadku producent zapewni nam każdorazowo najnowsza wersję oprogramowania. Zaniechanie płatności za dostęp do nowych wersji oprogramowania jest więc pozorna oszczędnością, która może nas sporo kosztować w przyszłości.
Podobnie w kwestii sprzętu, na ten przykład routerów obsługujących dostęp zdalny per VPN – jeżeli pracujemy na leciwych urządzeniach z nadzieją, że podziałają jeszcze rok lub dwa zamiast wymieniać je w średnim 5-cio letnim cyklu, możemy narazić się na nieprzyjemności związane z tzw. przerwą technologiczną. Starsze urządzenia są bardziej podatne na atak, to łakomy kąsek dla cyberprzestępców, nowe są lepiej zabezpieczone i nie tak łatwo o nieautoryzowany dostęp.
Brak szkoleń dla operatorów systemu
Ludzie niejednokrotnie podniecają się zaawansowaniem technologicznym oferowanych cyber-zabezpieczeń systemów informatycznych zapominając, że najsłabszym ogniwem łańcucha bezpieczeństwa zawsze był i będzie człowiek.
Chcący dobrze, ale nieobeznani z informatyką i niepoinformowani przez odpowiednie osoby, korzystający na co dzień z systemu ERP i obracający wrażliwymi danymi pracownicy stanowią największe zagrożenie. Szkolenia, szkolenia i jeszcze raz szkolenia – z funkcjonalności, procedur, z radzenia sobie z sytuacjami niestandardowymi – to wszystko jest fundamentem bezpieczeństwa. Profilaktyka postępowania z hasłami i obsługi skrzynki e-mail daje niejednokrotnie lepsze efekty niż wydawanie olbrzymich sum na zautomatyzowane cyfrowe zabezpieczenia przed atakiem hackerskim. Co więcej, jest o wiele tańsza… Powinniśmy tez uczulać naszych pracowników na stosowanie bezpiecznych metod przekazywania danych, szczególnie na używane do tego media. Udostępnianie danych firmowych niezabezpieczonymi ścieżkami może nas narazić na ich przejecie i wykorzystanie przez przestępców. Udostępnienie danych osobowych naszych klientów będzie tez skutkować dodatkowymi urzędowymi konsekwencjami prawnymi.
Lekceważenie okresowych audytów bezpieczeństwa
Regularne sprawdzanie procedur bezpieczeństwa cyfrowego to dzisiaj swoisty przymus. Należy o nich myśleć jak o profilaktyce raka. Im wcześniej go wykryjemy tym łatwiej i łagodniej będzie można się go pozbyć.
Prowadzone cyklicznie audyty pomogą w określeniu możliwych dziur w zabezpieczeniach, niestosowania się do przyjętych procedur bezpieczeństwa danych i wykrywaniu ewentualnych włamań. Badania statystyczne pokazują, że średni czas który jest potrzebny na zdefiniowanie potencjalnej dziury w zabezpieczeniach od jej rzeczywistego pojawienia się wynosi od 6 miesięcy do 1 roku. W tym czasie intruz nie napotka przeszkód w dostępie do wrażliwych informacji.
Audyt bezpieczeństwa w cyklu przynajmniej półrocznym jest zatem rekomendowany dla wszystkich firm mogących sobie na niego pozwolić finansowo. Mniej zamożne przedsiębiorstwa powinny rozważyć cykliczne kontrole najbardziej newralgicznych elementów układanki jaka jest ich system informatyczny.
Opóźnianie aktualizacji wersji oprogramowania
Mając zapewnione prawo do instalacji najnowszych wersji systemów niektóre firmy z rozmysłem pozostają przy wcześniejszych wydaniach software’u. Inne odwlekają aktualizacje ze względu na czas jaki jest potrzebny do jej realizacji lub koszt który za sobą niesie.
Musimy zdać sobie sprawę z faktu, że aktualizacja – czy to systemów operacyjnych, systemów ERP czy programów zabezpieczających – nie jest kaprysem dostawcy lub obsługującej nas firmy informatycznej, które czyhają na nasze ciężko zarobione pieniądze, ale działaniem koniecznym z punktu widzenia bezpieczeństwa naszej firmy. Pozostając przy starszych wersjach systemów otwieramy wygodną furtkę do ataku na nasze dane. To równie niebezpieczne jak publikowanie zdjęć kart kredytowych – okazja czyni złodzieja.
Różne tempo rozwoju firmy i systemu
Aby zapewnić odpowiedni stopień bezpieczeństwa system informatyczny w firmie i towarzyszące mu procedury muszą rozwijać się równolegle z rzeczywistymi potrzebami przedsiębiorstwa.
Naturalnym jest, że po pewnym czasie pecety przestają wystarczać, pojawia się serwer i urządzenia mobilne (laptopy, tablety, smartphony), które mają ułatwić pracownikom wykonywanie zadań i wymagają dostępu do zgromadzonych danych.
To ważne żeby handlowcy odwiedzający klientów mieli dostęp do wydzielonej dla siebie części systemu na bieżąco, wymaga to jednak dobrze zabezpieczonej i utrzymanej w nienagannym stanie wewnętrznej sieci firmowej. Zaopatrzenie w urządzenia pozwalające na szyfrowany dostęp do naszej sieci z zewnątrz to absolutna podstawa, procedury zakazujące używania w tym celu otwartych, publicznych sieci WiFi są niemal równie ważne.
Osoby pracujące zdalnie powinny podlegać bardziej rygorystycznym procedurom, nie zaszkodzi również ograniczenie do niezbędnego minimum ilości operacji do których przeprowadzenia zdalnie uprawniony jest dany operator. Dodatkowo, mając w pamięci najsłabsze ogniwo łańcucha bezpieczeństwa, zdalny dostęp do danych wrażliwych powinien być zarezerwowany dla pracowników co do których mamy duże zaufanie.
Podsumowując:
Jak każde narzędzie które ma nam ułatwić życie system informatyczny będzie realizował swoje zadania wtedy, kiedy zadbamy o niego odpowiednio. Jeżeli przytłacza nas perspektywa samodzielnego nadzoru nad jego stanem powinniśmy skorzystać z pomocy zaufanych specjalistów, którzy pomogą nam określić i wykonać kolejne kroki prowadzące do jego optymalizacji.
Firma Polkas zaprasza wszystkich Państwa – korzystających z systemów Comarch ERP i enova365, oraz tych którzy poszukują nowego systemu ERP – do kontaktu z naszym działem handlowym. Z największą przyjemnością doradzimy Państwu w kwestii stworzenia bezpiecznego, informatycznego środowiska biznesowego, zarówno od strony sprzętu jak oprogramowania. W tej materii zaufało nam już ponad 8 tysięcy firm w całej Polsce.
Jesteśmy do Państwa dyspozycji mailowo na erp@polkas.pl i pod numerem telefonu 12 634 05 44.