ERP安全:消除常见的误解

企业资源计划(ERP)系统是大多数企业必不可少的工具。它们使他们能够实时跟踪业务资源和承诺,并管理日常业务流程(例如,采购,项目管理,制造,供应链,人力资源,销售,会计等)。

ERP安全

集成在ERP系统中的各种应用程序收集,存储,管理和解释来自许多业务活动的敏感数据,这使组织从长远来看可以提高效率。

毋庸置疑,如此重要的系统及其存储的所有数据的安全性对于每个组织都至关重要。

有关ERP安全的常见误解

“由于ERP系统具有许多活动部件,因此最大的误解之一是内置的安全性已足够。实际上,虽然您可能没有授权团队中的技术人员访问公司的HR数据,但他们仍然可以访问存储该数据的基础数据库,”美洲地区首席技术官Mike Rulf, 句法,告诉Help Net Security。

“另一个误解是您的ERP系统的访问安全性足够强大,您可以允许人们从互联网访问其ERP。”

实际上,ERP系统的技术复杂性意味着安全研究人员正在不断发现其中的漏洞,以及使他们面临互联网威胁并不断遭受威胁的企业。’仔细考虑或优先考虑保护他们会带来他们可能不知道的风险。

Rulf说,在保护ERP系统安全时,您必须考虑通过各种不同的方式,有人可以潜在地访问敏感数据,并部署解决这些潜在漏洞的业务策略和控件。修补安全漏洞非常重要,因为它可以确保公司数据的安全环境。

给CISO的建议

虽然修补程序是必要的,但确实,企业领导者不能为每个新修补程序中断日常业务活动。

“企业需要某种方式来缓解自发布补丁到完全测试和部署补丁之间的威胁。应用程序防火墙可以充当缓冲区,以允许在此间隔期间以安全方式访问您的专有技术和信息。此外,应用防火墙可让您将安全性和合规性管理与ERP系统管理分开,从而实现大多数审计标准所要求的检查和平衡,” he advises.

他还敦促CISO将登录过程与其公司目录服务集成在一起,例如 活动目录,所以他们不’不必记得他们离开公司时在多个系统中关闭员工的凭证。

为了使远程工作人员对ERP系统的移动访问更加安全,CISO绝对应该利用多因素识别,以迫使员工在访问敏感的公司信息之前证明其身份。

“例如,Duo在办公室外登录时会向员工的手机发送短信。这种安全形式可确保只有被授予访问权限的人员才能使用这些凭据,” he explained.

当员工从新设备访问ERP数据时,VPN技术也应用于保护它。 不熟悉的Wi-Fi网络.

“当今的VPN可以使组织验证这些新的/不熟悉的设备是否遵守最低安全要求:例如,仅允许配置了防火墙并安装了适当的恶意软件检测工具的设备才能访问网络。通常,企业根本无法真正知道员工的工作地点以及所处的网络。因此,使用VPN加密来回发送的数据至关重要。”

内部部署还是云ERP安全性?

各种种类 SaaS 您的ERP中的应用程序(例如Salesforce和Oracle Cloud Apps)使您可以专注于那些服务提供商来管理应用程序的安全性。

“您需要询问您的服务提供商其审核合规性和文档。因为它们提供了对您的业务至关重要的服务,所以在SOC审核期间,审核员将询问您有关这些第三方的信息。因此,您需要扩展审核和合规流程(以及所需的时间),以包括对外部合作伙伴的审核,” Rulf pointed out.

“另外,当您迁移到AWS或Azure时,实际上是在构建一个新的虚拟数据中心,这需要您构建并投资于新的安全和管理工具。因此,尽管云技术可以节省很多钱,但您需要考虑诸如扩大审核和合规性之类的额外成本和意外成本。”

分享这个