De beveiliging van het ERP software systeem is niet belangrijk. Het wordt wel niet hardop gezegd, maar in de praktijk komen wij met grote regelmaat tegen dat het wel wordt gedacht. Er wordt slordig omgegaan met het beheren van wachtwoorden en de login en het wachtwoord van de system administrator wordt soms ook door ERP software gebruikers gebruikt.
Is het beveiligen van ERP software wel belangrijk?
Het is al lang geleden dat deze vraag terecht kon worden gesteld. Het ERP software pakket werd toen slechts door een beperkt aantal mensen in de organisatie gebruikt en dan nog alleen wanneer ze zich bevonden op hun werkplek. Dat is inmiddels wel veranderd. De functionaliteit van de pakketten is sterk uitgebreid en het aantal gebruikers van het ERP software pakket is exponentieel gegroeid. Maar belangrijker nog, de grenzen van de organisatie zijn opengegooid.
Het ERP software pakket is nu ook toegankelijk via openbare netwerken, zoals het internet. Erg gemakkelijk voor de eigen medewerkers om op afstand gegevens te raadplegen en in te voeren. Maar ook voor klanten die nu zelf orders kunnen plaatsen. Door deze veranderingen zijn de kansen op misbruik en het onbevoegd gebruik maken van het software systeem sterk gestegen.
6 Elementen van beveiliging.
Door alle krantenverhalen over het ‘hacken’ van systemen is het beeld van beveiliging van ICT op z’n minst eenzijdig gekleurd. Wij kunnen stellen dat het begrip ‘beveiliging’ de volgende zes elementen omvat:
-
Privacy. Specifieke data moet verborgen worden gehouden voor medewerkers die die data niet nodig hebben voor de uitvoering van hun aandeel in bedrijfprocessen.
-
Integrity. Gegevens die door het systeem moeten worden onthouden mogen niet zoek raken of om duistere redenen worden gemanipuleerd.
-
Access. Een gebruiker van het systeem moet toegang hebben tot een voor hem gereed gezet menu.
-
Authorization. Een specifieke gebruiker van het software systeem heeft alleen toegang tot schermen en data, waarvoor hij is geautoriseerd.
-
Authentication. Een persoon die zich voorgeeft een specifiek persoon te zijn moet ook werkelijk die persoon zijn. Het betreft hier dus de controle op de identiteit van de persoon.
-
Non-repudiation. Elke handeling in het ERP software systeem heeft een eigenaar. Daardoor zal elke wijziging in de toestand van de database altijd terug te voeren moeten zijn naar een bewuste handeling van een specifieke gebruiker.
Naar het onderwerp ‘authentication’ wordt op dit moment veel onderzoek gedaan. Door de razendsnelle verspreiding van mobiele randapparaten wordt dit een zeer aangelegen punt. Ik wil immers niet dat een crimineel, met een mobiel die hij van een medewerker gestolen heeft, toegang krijgt tot mijn ERP software systeem. Wat het punt van ‘non-repudiation’ betreft, er is een sterk groeiend maatschappelijk sentiment dat vraagt naar transparantie van organisaties en systemen. Dit is zeker ook ingegeven door het verlangen om verantwoordelijken aan te kunnen spreken op misstanden in de uitvoering van processen. In de praktijk is dit punt moeilijk te realiseren, omdat het nauwe relatie heeft met de wijze waarop de ERP systemen zijn ontworpen.
Oplossingen voor beveiliging
Oplossingen voor de hiervoor benoemde elementen van beveiliging moeten gevonden worden op het organisatorische en op het technische vlak.
Organisatorische oplossingen. De grootste inspanning zal liggen in het voorzien van een uitgebreid systeem voor identiteits- en toegangsbeheer (identity and access management, zoals de meeste leveranciers het zullen noemen). Hiermee wordt bepaald wie toegang krijgt tot welke toepassingen, wat het risico op al dan niet bewuste fouten al gevoelig reduceert. In dit verband is het ook van belang goed na te denken over de rollen die aan medewerkers worden toegekend (Zie daarvoor ook de blog: “hoe kom je aan een goede omschrijving van een business rol”).
Technische oplossingen. Naast organisatorische procedures is een goede technische beveiliging essentieel. Dat begint al bij het controleren of uw ERP software systeem niet zonder extra beveiliging vanaf het internet bereikbaar is. Hebt u wel eens een check gedaan of het IP adres van uw ERP systeem rechtstreeks te 'pingen' is vanaf bijvoorbeeld uw thuis PC? Als dat zo is, kunt u er zeker van zijn dat er dagelijks duizenden keren geprobeerd wordt om op uw systeem in te breken door geautomatiseerde pogingen vanaf de meest exotische plekken op deze wereld. Zorg behalve voor een goede netwerkbeveiliging ook voor een goede password policy.
Een laatste tip: laat uw beveiliging regulier controleren. Doe dat niet zelf, maar vraag iemand die zelf het systeem niet beheerd om af en toe eens te kijken of alles op orde is. De slager keurt zijn vlees ook niet zelf, waarom zou u dat wel doen?
Image courtesy of chanpipat / FreeDigitalPhotos.net
Renger Reitsema is directeur bij Mprise. Hij werkt sinds 1994 met ERP systemen waaronder Baan ERP en Microsoft Dynamics NAV en AX. Renger blogt over onderwerpen die te maken hebben met beheer van ERP systemen