Säkra åtkomsten till affärssystemet

Säkra åtkomsten till affärssystemet

Affärssystemet innehåller ofta företagets mest känsliga information som alltid ska vara aktuell, korrekt och endast får vara åtkomlig för rätt personer. Trots det visar det sig att det ofta finns brister i säkerhetsuppsättningen gällande företags affärslösningar. Framför allt mindre företag (med färre antal användare) är extra känsliga då de också utsätts för många externa attacker, se rapport från Internet säkerhetsfirman Symantec.

Att behörighetssystemet är dåligt uppdaterat gör att det kan räcka med en hackad användare för att samtlig information i affärssystemet och att det till och med är möjligt att ändra exempelvis bankkontonummer på leverantörer.

Varje organisation bör utvärdera sina egna unika behov när det handlar om ERP-säkerhet, men det är tydligt att många företag bör göra mera och att många ERP-system är sårbara för cyberattack. Här är några tips som hjälper dig säkerställa att ditt företags affärssystem inte är en av dem.

1. Definiera vem som är ansvarig

För att säkra upp säkerheten i affärssystemet måste det finnas någon som är ytterst ansvarig för detta. Vem är det som bestämmer vilka som har åtkomst, vad ska dessa personer få göra eller se?
Den person som utses som ansvarig för säkerheten i affärssystemet bör inte bara ha ett tekniskt perspektiv utan förstå vilka användare som behöver komma åt olika funktioner i sitt arbete.
Ansvarig bör även vara den person som återkommande följer upp att behörigheterna i systemet används på det sätt som det var tänkt.

2. Bestäm en övergripande säkerhetsmodell

Vilken information sparas i affärssystemet? Hur känslig är denna information?
Börja med att definiera en övergripande säkerhetsmodell som kortfattat beskriver hur ni ser på åtkomst till data och funktioner. Genom att först definiera en övergripande säkerhetsmodell blir det enklare att senare designa de specifika delarna.

Frågor som bör besvaras av den övergripande säkerhetsmodellen är:

  • Vem är ansvarig för säkerhetsmodellen?
  • Vem ska ha åtkomst att ändra säkerhetsmodellen?
  • Vem lägger upp nya användare och tilldelar dessa behörigheter?
  • Hur ska eventuella avsteg från säkerhetsmodellen hanteras?

3. Definiera arbetsmoment

Istället för att definiera behörighet till enskilda informationselement eller enskilda åtgärder i systemet bör du börja med att lista arbetsmoment. Arbetsmomenten innehåller i sin tur krav på viss informationstillgång och åtkomst till specifika funktioner.
Den övergripande säkerhetsmodellen bör utgå från arbetsmoment och inte detaljer annars är risken stor att det blir ett lapptäcke som blir svårt att övervaka.
Givetvis kan vissa specifika funktioner kräva specifika behörigheter, så som att endast chef har behörighet att gå förbi en kreditspärr eller liknande. Men detta ärt något som säkerhetsmodellen bör kompletteras med efter att arbetsmomenten definierats.

4. Utgå från roller/grupper inte personer

Organisationer är föränderliga och framförallt i form av vilka personer som jobbar i dessa. En säkerhetsmodell bör därför utgå från roller eller grupper av användare snarare än namngivna individer. Ett tips kan definierar dessa roller/grupper av användare faktiskt gör övningen att mappa dessa roller mot befintliga individer för att säkerställa att du tänkt rätt.

5. Definiera en policy för användarna

Det är inte ovanligt att användare "lånar" varandras lösenord för att komma förbi problem med behörigheter i systemet. Genom att definiera en policy för vad som förväntas av användarna och att de ansvarar för vad som görs med deras inloggning kan detta säkras upp.

6. Tänk utanför affärssystemsboxen

Ett affärssystem körs sällan som ett helt isolerat system. Det finns ofta integrationer och kopplingar till andra system som låter användare komma åt information.
När du definierar säkerhetsmodellen i affärssystemet bör du även lista och reflektera över om den information du säkrar i själva affärssystemet ändå blir tillgänglig för användare i exempelvis externa analys/rapportsystem eller om de även kommer åt att ändra informationen från ett integrerat CRM system.

7. Repetera

Ett väldigt vanligt problem med säkerhetsmodeller är att de över tiden raseras. Enskilda undantag från säkerhetsmodellen kanske tvingats fram av en organisationsförändring och sedan kopierats vidare. Efter att systemet levt ett antal år kan den ursprungliga säkerhetsmodellen blivit totalt sönderhackad.
En rekommendation är därför att definiera en årlig översyn av behörighetssystemet. Denna översyn bör göras av den person som satts som ansvarig och på något sätt dokumenteras.

Dela denna artikel

Om Effekt

Vi arbetar som experter på affärstödjande IT. Genom effektiv användning av Microsoft Dynamics 365 Business Central (tidigare Dynamics NAV) och Bizzjoiner kundportal skapar vi moderna affärslösningar som har dina kunder i fokus. Sedan starten 1997 har vi genomfört över tusen projekt tillsammans med fler än 100 kunder.

Vill du veta mer?

Skriv in dina kontaktuppgifter nedan så kontaktar vi dig.

CAPTCHA
Denna fråga är för att testa om du är en människa och används för att hindra spam.