Ratkaisut

et
en
fi
ru

Uutisvirta:

Takaisin

Liiketoimintaohjelmisto ja turvallisuus

Lähde: Äri-IT syksy 2024

Teksti: Janar Randväli, BCS Iteran tietoturvapäällikkö

 

Suojaamalla yritystietoja varmistat kilpailuedun, pienennät riskejä ja vahvistat suhteita asiakkaisiin ja kumppaneihin.

 

Liiketoimintaohjelmisto ja turvallisuus

Törmään usein asiakkaiden toiveeseen, että kaikki tehtäisiin turvallisesti, eikä heidän tarvitsisi huolehtia. Ihmisenä ymmärrän tämän toiveen, mutta työtehtävänä se on toimimaton vaatimus ja sen ymmärtäminen yhdenmukaisesti on erittäin vaikeaa varsinkin, jos toinen osapuoli edustaa tilaajaa ja toinen toimeenpanijaa.

Enterprise resource planning- eli ERP-järjestelmät ovat usein yrityksen johtamisen selkäranka, joka integroi erilaisia liiketoimintaprosesseja ja tietoja yhteen järjestelmään. Tällaisten järjestelmien turvallisuus on erittäin tärkeää, sillä ne sisältävät arkaluonteisia tietoja, jotka ovat kriittisiä yrityksen toiminnan ja kilpailukyvyn kannalta. On tärkeää miettiä jo ERP-järjestelmää suunniteltaessa turvallisuutta, arvioida riskejä ja valita sopivat turvatoimet.

Olen iloinen siitä, että yhä useammat yritykset kuitenkin pohtivat ja käsittelevät ERP-ratkaisuja hankkiessaan myös turvallisuuskysymyksiä, eli ratkaisun vaatimuksissa on odotuksia, jotka järjestelmän on täytettävä.

 

Aiheen käsittely heti alussa

  1. Turvallisuuden luomisen on alettava suunnitteluvaiheessa. Ensimmäinen ja erittäin tärkeä vaihe on ymmärtää, millainen tietojoukko ERP-ratkaisuun integroidaan ja miten sitä aletaan käyttää. Erilaiset tietotyypit antavat meille suunnan niiden turvallisuustason määrittämisessä. Esimerkiksi henkilötietojen käsittelyyn sovelletaan tiukkoja lakisääteisiä vaatimuksia, mutta yhtä tärkeää on myös liikesalaisuuksien, kuten yrittäjän taloudelliset tiedot ja tietotaitoa koskevat tekniset tiedot, suojeleminen kilpailijoilta.
  2. Toisena tärkeänä vaiheena on ymmärrettävä, millaisia riskejä ERP-ratkaisun käyttöönotossa voi esiintyä. Oikea aika aloittaa riskikartoitus on liiketoimintaprosessien analyysin aikana, sillä niin tärkeät turvallisuusvaatimukset voidaan ottaa huomioon jo toiminnallisia vaatimuksia kuvailtaessa. Tällainen lähestymistapa auttaa valitsemaan tarkemmin sekä itse ratkaisun että kehityskumppanin.
  3. Kolmas tärkeä vaihe on tekniikan eli ratkaisun valinta. Nykyään on mahdollista valita ERP-ratkaisuja, joilla on hyvin erilainen toiminnallisuus ja käyttöliittymä. Hinta on varmasti yksi ratkaisevista tekijöistä ratkaisua valittaessa, mutta hinnan lisäksi on huomioitava myös joukko toiminnallisia kriteerejä liiketoiminnan tarpeiden kattamiseksi ja siihen liittyvien riskien vähentämiseksi.

 

Mihin kiinnittää huomiota?

Seuraavassa on vain pieni mutta tärkeä valikoima aiheita, joihin on kiinnitettävä huomiota ratkaisua valittaessa:

  • Yksi ensisijainen indikaattori on sertifioinnin (ISO27001, HIPAA jne.) olemassaolo. Jos sitä ei ole, turvallisuuden arvioimista on ehdottomasti jatkettava.
  • Sopiiko pilvipohjainen ratkaisu vai onko välttämätöntä, että koko tietojoukko ratkaisuineen sijaitsee hallitsemassasi palvelintilassa?
  • Millaisia käyttöoikeuksien ja pääsynvalvonnan toimintoja ratkaisu tukee ja onko se yhteensopiva jo käytössä olevan ympäristön kanssa ja onko se riittävän turvallinen (esimerkiksi Microsoft Entra ID Single Sign-On -palvelun tuki)?
  • Millaisia turvatoimintoja tietojen suojaamiseen voidaan käyttää? Aineistosta riippuen esimerkiksi yksityiskohtainen käyttäjäoikeuksien hallinta, tietojen salaaminen ja erilaisten tietoturvatapahtumien seuranta ovat tärkeitä.
  • Millainen on ratkaisun haavoittuvuuksien hallintakyky ja voidaanko säännölliset päivitykset tehdä helposti?
  • Tekeekö ehdotettu ratkaisu automaattisia varmuuskopioita? Mitkä ovat varmuuskopioinnin lisävaihtoehdot? Varmuuskopioinnin suhteen on mietittävä järjestelmien palautusnopeuden lisäksi myös sitä, miten ne voidaan suojata kiristyshaittaongelmahyökkäyksiltä ja tietovarkauksilta.
  • Voidaanko tärkeät tapahtumat kirjata järjestelmään ja asettaa automaattiset hälytykset poikkeavuuksien tai kiellettyjen toimintojen havaitsemiseksi?

 

Tärkeimmät tekijät onnistuneen ERP-kumppanin valinnassa

Edellä mainittu luettelo ei missään tapauksessa ole täydellinen, ja yksityiskohtainen riskianalyysi helpottaa huomattavasti turvallisuusvaatimusten valintaa.

Neljäs ja yhtä tärkeä vaihe on löytää sopiva ERP-ratkaisun kehityskumppani, joka on valmis olemaan mukana kaikissa vaiheissa toiminnallisten vaatimusten kuvailemisesta järjestelmän myöhempään ylläpitoon. Yksi hyvän kumppanin löytämisen ja asiakassuhteiden ylläpitämisen edellytyksistä on, että kotiläksyt tehdään kunnolla (myös kolmessa ensimmäisessä vaiheessa), ja pystytään välittämään liiketoiminnan tarpeet ja yleiskatsaus riskeistä ja turvallisuusvaatimuksista. Kumppani voi auttaa merkittävästi näiden toiminnallisten vaatimusten kuvailemisessa, mutta asiakkaan on tehtävä päätökset.

Yhteistyökumppanin valinnassa ja turvallisuuden arvioinnissa on tärkeää ottaa huomioon useita keskeisiä kriteerejä. Tarkistakaa, onko yhteistyökumppanilla turvallisuussertifikaatti (kuten ISO 27001) ja vastaako se GDPR:n vaatimuksia. Arvioikaa sen turvatoimet, häiriönhallinta, pääsynvalvonta ja ohjelmistopäivitysten hallintakäytännöt. Kokemukset, maine ja asiakaspalaute ovat parhaat indikaattorit ja antavat käsityksen yhteistyökumppanin luotettavuudesta.

Nämä ovat näennäisesti yksinkertaisia kysymyksiä, joihin vastaaminen on usein odotettua vaikeampaa, mutta erittäin tärkeää. Vastausten pohtiminen auttaa ymmärtämään liiketoiminnan tarpeita, löytämään sopivan kehityskumppanin ja säilyttämään sekä fokuksen että hyvät asiakassuhteet.

ERP

Arvonlisäveron korotus 25,5 prosenttiin Business Centralissa

Eelmine uudis
Ota yhteyttä!