Majandustarkvara ja turvalisus

Allikas: Äri-IT Sügis 2024

Autor: Janar Randväli, BCS Itera infoturbejuht

Kaitstes ettevõtte andmeid tagad konkurentsieelise, vähendad riske ning tugevdad suhteid klientide ja partneritega.

Puutun sageli kokku klientide sooviga, et kõik oleks turvaliselt tehtud ja nad ei peaks muretsema. Inimesena saan ma sellisest soovist aru, aga töökäsuna on see mittefunktsionaalne nõue ja sellest ühtemoodi aru saada on väga keeruline, eriti, kui üks pool esindab tellijat ja teine teostajat.

Enterprise resource planning’u ehk ERP-süsteemid on sageli ettevõtte juhtimise tuiksooned, integreerides mitmesuguseid äriprotsesse ja andmeid ühtsesse süsteemi. Selliste süsteemide turvalisus on äärmiselt oluline, kuna need sisaldavad tundlikku teavet, mis on kriitiline ettevõtte toimimise ja konkurentsivõime seisukohast. Oluline on juba ERP-süsteemi planeerimisel mõelda turvalisusele, hinnata riske ning valida sobivad turvameetmed.

Hea meel on, et üha enam ettevõtteid siiski mõtleb ja tegeleb ERP-lahenduste hankimisel ka turvalisuse teemadega ehk lahenduse nõuetes on ootused, millele süsteem peab vastama.

Tegele teemaga kohe alguses

1. Turvalisuse loomine peab algama planeerimisfaasis. Esimene ja väga oluline samm on mõista, milline andmestik ERP-lahendusse integreeritakse ja kuidas seda kasutama hakatakse. Erinevad andmete liigid annavad meile kätte suuna nende turvataseme määramisel. Näiteks isikuandmete töötlemisel kehtivad ranged regulatiivsed nõuded, kuid vähemtähtis ei ole oma konkurentide eest kaitsta ka ärisaladusi, nagu ettevõtja finantsteave ja oskusteavet puudutav tehniline teave.
2. Teise olulise sammuna on vajalik mõista, millised riskid võivad avalduda ERP-lahenduse kasutuselevõtuga. Õige aeg riskide kaardistamisega algust teha on äriprotsesside analüüsi käigus, sest nii on võimalik oluliste turvanõuetega arvestada juba funktsionaalsete nõuete kirjeldamisel. Selline lähenemisviis aitab täpsemini valida nii lahendust ennast kui ka arenduspartnerit.
3. Kolmas oluline samm on tehnoloogia ehk lahenduse valik. Tänapäeval on võimalik valida väga erineva funktsionaalsuse ja kasutajaliidesega ERP-lahendusi. Lahenduse valikul on kindlasti üheks määravaks teguriks hind, aga lisaks hinnale tuleb kaaluda ka mitmeid funktsionaalseid kriteeriumeid, et need kataks ärivajaduse ja aitaks maandada kaasnevaid riske.

Millele tähelepanu pöörata?

Järgnev on vaid väike, kuid oluline valik teemasid, millele peab lahenduse valimisel tähelepanu pöörama:

• Turvalisus. Üks esmane indikaator on sertifikaadi (ISO27001, HIPAA jne) olemasolu. Kui seda ei ole, tuleks kindlasti turvalisust täiendavalt hinnata.
• Kas sobib pilvepõhine lahendus või on vajalik, et kogu andmestik koos lahendusega paikneks sinu kontrollitavas serveriruumis?
• Milliseid kasutajaõiguste ja juurdepääsu kontrolli funktsioone lahendus toetab ning kas see ühildub juba kasutuses oleva keskkonnaga ja on piisavalt turvaline (näiteks Microsoft Entra ID Single-Sign-On teenuse tugi)?
• Milliseid turvafunktsioone saab kasutada andmete kaitseks? Sõltuvalt andmestikust on oluline näiteks granuleeritud kasutajaõiguste haldus, andmete krüpteerimine ja erinevate turvasündmuste seire.
• Milline on lahenduse haavatavuste halduse võimekus ja kas regulaarseid uuendusi saab teha lihtsalt?
• Kas pakutav lahendus teeb automaatseid varukoopiaid, millised on täiendavad varundusvõimalused? Varundamise puhul peab lisaks süsteemide taastamise kiirusele mõtlema ka, kuidas neid saab kaitsta lunavara rünnete ja andmevarguste eest.
• Kas olulisi sündmuseid on võimalik süsteemis logima panna ning seadistada automaatsed häired anomaaliate või keelatud tegevuste tuvastamiseks?

Olulisemad tegurid eduka ERP-lahenduse arenduspartneri valikul

Ülaltoodud loetelu ei ole kindlasti täielik ning turvanõuete valiku tegemise teeb oluliselt lihtsamaks detailne riskianalüüs.

Neljas ning mitte vähem oluline samm on leida endale sobiv ERP-lahenduse arenduspartner, kes on valmis sinuga igas etapis kaasas olema, alates funktsionaalsete nõuete kirjeldamisest kuni hilisema süsteemi hooldamiseni. Hea partneri leidmise ning kliendisuhete hoidmise üks eeldus on, et kodutöö tehakse ära korralikult (sh esimeses kolmes sammus) ja suudetakse anda edasi ärivajadused ning ülevaade kaasnevatest riskidest ja turvanõuetest. Partner võib olulisel määral aidata nende funktsionaalsete nõuete kirjeldamisel, kuid otsused peab tegema klient.

Partneri valimisel ja turvalisuse hindamisel on oluline arvestada mitme võtmekriteeriumiga. Kontrollige, kas partner omab turvasertifikaate (näiteks ISO27001) ning vastavust GDPRile. Hinnake tema turvameetmeid, intsidendihaldust, juurdepääsukontrolle ja tarkvarauuenduste haldamise tavasid. Kogemused, maine ja kliendi tagasiside on parimad indikaatorid ning annavad aimu partneri usaldusväärsusest.

Need on pealtnäha lihtsad küsimused, millele vastamine on sageli oodatust keerulisem, kuid äärmiselt vajalik. Vastuste läbimõtlemine aitab mõista ärivajadusi, leida sobiv arenduspartner ja hoida nii fookust kui ka häid kliendisuhteid.