Ръстът при внедряването на ERP системи в българските бизнес организации, увеличаването на броя на отдалечените потребители, както и по-широкото използване на електронни разплащателни средства поставят редица нови предизвикателства в сферата на сигурността

Увеличаването на броя на ERP проектите, което наблюдаваме през последните години у нас, е показателно за една постепенна промяна в начина, по който българските мениджъри възприемат инвестициите в ИТ бизнес инфраструктура. Все повече български компании осъзнават предимствата от използването на системи за планиране и управление на фирмените ресурси, финансовите потоци, решения за управление на проекти, както и приложения за отдалечен достъп на служителите до информационната система на организацията.

Като се има предвид настоящият ръст при внедряването на ERP системи у нас и очакванията той да се увеличи през тази и следващата година, е изненадващо колко голяма част от българските мениджъри продължават да пренебрегват проблемите, свързани с

корпоративната информационна сигурност.

Учудващо е първо защото сме свидетели на увеличаване броя на почти всички видове заплахи, като започнем от хакерските атаки и стигнем до нежеланите рекламни съобщения. И второ – защото след своето внедряване всяка системата за управление на фирмените ресурси се превръща в критичен фактор за развитието на бизнеса и това увеличава уязвимостта на компанията от атаки срещу нейната информационна инфраструктура.

Ако преди миграцията на бизнеса към ERP е било допустимо известно неглижиране на проблемите, свързани със защитата на информацията, то сега всеки пробив в сигурността може да се окаже решаващ за бъдещето на компанията. Това означава, че вземайки решение за внедряване на ERP система, мениджмънтът задължително трябва да включи в проекта и подобряване на системите за сигурност. Съобразявайки се с

целия спектър от заплахи,

както произлизащи от външен източник, така и на такива отвътре.

Още повече, че широкото навлизане на ERP решения в българските компании съвпада с аналогичен процес в сферата на комуникациите. Той се изразява в миграция към VoIP системи, както и с все по-масовото използване на електронните и мобилни разплащания и услуги на електронното правителство. Расте броят на почти всички видове заплахи: СПАМ (SPAM), фишинг (fishing), вируси, програми тип “троянски коне”, социален инженеринг, предизвикване на отказ от услуги (Denial of Service), кражба на лични данни, нерегламентирано използване на чужда самоличност и др.

На този фон ръководителите на повечето български компании

демонстрират учудващо спокойствие,

подценявайки резултатите, до които може да доведе една атака срещу фирмената информационна система. Резултати, които могат да включват накърнена репутация, кражба на данни за клиенти или за служители, прекъсване работата на мрежата, прекратяване нормалното функциониране на фирмения уеб сайт, загуба на данни, компрометиране на конфиденциална информация,  на корпоративната система за VoIP услуги или на безжичната локална мрежа.

Затова експертите в сферата на сигурността съветват проектът за внедряване на ERP система да бъде съпътстван от цялостна

оценка на системите за сигурност

в компанията, както и от тяхното подобряване, ако е необходимо. Тази оценка трябва да бъде направена още на етапа на одитиране на информационната система, при планирането на ERP проекта.

Все още много от по-малките български бизнес организации нямат дори инсталиран Firewall, а в някои от тях защита на система е ограничена до инсталирането на антивирусен софтуер. Да не говорим, че сред големите компании също можем да открием такива, които не са готови с насочена политика в сферата на сигурността, а мениджмънтът все още подценява много от заплахите. Внедряването на ERP система обаче, изисква цялостно решение на проблемите, свързани със защита на информацията и осигуряване на механизъм, по който системата да реагира на аномалии в процесите на база на минали събития. Ключови компоненти са

управлението на потребителския достъп

до корпоративната мрежа, мониторингът на сигурността, откриването и предотвратяването на атаки, контролът на Интернет съдържанието и на отдалечения достъп до фирмените ресурси.

Изпращането на големи количества нежелана поща също се превръща в сериозен проблем за бизнес организациите, който може значително да намали оперативността на служителите и времето за работа, а освен това често спам – съобщенията съдържат вируси или линкове към фишинг сайтове. Увеличаването на обхвата на това явление прави наложително внедряването на комплексна система, защитаваща както от СПАМ, така и от вируси, Spoofing, Phishing и Spyware.

Мениджърите у нас масово подценяват вътрешните заплахи за сигурността, които могат да бъдат свързани както с целенасочено действие от страна на служител на компанията, така и с компрометиране на сигурността поради невнимание. Днес между 30% и 40% от употребата на Интернет на работното място не е свързана с работа, а с посещаване на сайтове от личен интерес. Това води до понижаване нивото на продуктивност, както и до увеличаване на рисковете за уязвимост на корпоративните системи от спайуеър и вирус инфекции.

Последни по ред, но не и по важност са проблемите за сигурността при

използването на Instant Messaging

(чат програми) за комуникация на работното място.

Отдалеченият достъп до корпоративните информационни ресурси вече се е наложил в света на бизнеса, създавайки гъвкавост на работния процес. Той гарантира независимост от мястото на работа, пести средства и увеличава потенциала на служителите. Когато тази мобилност се осъществява в работата с управленските информационни системи и комуникационни услуги на преден план изникват и редица предизвикателства пред защитата на информацията, особено по отношение на сигурната аутентикация на мобилните потребители. Препоръчително е да се помисли за интеграция на директорни услуги за управление на достъпа с решения за двустепенна аутентикация, базирана на комбинацията от парола и физическо устройство. Веднъж изградена такава система за достъп може да бъде използвана за сигурна комуникация както на служителите на компанията, така и на партньори, клиенти или външни консултанти.