Dữ liệu là mạch máu của các doanh nghiệp hiện đại nên luôn cần được bảo mật cao. Vì vậy, nếu anh/chị đang quản lý một hệ thống ERP hoặc dự định triển khai một hệ thống, thì việc hiểu những thách thức bảo mật ERP là điều cần thiết. Bài viết dưới đây Grantthornton sẽ cùng anh/chị tìm hiểu về những thông tin liên quan đến tính bảo mật ERP.
Nội Dung Trang
Bảo mật tại chỗ so với Cloud ERP
Đầu tiên, điều quan trọng cần biết là việc di chuyển ERP từ hệ thống tại chỗ sang đám mây. Điều này dẫn đến những thay đổi trong các thách thức bảo mật ERP chính và các giải pháp của chúng. Sự khác biệt giữa triển khai ERP tại chỗ và đám mây là khi thực hiện di chuyển sẽ gây ra sự thay đổi quan trọng.
Ngoài ra, khi anh/chị sử dụng nền tảng đám mây, các biện pháp bảo mật tốt nhất cần được phân phối giữa nhà cung cấp đám mây và doanh nghiệp, mỗi bên đảm nhận các trách nhiệm cụ thể. Mặc dù điều này làm tăng thêm sự phức tạp về quản trị, nhưng phần lớn lại là một điều tốt vì ít doanh nghiệp có tài nguyên hoặc năng lực CNTT để cung cấp mức độ bảo mật cao, trên quy mô lớn.
Những thách thức về bảo mật ERP
Tội phạm mạng hiện nay khai thác lỗ hổng công nghệ, lỗ hổng con người hoặc cả hai để thực hiện hành vi phạm pháp. Tuy nhiên, đa số những vụ đánh cắp thông tin lớn đều xuất phát từ lỗ hổng con người. Các nhân viên vô tình hoặc cố ý làm rò rỉ thông tin ra ngoài gây ra hậu quả nghiêm trọng đến doanh nghiệp, thậm chí là phá sản.
Do đó, danh sách các thách thức bảo mật ERP hàng đầu này đề cập đến các biện pháp kiểm soát bảo mật quan trọng và quy trình kinh doanh được thiết kế để ngăn chặn lỗi của con người. Tuy nhiên, khi thực hiện được điều trên thì chúng có thể dẫn đến vi phạm bảo mật ERP:
Thách thức 1: Quản trị kém. Trong nhiều tổ chức, các chính sách lưu giữ và truy cập dữ liệu và bảo mật không được ghi chép đầy đủ và tệ hơn là không được thực thi đầy đủ.
Thách thức 2: Quản lý truy cập. Về mặt kỹ thuật, thì đây chỉ là một vấn đề nhỏ của quản trị kém nhưng lại thách thức an ninh mạng lớn nhất. Quản lý truy cập kém sẽ là “đòn chí mạng” ảnh hưởng đến tính bảo mật của toàn hệ thống.
Thách thức 3: Tiếp xúc. Các tổ chức cảm thấy rằng việc triển khai ERP dựa trên đám mây vốn đã kém an toàn hơn. Điều này là do nhận thức không chính xác rằng một người có nhiều quyền kiểm soát bảo mật hơn với triển khai tại chỗ thay vì triển khai trên đám mây.
Thách thức 4: Chia sẻ trách nhiệm. Phân bổ các vai trò và trách nhiệm về an ninh mạng trong doanh nghiệp của anh/chị và nhà cung cấp ERP trên nền tảng đám mây. Đây được xem là bổ sung một khía cạnh hoàn toàn mới cho chiến lược và quản trị bảo mật. Ví dụ: Nhà cung cấp ERP thường triển khai các biện pháp kiểm soát bảo mật đám mây cho cơ sở hạ tầng và ứng dụng của mình. Trong khi đó, các khách hàng của họ phải triển khai các biện pháp kiểm soát đối với bất kỳ dữ liệu nào vào và ra khỏi hệ thống ERP và cho các nhân viên sử dụng hệ thống đó.
Thách thức 5: Môi trường đe dọa thay đổi nhanh chóng. Những kẻ tấn công liên tục phát triển, nhưng hầu hết các tổ chức đều có hệ thống phòng thủ tĩnh.
Thách thức 6: Tùy chỉnh. Khi anh/chị mở rộng khả năng ERP cốt lõi của nhà cung cấp, bất kể chúng nằm ở đâu, chắc chắn cũng sẽ phát sinh ra một số lỗ hổng mới.
Thách thức 7: Cập nhật phần mềm thường xuyên. Mặc dù tuyệt vời về chất lượng và khả năng sử dụng của công nghệ hiện đại, nhưng việc phát hành phần mềm thường xuyên có thể gây ra những thách thức về an ninh mạng trong các hệ thống ERP tại chỗ. Vì tính khó cập nhật khiến hệ thống ERP của anh/chị dễ bị tấn công.
Thách thức 8: Các vectơ tấn công liên tục. Các tác nhân độc hại liên tục tận dụng các góc độ tấn công mới. Họ đang phát triển chiến lược và kế hoạch trò chơi của mình để đi trước một bước. Khi một bề mặt tấn công trở nên nổi tiếng, chúng sẽ chuyển sang một vectơ mới. Các nhà cung cấp phần mềm cần liên tục thích ứng và phát triển để theo kịp.
Thực tiễn tốt nhất để đánh bại các thách thức bảo mật ERP
Qua những chia sẻ trên, chúng ta cũng đã biết được những thách thức lớn mà bảo mật ERP đang gặp phải. Vậy, có cách nào để khắc phục được những thách thức trên?
Quản trị hợp lý, bao gồm chiến lược bảo mật ERP toàn diện được thông báo bằng phân tích dựa trên rủi ro kinh doanh là một phương pháp hay nhất. Các nhà quản lý công nghệ trong nhiều doanh nghiệp vừa và nhỏ cho rằng “quản trị” là một cái gì đó rất phức tạp chỉ áp dụng cho các doanh nghiệp lớn.
Nhưng cốt lõi của quản trị thì lại rất đơn giản và chúng có thể áp dụng cho các công ty thuộc mọi quy mô. Với hệ thống ERP, mọi vấn đề trở nên đơn giản vì anh/chị có thể kiểm soát hoạt động doanh nghiệp của mình một cách dễ dàng. Hãy xem xét từng thực tiễn tốt nhất về bảo mật ERP sau đây như các yếu tố của một kế hoạch bảo mật ERP được quản lý tốt, được ghi chép đầy đủ.
ERP ghi lại chiến lược của doanh nghiệp: Chỉ với một chiến lược bảo mật ERP toàn diện được ghi chép đầy đủ, anh/chị mới có thể giải quyết tất cả tám thách thức về bảo mật ERP. Phương pháp này trực tiếp giải quyết thách thức “quản trị kém”.
Biết các tính năng và hạn chế của ERP: ERP là một ứng dụng phần mềm phức tạp. Khả năng tận dụng các tính năng tích hợp sẵn của ERP để bảo vệ tổ chức và dữ liệu của doanh nghiệp trước các vectơ độc hại là rất quan trọng.
Kiểm toán của bên thứ ba: Xem xét định kỳ tình hình bảo mật của nhà cung cấp ERP của anh/chị và các biện pháp kiểm soát giảm thiểu rủi ro là cách thực hành tốt nhất. Điều này cũng sẽ cho biết nhà cung cấp sẵn sàng đầu tư bao nhiêu vào việc bảo mật dữ liệu của anh/chị.
Hạn chế/quản lý: Cho dù ERP của anh/chị là tại chỗ hay trên đám mây, anh/chị cần kiểm soát cẩn thận quyền truy cập vào dữ liệu nhạy cảm. Quản trị hiệu quả sẽ cho anh/chị biết thông tin nào có giá trị nhất đối với doanh nghiệp (và do đó có nguy cơ rủi ro cao nhất) và ai sẽ có quyền truy cập vào thông tin đó.
Quyền truy cập dựa trên vai trò với các kiểm soát quyền chi tiết là điều cần thiết để triển khai. Nguyên tắc tối thiểu hóa quyền hạn khi cấp quyền truy cập ERP cho nhân viên của anh/chị. Nói cách khác, nhân viên chỉ nên có quyền truy cập vào thông tin và chức năng họ cần cho công việc của họ. Phần còn lại nên nằm ngoài quyền truy cập của họ.
Mật khẩu: Nhân viên luôn cố gắng bảo vệ tốt mật khẩu của mình và đây là điều rất tốt. Tuy nhiên, một mật khẩu duy nhất là không đủ để bảo vệ thông tin nhạy cảm nhất của công ty anh/chị. Trong trường hợp này MFA (xác thực đa yếu tố) phải là bắt buộc.
Cập nhật phần mềm: Nếu anh/chị có ERP tại chỗ, hãy giải quyết thách thức số 7 bằng cách cài đặt các bản cập nhật ngay lập tức. Vì khi trì hoãn những nâng cấp đó sẽ khiến hệ thống của anh/chị dễ bị tấn công. Điều này cũng giúp giải quyết thách thức tiếp xúc. Nếu anh/chị sử dụng ERP đám mây, anh/chị có thể không phải lo lắng về điều này vì nhà cung cấp của anh/chị có thể tự động cập nhật phần mềm của anh/chị.
Tích hợp: Điều này đảm bảo rằng các công nghệ mã hóa mới nhất đang được tận dụng để việc truyền dữ liệu giữa hệ thống ERP của anh/chị và bất kỳ ứng dụng nào anh/chị tích hợp. Phương pháp này hạn chế khả năng tiếp xúc của anh/chị bằng cách bịt các lỗ hổng mà kẻ tấn công có thể sử dụng để giành quyền truy cập. Đồng thời, giúp bảo vệ các tùy chỉnh, đảm bảo an ninh khi anh/chị kết nối công nghệ mới với hệ thống ERP của mình.
Theo dõi thông tin tình báo về mối đe dọa: Cần có sự cảnh giác liên tục để giữ an toàn cho ERP của anh/chị trước thách thức số 5. Hãy giao cho ai đó chịu trách nhiệm cập nhật bối cảnh mối đe dọa không ngừng phát triển, nếu có thể, hãy sử dụng “thông tin về mối đe dọa” từ các công ty an ninh mạng lớn. Chia sẻ thông tin về mối đe dọa được coi là một phương pháp hay nhất hiện nay.
Đào tạo nhận thức về an ninh mạng: Đào tạo về an ninh mạng cho tất cả nhân viên là điều cần thiết. Lý do rất đơn giản vì lỗi của con người là lỗ hổng mạng hàng đầu và con người được đào tạo bài bản sẽ mắc ít lỗi hơn. Với sự ra đời của các cuộc tấn công lừa đảo và phân phối phần mềm độc hại, tất cả người dùng ERP trong doanh nghiệp của anh/chị cần phải cảnh giác cao.
Cách NetSuite bảo mật ERP
NetSuite ERP đã chạy trên đám mây kể từ khi thành lập vào năm 1998 và công ty rất coi trọng vấn đề bảo mật ERP trong vận hành và ứng dụng. Vì vậy, công ty đã tạo ra nhiều lớp bảo vệ cho doanh nghiệp của anh/chị. Điều này bao gồm mã hóa và kiểm soát truy cập dựa trên vai trò, xác thực đa yếu tố và xác thực dựa trên mã thông báo cho các ứng dụng.
NetSuite sử dụng tính năng giám sát liên tục và được điều hành bởi một nhóm bảo mật chuyên nghiệp, tận tâm. NetSuite được kiểm toán bên ngoài theo tiêu chuẩn SOC 1 loại II và SOC 2 loại II (SSAE18 và ISAE 3402) trong khi vẫn duy trì tuân thủ ISO 27001 và 27018, PCI DSS và PA-DSS.
Không có gì trong cuộc sống được đảm bảo, nhưng việc sử dụng các biện pháp bảo mật ERP tốt nhất này sẽ giúp thông tin doanh nghiệp của anh/chị được bảo mật một cách triệt để hơn. Với những chia sẻ trên, Grantthornton mong rằng đã mang đến cho anh/chị những kiến thức hữu ích về bảo mật ERP. Nếu anh/chị quan tâm đến vấn đề này, đừng quên liên hệ với Grantthornton qua hotline: +84 8 3910 9100 để được tư vấn chi tiết hơn nhé!
