Implementácia ERP systému, diel 6: Bezpečnosť

Bezpečnosť ako neoddeliteľná súčasť implementácie 

Zabezpečenie ERP systému nie je jednorazová úloha, ktorú si firmy rýchlo odškrtnú a pokračujú ďalej. V skutočnosti ide o komplexný beh na dlhú trať, na ktorý sa vydáte už v analytickej fáze a bude vás potom sprevádzať počas celého životného cyklu riešenia. Aj z tohto dôvodu sa oplatí si najprv povedať, čo sa vlastne skrýva pod pomerne širokým pojmom „zabezpečenie ERP systému“. 

Všeobecne je potrebné na bezpečnosť nazerať z viacerých rovín: 

• riadenie prístupov používateľov,
• ochrana dát pred zneužitím či stratou,
• prevádzková bezpečnosť systému,
• plnenie legislatívnych a regulačných požiadaviek (compliance). 

Podcenenie ktorejkoľvek z týchto oblastí môže viesť nielen k technickým problémom, ale aj k finančným sankciám alebo poškodeniu reputácie firmy. Preto sa na ne pozrime bližšie. 

Riadenie prístupov a rolí: kto vidí čo a prečo 

Jedným zo základných pilierov bezpečného ERP je správne nastavené riadenie používateľských oprávnení. Základným pravidlom je, aby sa každý používateľ dostal iba k tým dátam, ktoré nutne potrebuje na svoju prácu. Ak dôjde k narušeniu niektorého z používateľských účtov, útočníci sa vďaka tomu nedostanú k citlivým dátam či administrátorským nástrojom. 

Moderné ERP systémy tu pracujú s princípom používateľských rolí, vďaka ktorým možno presne definovať úroveň prístupu pre jednotlivé skupiny používateľov. S tým sa spája aj druhá dobrá rada – citlivé operácie (napr. schvaľovanie platieb či zmeny účtovného nastavenia) sa oplatí zámerne rozdeliť medzi viac rolí. Samozrejmosťou je potom pravidelná revízia týchto rolí a nevyhnutné úpravy, napr. včasné zrušenie prístupov u odchádzajúcich zamestnancov, prípadne plynulé zmeny rolí v závislosti od povahy práce. 

V systéme Microsoft Dynamics 365 Business Central slúži na pohodlné riadenie identít nástroj Microsoft Entra ID (predtým Azure Active Directory), v ktorom môžu správcovia prehľadne riadiť nielen používateľské práva, ale tiež spravovať nastavenie hesiel či zapínať viacfaktorové overovanie naprieč celým ekosystémom Microsoft 365. František Samohýl k tomuto dodáva: „Pri reálnom nasadzovaní, prípadne upgrade z predchádzajúcich verzií, máme tú skúsenosť, že sa často stretávame s problémom koordinácie nastavovania prístupov tak používateľských, ako aj administrátorských. V nových verziách Business Central je to striktne oddelené a je potrebné na to myslieť. Niektoré funkcionality Business Central nie je možné nastavovať s partnerskými admin účtami tak ako v minulosti, a je potrebné mať priamo administrátorský účet v prostredí zákazníka.“ 

Ochrana dát: šifrovanie a záloha 

Najcennejším obsahom ERP systému sú samotné dáta, od účtovných výkazov cez údaje zamestnancov až po obchodné zmluvy a osobné informácie o zákazníkoch. Táto ochrana zvyčajne prebieha hneď na niekoľkých úrovniach: 

Šifrovanie dát 

Pri moderných ERP systémoch je štandardom ochrana uložených dát šifrovaním, ktoré pre potenciálneho útočníka robí dáta nečitateľnými bez zodpovedajúceho kryptografického kľúča. Najmä pri cloudových ERP systémoch potom šifrovanie chráni dáta aj pri ich prenose medzi cloudom a koncovým používateľom. František dodáva: „V cloudových verziách podnikových systémov od Microsoftu (D365 Business Central, F&SCM) je toto striktne vykonávané priamo prevádzkovateľom systému (Microsoft cloud), čo znamená, že tu nie je žiadna možnosť ovplyvňovania zvonku.“ 

Záloha a obnova dát 

Nemenej dôležité je aj zálohovanie dát, vďaka ktorému ich je možné v prípade straty alebo poškodenia rýchlo obnoviť bez väčších dopadov na prevádzku spoločnosti. ERP systémy tu obvykle ponúkajú automatické zálohovanie, pri ktorom majú správcovia možnosť systém obnoviť do stavu v konkrétnom čase. František Samohýl k tejto téme hovorí: „Skúsenosti z nasadzovania ERP systémov ukazujú, že je absolútnou nutnosťou mať veľmi dobre premyslený a spracovaný plán obnovy (tzv. Recovery plán) na zabezpečenie kontinuity funkčnosti. Služby prevádzkované v cloudovom prostredí sú síce samy osebe vytvárané ako bezpečné, avšak to nezabezpečuje možné zlyhanie ľudského faktora (napr. chybu na strane účtovníčky a pod.). Zákazníkom pri implementáciách preto pomáhame s týmito nastaveniami, aby sa problémom predchádzalo.“ 

Legislatíva a compliance: GDPR, NIS2 a ďalšie požiadavky 

ERP systém musí spĺňať aj legislatívne požiadavky, najmä v oblasti ochrany osobných údajov a kybernetickej bezpečnosti. Typickým príkladom je GDPR, ktoré kladie dôraz na ochranu osobných dát, ich dohľadateľnosť a možnosť riadeného prístupu. 

S nástupom smernice NIS2 sa navyše zvyšujú nároky na riadenie kybernetických rizík u širšieho okruhu organizácií. ERP systém v takom prípade hrá dôležitú úlohu – musí umožniť kontrolu prístupov, auditnú stopu a rýchlu reakciu na incidenty. František v tejto súvislosti dodáva: „Naša skúsenosť je taká, že zákazníci v rámci výberového konania na dodávateľa riešenia podnikového systému požadujú vyplnenie dotazníka s radou otázok týkajúcich sa pripravenosti nás, ako implementátorov, spĺňať podmienky týchto noriem a zákonov. Ide o jasne cielené otázky, ako máme zabezpečené vlastné systémy, ako plníme normy ISO atď.“ 

Cloud verzus on-premise z pohľadu bezpečnosti 

Otázka, či je cloud dostatočne bezpečný, zaznieva pri implementácii ERP veľmi často. Z praxe však vyplýva, že veľkí poskytovatelia cloudových služieb investujú do bezpečnosti výrazne viac prostriedkov, než si môže dovoliť väčšina firiem vo vlastnom on-premise prostredí. 

Cloudové ERP riešenia prinášajú nasledujúce výhody: 

• nepretržité monitorovanie a reakciu na bezpečnostné hrozby,
• pravidelné bezpečnostné aktualizácie bez nutnosti zásahu používateľa,
• certifikácie podľa medzinárodných štandardov (ISO, SOC a pod.). 

Zodpovednosť za bezpečnosť je tu zdieľaná – zatiaľ čo Microsoft zabezpečuje bezpečnosť platformy, zákazník zodpovedá za správne nastavenie prístupov, procesov a správania používateľov. 

Ako bezpečnosť rieši Microsoft Dynamics 365 Business Central? 

Pri vývoji systému Business Central je bezpečnosť jednou z hlavných priorít. Riešenie preto obsahuje široké spektrum ochranných prvkov a nástrojov, ktoré okrem kybernetickej bezpečnosti zabezpečujú aj súlad s príslušnou legislatívou. 

Konkrétne ide napríklad o nasledujúce nástroje: 

• Role a oprávnenia: Business Central využíva nielen používateľské role, ale aj preddefinované sady oprávnení a riadenie prístupu k jednotlivým súborom. Správcovia systému tak môžu presne riadiť prístupy nielen k celému systému, ale aj jednotlivým jeho častiam i dokumentom.
• Oddelené prostredia: Business Central umožňuje riešenie rozdeliť na dve či viac oddelených prostredí. Tie môžu slúžiť ako pre ostrú prevádzku, tak aj pre testovanie nových funkcionalít. V prípade narušenia systému potom obmedzujú rozsah dát, ku ktorým sa útočník môže dostať.
• Automatické aktualizácie a bezpečnostné záplaty: Cloudové verzie Business Central sú pravidelne aktualizované priamo spoločnosťou Microsoft, a to bez nutnosti zásahu používateľa. Vždy tak máte istotu, že pracujete s aktuálnou verziou, ktorá pokrýva odhalené bezpečnostné medzery.
• Integrácia s bezpečnostným ekosystémom Microsoft 365: Business Central je chránený systémom Microsoft Defender, ktorý je spoločný pre celú platformu Microsoft 365. Naprieč celým vašim riešením tak môžete aplikovať zjednotenú bezpečnostnú politiku.
• Legislatíva a compliance: Business Central spĺňa náročné legislatívne požiadavky zahŕňajúce nielen medzinárodné štandardy (ISO, SOC aj.), ale aj národné štandardy rôznych krajín. Pre viac informácií navštívte tento odkaz. 

Pomôžeme vám zabezpečiť váš systém 

Bezpečnosť ERP systému nie je prekážkou, ale predpokladom jeho úspešného využívania. Správne nastavené role, kvalitná ochrana dát a súlad s legislatívou výrazne znižujú riziká a zvyšujú dôveru používateľov v nové riešenie. 

Ak implementáciu ERP systému ešte len plánujete alebo chcete preveriť bezpečnosť existujúceho riešenia, obráťte sa na našich špecialistov. Pomôžeme vám nastaviť váš podnikový systém tak, aby bol nielen funkčný, ale zároveň aj dlhodobo bezpečný.