Samsung_01A2021 Samsung_01A2021 Samsung_01A2021 Advertisement

Bezpečnosť dát v systémoch CRM a ERP

0

Systémy CRM a ERP sú pre mnohé firmy kľúčové pre ich vnútorné fungovanie a komunikáciu so zákazníkmi. Či už sú využívané pre potreby organizácie len okrajovo alebo pre komplexnú správu workflows, v každom prípade obsahujú citlivé informácie, ktoré by mali byť chránené.

Dáta o zákazníkoch, kontakty, interné procesy, financie a dôležité dokumenty totiž patria medzi najvýznamnejšie know-how, ktoré firmy majú. Spomeňme si napríklad na nedávny prípad úniku dát v českom T-Mobile. Niekoľko kliknutí stačilo, aby zamestnanec z interných systémov dostal databázu zákazníkov a vyniesol ju z firmy. Okrem pokuty vo výške 3,6 milióna Kč (viac ako 130 000 €) musel tiež mobilný operátor čeliť negatívnej medializácii a spätnej väzby od zákazníkov. Podobné incidenty nie sú vo svete ničím výnimočným a bohužiaľ ide o situácie, ktorým by šlo v predstihu zabrániť.

Výzvou u CRM a ERP systémov je fakt, že sa jedná o relatívne špecifické riešenia. Niektoré fungujú spôsobom tučného klienta (aplikácie), ktorú zamestnanci spúšťajú na svojich počítačoch. Iné sú dostupné prostredníctvom webovej služby v podstate kdekoľvek. K tomu existuje tiež niekoľko produktov, integrovaných do Outlooku alebo webového prehliadača. Možností interakcie zamestnanca s konkrétnym systémom je teda veľké množstvo a zabezpečenie systémov konkrétnej firmy vždy záleží na tom, aké technológie využíva.

Ako teda systémy CRM a ERP ochrániť?

Pokiaľ ide o všeobecné nastavenia pre tieto systémy, vhodným prvým krokom je obmedzenie prístupu konkrétnych zamestnancov. Časté je povolenie dostupnosti CRM/ERP systémov pre akcie len z internej siete a poskytnutie VPN pripojenia pre prípady služobnej cesty alebo práce z domu. Vďaka tomuto nastaveniu nebude prípadný útočník zvonku vôbec vedieť, že takéto systémy používate a znížite možnosť ich zneužitia.

S vyššie uvedeným nastavení súvisí tiež prístup neautorizovaného zariadenia do siete. Ak umožníte zamestnancom pristupovať do firemného prostredia zvonku, je dôležité tiež rozlíšiť z akého zariadenia sa do neho dostanú. Asi by ste nevideli radi stav, kedy vďaka prístupu z internej kaviarne alebo zavírovaného počítača musíte zrazu odstraňovať šíriaci sa malware vo svojej sieti. Pomôcť v tejto oblasti môže špecifické nastavenie sieťových prvkov, prípadne implementácie protokolu na zabezpečenie siete (802.1x).

Čo sa týka samotnej ochrany citlivých dát, najväčšie riziko pre ne väčšinou predstavuje zamestnanec, ktorý s nimi bežne pracuje. K incidentu môže totiž dôjsť veľmi jednoducho. Omyl pri písaní emailovej adresy alebo ich zaslanie nezabezpečeným kanálom a citlivé informácie sú von z firmy. Osvedčené riešenie v tomto smere je kombinácia opatrení:

  • Zavedenie interných smerníc.
  • Pravidelné školenia zamestnancov na to, ako bezpečne pracovať s citlivými dátami.
  • Softwarové nástroje pre audit práce s dokumentami a systémami vám dajú prvotné informácie o toku dát vo vašej organizácii a možných rizikách.
  • Implementácia Data Loss Prevention (DLP) riešenia, ktoré umožní nastavené pravidlá vynútiť v praxi. Obmedzí napríklad zaslanie zoznamu zákazníkov z CRM na súkromný webmail alebo uloženie na nechránený flash disk.

Nezabudnite taktiež na ďalšie oblasti bezpečnosti. Pre prevenciu pred externými útočníkmi a hackermi je dôležité používať antivírus, firewall, IPS a iné prvky sieťovej bezpečnosti. Z hľadiska zabezpečenia by mali firmy pravidelne aktualizovať všetky dôležité komponenty spolu s používanými CRM a ERP systémami. Nové verzie totiž často reagujú na nové bezpečnostné hrozby a problémy.

V závislosti od konkrétnej implementácie CRM alebo ERP systému je dobré sa pozrieť tiež na ich špecifické nastavenia. Definícia pohľadov, do ktorých má používateľ prístup alebo z ktorých môže exportovať dáta tvorí dobrý základ riadenia prístupu. Ich vhodné doplnenie DLP systémom následne dovolí zamerať sa na ďalšie oblasti prístupových práv (napríklad zbieranie snímiek obrazovky) a tiež vynútiť správne workflow v rámci systémov. Napríklad to, že reporty a štatistiky sa aj interne môžu dostať len k managementu a finančné transakcie musia prejsť procesom viacnásobného schválenia.

Zabezpečenie v kocke

V skratke, firmy by mali myslieť pri zabezpečovaní svojich systémov hlavne na nasledovné oblasti:

  • Ochranu dát v nich. Zo všeobecných opatrení pomôžu politiky, školenia a kroky v oblasti HR, technologicky ich môžu podporiť nástroje pre audit a prevenciu pred únikom dát (DLP systémy).
  • Ochranu proti externým útočníkom. Vhodná architektúra prostredia pomôže obmedziť možnosti útočníka; antivírus, firewall a sieťové technológie podporia celkovú bezpečnosť.
  • Zabezpečenie systémov ako celku a vynútenie workflows. Správna konfigurácia systémov, ich pravidelná aktualizácia a podpora DLP systémom utvoria ďalšiu vrstvu ochrany pred zlyhaním ľudského faktoru, alebo jedného z ďalších bezpečnostných opatrení.

Systémy CRM a ERP obsahujú dôležité informácie, ktoré by si mala chrániť každá firma. Pokiaľ túto ochranu podcení, otvára dvere útočníkom a vystavuje sa riziku dopadov únikov dát v rádoch miliónov.

Matej Zachar
Project & Security Manager
Safetica Technologies s.r.o.

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať