Implementace ERP systému, díl 6: Bezpečnost

Bezpečnost jako nedílná součást implementace 

Zabezpečení ERP systému není jednorázový úkol, který si firmy rychle odškrtnou a pokračují dál. Ve skutečnosti jde o komplexní běh na dlouhou trať, na nějž vyrazíte již v analytické fázi a bude vás poté provázet po celou dobu životního cyklu řešení. I z toho důvodu se vyplatí si nejprve říct, co se vlastně pod poměrně širokým pojmem „zabezpečení ERP systému“ skrývá.  

Obecně je třeba na bezpečnost nazírat z několika rovin:  

• řízení přístupů uživatelů,
• ochrana dat před zneužitím či ztrátou,
• provozní bezpečnost systému,
• plnění legislativních a regulatorních požadavků (compliance).  

Podcenění kterékoliv z těchto oblastí může vést nejen k technickým problémům, ale i k finančním sankcím nebo poškození reputace firmy. Podívejme se na ně proto více zblízka.  

Řízení přístupů a rolí: kdo vidí co a proč 

Jedním ze základních pilířů bezpečného ERP je správně nastavené řízení uživatelských oprávnění. Základem je zde pravidlo, aby se každý uživatel dostal pouze k těm datům, které nutně potřebuje pro svou práci. Pokud dojde k narušení některého z uživatelských účtů, útočníci se díky tomu nedostanou k citlivým datům či administračním nástrojům.  

Moderní ERP systémy zde pracují s principem uživatelských rolí, díky nimž lze přesně definovat úroveň přístupu pro jednotlivé skupiny uživatelů. S tím se pojí i druhá dobrá rada – citlivé operace (např. schvalování plateb či změny účetního nastavení) se vyplatí záměrně rozdělit mezi více rolí. Samozřejmostí pak je pravidelná revize těchto rolí a nezbytné úpravy, např. včasné zrušení přístupů u odcházejících zaměstnanců, případně plynulé změny rolí v závislosti na povaze práce.  

V systému Microsoft Dynamics 365 Business Central slouží k pohodlnému řízení identit nástroj Microsoft Entra ID (dříve Azure Active Dictionary), v němž mohou správci přehledně řídit nejen uživatelská práva, ale také spravovat nastavení hesel či zapínat vícefaktorové ověřování napříč celým ekosystémem Microsoft 365. František Samohýl k tomuto dodává: “Při reálném nasazování, případně upgrade z předcházejících verzí, máme tu zkušenost, že se často setkáváme s problémem koordinace nastavování přístupů jak uživatelských tak i administrátorských. V nových verzích Business Central je to striktně odděleno a je nutné to mít na paměti. Některé funkcionality Business Central není možné nastavovat s partnerskými admin účty tak jako v minulosti, a je nutné mít přímo administrátorský účet v prostředí zákazníka.” 

Ochrana dat: šifrování a záloha 

Nejcennějším obsahem ERP systému jsou samotná data, od účetních výkazů přes údaje zaměstnanců až po obchodní smlouvy a osobní informace o zákaznících. Tato ochrana obvykle probíhá hned na několika úrovních: 

Šifrování dat 

U moderních ERP systémů je standardem ochrana uložených dat šifrováním, které pro případného útočníka činí data nečitelná bez odpovídajícího kryptografického klíče. Zejména u cloudových ERP systémů pak šifrování chrání data i při jejich přenosu mezi cloudem a koncovým uživatelem.  František dodává “V cloudových verzích podnikových systémů od Microsoftu (D365 Business Central, F&SCM) je toto striktně vykonáváno přímo provozovatelem systému (Microsoft cloud), to znamená, že tu není žádná možnost ovlivňování zvenčí.” 

Záloha a obnova dat 

Neméně důležité je i zálohování dat, díky němuž je lze v případě ztráty nebo poškození rychle obnovit bez větších dopadů na provoz společnosti. ERP systémy zde obvykle nabízejí automatické zálohování, u nějž mají správci možnost systém obnovit do stavu v konkrétním čase. František Samohýl k tomuto tématu říká: “Zkušenosti z nasazování ERP systémů ukazují, že je naprostá nutnost mít velice dobře promyšlený a zpracovaný plán obnovy (tzv. Recovery plán) pro zabezpečení kontinuity funkčnosti. Služby provozované v cloud prostředí jsou sice samy o sobě vytvářeny jako bezpečné, nicméně to nezabezpečuje možné selhání lidského faktoru (např. chybu na straně účetní apod.) Zákazníkům při implementacích proto pomáháme s těmito nastaveními, tak aby se problémům předcházelo.”  

Legislativa a compliance: GDPR, NIS2 a další požadavky 

ERP systém musí splňovat také legislativní požadavky, zejména v oblasti ochrany osobních údajů a kybernetické bezpečnosti. Typickým příkladem je GDPR, které klade důraz na ochranu osobních dat, jejich dohledatelnost a možnost řízeného přístupu. 

S nástupem směrnice NIS2 se navíc zvyšují nároky na řízení kybernetických rizik u širšího okruhu organizací. ERP systém v takovém případě hraje důležitou roli – musí umožnit kontrolu přístupů, auditní stopu i rychlou reakci na incidenty. František v této souvislosti dodává: “Naše zkušenost je taková, že zákazníci v rámci výběrového řízení na dodavatele řešení podnikového systému požadují vyplnění dotazníku s řadou otázek týkajících se připravenosti nás, jako implementátorů, splňovat podmínky těchto norem a zákonů. Jde o jasně cílené otázky, jak máme zabezpečené vlastní systémy, jak plníme normy ISO atd.” 

Cloud versus on-premise z pohledu bezpečnosti 

Otázka, zda je cloud dostatečně bezpečný, zaznívá při implementaci ERP velmi často. Z praxe však vyplývá, že velcí poskytovatelé cloudových služeb investují do bezpečnosti výrazně více prostředků, než si může dovolit většina firem ve vlastním on-premise prostředí. 

Cloudová ERP řešení přinášejí následující výhody: 

• nepřetržitý monitoring a reakci na bezpečnostní hrozby,
• pravidelné bezpečnostní aktualizace bez nutnosti zásahu uživatele,
• certifikace podle mezinárodních standardů (ISO, SOC apod.). 

Zodpovědnost za bezpečnost je zde sdílená – zatímco Microsoft zajišťuje bezpečnost platformy, tak zákazník odpovídá za správné nastavení přístupů, procesů a chování uživatelů. 

Jak bezpečnost řeší Microsoft Dynamics 365 Business Central? 

Při vývoji systému Business Central je bezpečnost jednou z hlavních priorit. Řešení proto obsahuje širokou řadu ochranných prvků a nástrojů, které kromě kybernetické bezpečnosti zajišťují i soulad se související legislativou. 

Konkrétně se jedná například o následující nástroje: 

• Role a oprávnění: Business Central využívá nejen uživatelské role, ale také předdefinované sady oprávnění a řízení přístupu k jednotlivým souborům. Správci systému tak mohou přesně řídit přístupy nejen k celému systému, ale také jednotlivým jeho částem i dokumentům.
• Oddělená prostředí: Business Central umožňuje řešení rozdělit na dvě či více oddělených prostředí. Ta mohou sloužit jak pro ostrý provoz, tak i pro testování nových funkcionalit. V případě narušení systému pak omezují rozsah dat, ke kterým se útočník může dostat. 
• Automatické aktualizace a bezpečnostní záplaty: Cloudové verze Business Central jsou pravidelně aktualizovány přímo společností Microsoft, a to bez nutnosti zásahu uživatele. Vždy tak máte jistotu, že pracujete s aktuální verzí, která pokrývá odhalené bezpečnostní mezery. 
• Integrace s bezpečnostním ekosystémem Microsoft 365: Business Central je chráněn systémem Microsoft Defender, který je společný pro celou platformu Microsoft 365. Napříč celým vaším řešením tak můžete aplikovat sjednocenou bezpečnostní politiku.
• Legislativa a compliance: Business Central splňuje náročné legislativní požadavky zahrnující nejen mezinárodní standardy (ISO, SOC aj.), ale také národní standardy různých zemí. Pro více informací navštivte tento odkaz. 

Pomůžeme vám zabezpečit váš systém 

Bezpečnost ERP systému není překážkou, ale předpokladem jeho úspěšného využívání. Správně nastavené role, kvalitní ochrana dat a soulad s legislativou výrazně snižují rizika a zvyšují důvěru uživatelů v nové řešení. 

Pokud implementaci ERP systému teprve plánujete nebo chcete prověřit bezpečnost stávajícího řešení, obraťte se na naše specialisty. Pomůžeme vám nastavit váš podnikový systém tak, aby byl nejenom funkční, ale zároveň i dlouhodobě bezpečný.