Image
8.5.2019 0 Comments

Trh riešení ERP smeruje do cloudu

Cloudové riešenia ERP majú veľký potenciál na zvýšenie výkonnosti a efektívnosti vynakladaných prostriedkov na prevádzku aplikácií, ktoré podporujú plnenie podnikateľských cieľov. No firmy si musia byť vedomé súvisiacich rizík, ktoré takéto riešenia prinášajú. Treba preto prijať nevyhnutné kroky, alokovať zdroje a zabezpečiť svoje cloudové riešenia ERP a údaje, ktoré sú spracúvané v cloudových aplikáciách.

Firmy využívajú systémy ERP na spracovanie veľkého rozsahu údajov, automatizáciu nákupných procesov, riadenie financií či účtovníctvo. Dosiahnutie vyššej úrovne automatizácie, spracovávanie veľkého objemu dát a udržiavanie bezpečnostných štandardov v ich spracovaní znamená vynaložiť značný objem prostriedkov do hardvéru, softvéru, konzultačných a implementačných služieb aj školení zamestnancov, ktorí zabezpečujú funkčnosť celého riešenia. Navyše v dynamicky sa vyvíjajúcom prostredí môže prísť k zmenám, ktorým sa firma a prevádzka on-premise systémov musí prispôsobiť. Niekedy firmy s ohľadom na rozsah pokrytých oblastí biznisu a spracúvaných dát potrebujú budovať komplexné dátové centrá. Veľa CEOCFO sa v tomto momente prikloní k rozhodnutiu využiť cloudové dátové centrá alebo cloudové riešenia ERP.

Cloudové riešenie ERP má v porovnaní s implementáciou ERP na vlastných zariadeniach viacero výhod.

Výkon - medzi najčastejšie uvádzané výhody patrí práve výkon a kapacita na spracovanie a analýzu veľkých objemov dát a historických údajov (napr. o vývoji obchodných transakcií, predajov a pod.), ktoré sú následne využiteľné na kvalifikované rozhodnutia, personalizovanie ponúk pre klientov atď.

Dostupnosť – cloudové ERP je dostupné bez časových a geografických obmedzení a v súčasnosti aj bez obmedzenia prístupu z rôznych zariadení, nielen z desktopových počítačov, ale aj zo smartfónov a tabletov. Pre firmy nie je problém presunúť sa na nové trhy bez nutnosti riešiť dostupnosť systému ERP.

Štandardizácia – cloudové riešenia ERP disponujú preddefinovanými šablónami, nastaveniami, postupmi spracovania a takisto nástrojmi a postupmi na riešenie bezpečnosti a ochrany pred internými a externými hrozbami, ktoré sú pripravené na použitie pre konkrétneho zákazníka. Tieto opatrenia by musel zákazník v prípade on-premise riešenia implementovať sám alebo v spolupráci s dodávateľom. V prípade, ak je spoločnosť schopná a ochotná prispôsobiť svoje pravidlá a pracovné postupy štandardom, môže dosiahnuť výrazné úspory implementačných a prevádzkových nákladov.

Flexibilita – cloudové riešenia ERP poskytujú možnosť analyzovať veľké objemy dát, vysokú dostupnosť, možnosť rýchlo presunúť výrobu, zladiť rýchlejšie dodávky s vlastnou produkciou, čo významne zvyšuje mieru flexibility vyžadovanej  zákazníkmi, ale aj firmami. Rovnako zavádzanie inovácií je oveľa flexibilnejšie. Funkcie tohto riešenia sú priebežne rozširované a firma má možnosť podľa svojej potreby využiť ďalšie nové funkcionality.

Škálovateľnosť – prispôsobenie hardvérových a softvérových parametrov aktuálnym potrebám firmy je v prostredí cloudových riešení oveľa flexibilnejšie a môže tak reflektovať rast, kapacitné aj výkonové požiadavky firmy na daný systém.

S výhodami idú ruka v ruke hrozby

Keď sa pozrieme na potenciálne výhody, nie je prekvapujúce, že trh riešení ERP smeruje ku cloudovým technológiám. V tejto súvislosti si treba uvedomiť, že s prechodom ku cloudovým systémom ERP prichádzajú aj riziká – kybernetické útoky od hackerov, ale aj od vlastných zamestnancov. Úniky dát, citlivých alebo obchodne dôležitých údajov a bezpečnostné hrozby sú pravdepodobnejšie v prípade cloudového riešenia ako pri relatívne uzatvorenom ekosystéme firmy a jej on-premise implementácii ERP.  

Podľa zistení prieskumu Cloud Threat Report 2018 až 40 % firiem pociťuje, aké ťažké je identifikovať a prijať relevantné opatrenia na pokrytie bezpečnostných incidentov v cloudovom prostredí. Až 89 % opýtaných firiem tiež predpokladá zvýšenie investícií do kybernetickej bezpečnosti. A práve bezpečnosť spracovania informácií v prostredí cloudu vyžaduje pri týchto investíciách najvyšší podiel prostriedkov.

Kedy začať pracovať na bezpečnostných opatreniach cloudového riešenia ERP

Je samozrejmé, že pri plánovaní prechodu na cloudové riešenie ERP sa firma sústredí na realizáciu  preventívnych opatrení skôr, ako sa firemné údaje a údaje zákazníkov presunú do cloudového ERP. Implementácia sa zvyčajne zameriava na funkčnosť, ktorú treba s podporou systému zabezpečiť. To platí pre všetky fázy projektu – od analýzy a dizajnu riešenia až po testovanie, kde sa projekty sústreďujú na testy funkčnosti. Až v druhom rade sa kladie dôraz na bezpečnostné aspekty. Takýto prístup býva často aj v prípade rozpočtu projektu, kde bezpečnostné aspekty predstavujú minoritný podiel. Firmy pri prechode na cloudové riešenia ERP predpokladajú, že procesy a opatrenia v oblasti bezpečnosti, ktoré sú už zabehnuté pri on-premise riešení, budú fungovať dostatočne aj v prípade cloudového riešenia. To však s vysokou pravdepodobnosťou dostatočné nebude.

V prípade cloudových riešení ERP odporúčam pristúpiť k detailnému plánovaniu, posúdeniu rizík, definovaniu opatrení a realizácii bezpečnostných aspektov riešenia oveľa skôr. Ideálne už v prípravných fázach investície. Rozhodnutie o cieľovej architektúre z hľadiska bezpečnosti systému a spracúvaných údajoch v cieľovom riešení musia byť neoddeliteľnou súčasťou plánovacieho procesu. Okrem zvyčajného dosahu – t. j. čím neskôr sa na riešení a prípadných zmenách iniciálneho konceptu začne pracovať, tým je drahšie; v prípade cloudových riešení (cloudové ERP nevynímajúc) sa firma počas neskoršieho fixovania bezpečnostných „dier“ navyše vystavuje externým a interným bezpečnostným hrozbám.

Aký rozpočet si treba vyhradiť na implementáciu cloudového ERP?

Časové hľadisko, kedy začať pracovať na bezpečnostných opatreniach cloudového riešenia ERP, je zrejmé. Aké je odporučenie vo vzťahu k rozpočtu projektu? Podľa skúseností z projektov  odporúčam alokovať 5 – 10 % implementačného rozpočtu. Firmy, ktoré potrebujú realizovať silné bezpečnostné opatrenia, predpokladajú rozpočet bližšie k 10 %. Uvedené odporúčanie je takisto v súlade s výsledkami prieskumu KPMG ERP Controls Survey 2017: Risk Is Real[1]. Tu sa zistilo, že tri štvrtiny opýtaných manažérov plánujú investovať 3 – 10 % celkových nákladov na cloudové ERP práve z dôvodu zaistenia bezpečnosti.  

Zároveň 40 % firiem plánuje definovať pre projekty rolu cloud security architect, keďže podľa prieskumu Cloud Threat Report 2018 až 90 % firiem deklarovalo, že minimálne polovica spracúvaného objemu údajov obsahuje citlivé informácie.

Bezpečnostný rámec aplikácie cloudového ERP

V akých oblastiach by mali byť realizované opatrenia? KPMG pri svojich projektoch využíva cloud ERP security framework. Cieľom je maximalizovať výhody riešenia cloudových systémov ERP so súčasnou ochranou spracúvaných citlivých údajov a zabezpečením realizovaných transakcií pred podvodom a bezpečnostnými hrozbami. Jeho súčasťou je päť hlavných prvkov:

Aplikačné kontroly (Application controls) – hlavný prvok pri riadení aplikácií je automatizácia. Z hľadiska bezpečnosti spracovania dát by malo byť čo najviac procesov a kontrolných prvkov automatizovaných. Cieľom je minimalizácia manuálnych aktivít, kde je vyššia pravdepodobnosť podvodu alebo rizika úniku citlivých dát. Cloudové ERP by malo obsahovať napríklad automatizované nákupné procesy, schvaľovanie objednávok, platby faktúr a pod. Len oprávnený schvaľovateľ by mal mať možnosť schváliť transakciu a posunúť proces spracovania do ďalších krokov. Takmer polovica opýtaných firiem v prieskume KPMG plánuje investície práve do automatizácie procesov a spracovania informácií.

Bezpečnosť aplikácie (Application security) – princípom bezpečnosti cloudových riešení ERP je rozdelenie zodpovednosti. Jedna osoba nesmie mať možnosť vykonať všetky aktivity súvisiace s transakciou. Pri vykonaní určitej transakcie sa vyžaduje rozdelenie do viacerých schvaľovacích krokov. Prípadné riziká súvisiace so spomalením realizácie celého procesu možno eliminovať prispôsobením pravidiel konkrétnej situácii a typu spracúvaných údajov. Prístup k údajom a transakciám na základe roly používateľa by mala byť samozrejmosť. Pri zmene pozície alebo roly používateľa je tak zabezpečené získanie nových oprávnení, ale zároveň strata pôvodných – neprichádza k agregácii oprávnení. Zároveň by implementácia cloudového ERP mala obsahovať kontroly a prípadné varovania alebo blokovania realizácie transakcií nad rovnakou oblasťou alebo množinou dát z rôznych miest. Podstatný aspekt pri implementácii cloudových riešení ERP je viacprvková autentifikácia (MFA - multi-factor authentication).

Kybernetická bezpečnosť a bezpečnosť dát (Cyber & data security) – s ohľadom na benefity cloudových riešení ERP sa firmy zvyknú prikloniť k ich rýchlej implementácii. Robia tak však bez náležitého posúdenia kybernetickej a dátovej bezpečnosti, čo sa im môže neskôr vrátiť v podobe incidentov alebo zvýšených nákladov. Pri plánovaní implementácie cloudového ERP odporúčame zamerať sa na opatrenia v oblasti bezpečnosti prevádzky systému, procesov a kontrolných mechanizmov z dôvodu primeranej ochrany údajov v systéme. Uvedené treba posúdiť aj vo vzťahu k prípadnému prenosu údajov a integrácii s inými aplikáciami prevádzkovanými v cloudovom alebo on-premise prostredí.

Podľa výsledkov Cloud Threat Report 2018 medzi najčastejšie aktivity a opatrenia, ktoré firmy vykonávajú na posilnenie bezpečnosti cloudového riešenia ERP, patria vzdelávanie zamestnancov a konečných používateľov systému o potenciálnych kybernetických hrozbách (realizuje 31 % opýtaných firiem), zvýšenie rozpočtu na bezpečnosť (29 %) a školenie bezpečnostného tímu o nových typoch hrozieb a najlepších spôsoboch, ako sa s nimi vyrovnať (29 %).

Bezpečnosť prevádzky (Security operations) – implementáciou cloudového riešenia ERP sa aktivity vo vzťahu k bezpečnosti prevádzky nekončia. Treba zaviesť priebežný, kontinuálny monitoring s cieľom identifikovať hrozby a odchýlky v prevádzke. Zároveň posúdiť možné dosahy na bezpečnosť,  napr. po nasadení opráv, nových funkčností a pod. Je nevyhnutné sledovať a vyhodnocovať inštaláciu aktualizácií a zlepšení, posúdiť ich dosah na prevádzkované riešenie, zhodnotiť skutočnú potrebu aplikácie aktualizácií (ak nie sú vykonané automaticky) a opráv cloudového systému ERP. Zároveň sa spätne prehodnocuje potreba prijať ďalšie bezpečnostné opatrenia, úpravu procesov podporujúcich bezpečnú prevádzku cloudového ERP a ďalších dotknutých aplikácií.

Nasledujúca schéma zobrazuje prístup k posudovaniu spôsobilosti prevádzky cloudového riešenia ERP a k identifikácii dodatočných opatrení na riadenie bezpečnostných rizík.

Administrácia a správa používateľov (User administration & governance) – keďže ku cloudovému systému ERP môžu pristupovať používatelia z rôznych geografických lokalít a s rôznymi rolami, treba zaviesť aj primerané nástroje a postupy na administráciu (prístup na základe roly používateľa) a monitorovanie prístupov používateľov k transakciám a dátam. Súčasne s administráciou používateľov je potrebné zaviesť pravidlá na nastavenie hesiel, viacprvkovú autentifikáciu. Nemenej dôležité je zapezpečiť vykonávanie auditných činností (interne/externe) na overenie správneho fungovania cloudového ERP, ale aj procesov riadenia bezpečnosti systému a administrácie používateľov.

Zhrnutie: Ako na úspešnú a bezpečnú implementáciu cloudového ERP

1. Plánujte bezpečnostné aspekty riešenia od úvodných fáz.

2. Realizujte prístupy vo viacerých úrovniach, a to aj v prípade, že by malo prísť k čiastočnému prekrytiu a duplicitám. V prípade narušenia bezpečnosti na jednej úrovni alebo oblasti biznisu sa vytvorí  predpoklad prijať adekvátne opatrenia na ďalších úrovniach spracovania.

3. Automatizujte procesy všade, kde to je možné.

4. Riešte bezpečnostné aspekty cloudového ERP v kontexte procesov celej firmy.

5. Sústavne a systematicky monitorujte a testujte procesy, bezpečnostné riziká a hrozby.

Ak vykonáte precízne uvedené aktivity, vaše šance na úspešnú identifikáciu potenciálnych hrozieb, únikov citlivých dát alebo finančných strát sa výrazne zvýšia.

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (40. časť) Príkazy git

18.06.2019 14:20

Táto časť seriálu bude stručným sumárom základných príkazov CLI, pomocou ktorých naštartujeme prácu v systéme git. Pomocou tejto jednoduchej referencie sa naučíme inicializovať prácu so systémom git a ...

ITPro

Praktická kryptológia (25. časť) Hašovacie konštrukcie

18.06.2019 14:05

V prípade, že sa rozhodneme hlbšie si naštudovať základy hašovacích algoritmov MD a SHA, určite sa stretneme s pojmami ako Merklova-Damgårdova, resp. Wide-Pipe konštrukcia. Pomocou nich sa za použitia ...

ITPro

VMware NSX L2 VPN alebo Ako si ponechať IP adresu

19.06.2019 14:01

V digitálnej dobe 21. storočia čoraz viac spoločností outsourcuje svoje IT riešenia a systémy k rôznym poskytovateľom na IT trhu ako súčasť znižovania nákladov. Aj keď v poslednom čase pozorujeme znač ...

q

Žiadne komentáre

Vyhľadávanie

SWAN_062019

Najnovšie videá