È importante avere una buona security all’interno di ogni azienda
Si parla spesso di ERP aziendale (Enterprise Resource Planning) che è sicuramente un mezzo fondamentale per tutte le aziende, ma – sì, c’è un ma che spesso viene “dimenticato” – si parla anche abbastanza di security dell’ERP? Essa è presa in considerazione da tutti? La risposta è non proprio! Ma sottovalutare questo aspetto può provocare grandi problemi ad un’azienda.
Partiamo però dal principio, cos’è la Security ERP? La possiamo definire come la tutela dei dati aziendali armonizzata con le normative, le policy, le certificazioni che sono necessarie per gestire un’attività. Ogni normativa o procedura ha i suoi obiettivi e richiede delle azioni precise in determinati contesti in modo da non lasciare alcuna lacuna nella sicurezza. Ogni azienda ha dati sensibili come, ad esempio, dati personali o formule dei prodotti aziendali (la formula della Nutella, per esempio), costi (prezzo di acquisto delle materie prime e prezzi di vendita del prodotto finale); le informazioni peculiari che ogni azienda detiene hanno bisogno di essere protette.
Grazie all’ERP quindi abbiamo programmi sempre più complessi che consentono di amministrare le risorse e i processi aziendali sia nel loro insieme che nel dettaglio; il tutto, abbinato a una buona security, funziona come un meccanismo perfettamente oliato che fluisce senza mai incepparsi, ma che con una security poco precisa si incepperebbe all’istante.
Quindi cos’è la security? È l’insieme di tutte quelle strategie, politiche, roadmaps utili a prevenire tutto ciò che può causare danni patrimoniali e non (furti, frodi, fuga di informazioni) all’interno di un’azienda. Da qui in poi capiamo come muoverci.
Cosa succede “spesso” per mancanza di security
È importante quindi che ognuno in azienda possa far fare a ogni figura professionale solo ciò che le compete e non altre attività. Vediamo cosa può andare storto per mancanza di una corretta security; ecco alcuni esempi:
- Un capo reparto mal segregato a livello autorizzativo potrebbe visualizzare i dati relativi ad altri department oltre a quello di sua competenza provocando diffusione impropria di dati;
- Un manager mal profilato potrebbe poter approvare le sue trasferte (e relative note spese) oltre a quelle dei suoi sottoposti, ma per definizione non ci si può auto-approvare;
- Se a un magazziniere che fa ordini si lascia un’utenza che impropriamente ha anche la possibilità di fare pagamenti, potrebbe commettere una frode con grande facilità.
Per questo una corretta gestione della security è fondamentale.
Cosa fare per avere una security efficace
A tutto però c’è una soluzione (soprattutto se parliamo di mezzi informatici), quindi se prendiamo il nostro ERP di riferimento, lo sottoponiamo a un’analisi di conformità tra ruoli e mansioni, capiremo rapidamente lo stato di salute del sistema e successivamente come “aggiustare” la situazione.
Un metodo efficace è quello del Quick Scan, con il quale si procede a vedere lo stato del sistema in modo di essere anche preparati in caso di audit. Successivamente al cliente viene proposto un Remediation plan, ossia, alcune correttive che si possono applicare per migliorare la situazione e quindi per risolvere le inefficienze.
Sicuramente i consigli/metodi che Horsa consiglia per avere una security efficace sono:
- A livello sistemistico, non dare agli utenti finali transazioni che non dovrebbero avere al fine di tenere al sicuro i dati aziendali onde evitare manomissioni e/o cancellazione di dati, fraudolente o errate che siano;
- Utilizzare delle best practices nella profilazione per essere sempre in linea con gli standard;
- Attivare Log e trace nei sistemi in modo da trovare le cause delle anomalie e “sconfiggerle” nel minor tempo possibile.
È possibile quindi analizzare ogni tipo di gestionale ERP e fornire strategie efficaci per garantire ai clienti il meccanismo oliato che si meritano.
In conclusione, avere una buona security è la base per avere credibilità.
Appurato quindi che i dati inseriti nei vari ERP sono da considerare particolarmente sensibili è fondamentale che questi dati vengano visti dal minor numero di persone possibili e che vi sia un tracciamento rispetto a chi ha consultato/modificato l’informazione.
Per questo con una corretta gestione della security ERP si assicura che un utente non possa commettere frodi o errori che comporterebbero un danno economico o di immagine all’azienda.
