Защита информации в ERP системах

Модули ERP — удобный и современный инструмент планирования и управления предприятиями, функционирующий на базе общефирменного хранилища данных. Безусловно, при работе с ценной информацией на первый план выходят вопросы ее безопасности. Необходимо защитить ERP-системы от злоумышленников, ведь сегодня многие вредоносные программы разрабатывают специально «под» бизнес. Потери от них могут быть чрезвычайно болезненны.

Поэтому безопасность ERP-систем — аспект, к которому нельзя относиться пренебрежительно. Все модули должны быть организованы так, чтобы риск потерь/раскрытия информации был минимизирован, а данные оставались целостными и доступными внутри организации.

Помимо «физических» способов защиты — выделения отдельных помещений для серверов, контроль доступа к ним — и разграничения пользовательских прав, необходимо выстроить систему безопасности на всех уровнях ERP (базы данных, приложений, пользовательском). Нужно учитывать основные проблемы, которые часто возникают при создании средств защиты:

  • регламенты обработки данных могут плохо сочетаться с архитектурой ERP-систем;
  • пользователи и администраторы нередко раздражаются из-за сложностей в согласовании, необходимости постоянно получать разрешения для использования информации;
  • специалисты по защите могут не разбираться в работе конкретной ERP-системы, что отрицательно сказывается на качестве работ.

Настройка системы безопасности для ERP

Проблем можно избежать, если обратиться к специалистам из ASAP Consulting. Они грамотно и точно настроят все уровни безопасности на модулях компании-заказчика, хорошо понимая ее нюансы. Защита информации в ERP-системах, как правило, состоит в следующем:

  • системное решение вопроса IT-безопасности: автоматизация процесса, постоянное обновление инструментария, доработка функционала вплоть до комплексной перестройки работы управляющих систем на предприятии;
  • создание четкой схемы парольной защиты, персонализированного доступа, внедрение средств аудита и мониторинга защищенности с помощью квалифицированных специалистов;
  • организация безопасности каналов связи — используя механизмы SNC или SSL/TLS, дополнительные лицензионные продукты шифрования, сертификаты ЭЦП и так далее;
  • создание юридически значимого документооборота, пассивной защиты, поддержки SSF, проверки электронных подписей, использование инструментов ГОСТированной отечественной криптографии;
  • обеспечение технической защиты — интеллектуальные системы, запрещающие выгрузку/копирование/передачу данных, одновременно обеспечивая доступ авторизованных пользователей к нужной им информации.

Использование средств криптографической, технической безопасности, защищенных URI и прочих возможностей — необходимость, несмотря на сложность процесса внедрения. Эффективность защиты напрямую зависит от компетентности специалистов, поэтому доверять стоит только опытным профессионалам.

Вернуться к списку статей

Подписаться на статьи