如何應(yīng)對(duì)針對(duì)erp系統(tǒng)的五項(xiàng)主要威脅

1、.：.；如何應(yīng)對(duì)針對(duì)ERP系統(tǒng)的五項(xiàng)主要要挾確保ERP 系統(tǒng)在普通缺點(diǎn)方面的平安性是一件復(fù)雜的任務(wù)，這些缺點(diǎn)有貧乏的接入控制、欺詐性買(mǎi)賣(mài)以及不測(cè)停機(jī)時(shí)間等，要從組建一支具有適當(dāng)技藝的團(tuán)隊(duì)開(kāi)場(chǎng)著手進(jìn)展這項(xiàng)任務(wù)。中心主題平安與嚴(yán)密：平安管理，戰(zhàn)略與流程關(guān)鍵問(wèn)題企業(yè)將如何管理電子商務(wù)配置任務(wù)中的風(fēng)險(xiǎn)？關(guān)鍵現(xiàn)實(shí)ERP 平安性對(duì)于企業(yè)而言必不可少，緣由如下：ERP 系統(tǒng)比大多數(shù)其它產(chǎn)品涵蓋了更多的業(yè)務(wù)功能，后者使相關(guān)的平安性及控制問(wèn)題變得更加復(fù)雜。ERP 處置事務(wù)很復(fù)雜、并且運(yùn)用了帶有成千上萬(wàn)可配置的表格與大量替選品方面的信息。ERP 的集成式特性添加了一些問(wèn)題，即針對(duì)一種ERP 模塊做出的設(shè)計(jì)決議能夠

2、會(huì)導(dǎo)致在其它地方出現(xiàn)沒(méi)有估計(jì)到的問(wèn)題。許多IT 部門(mén)職能(包括平安性)都是在運(yùn)用內(nèi)部執(zhí)行的，這就使職責(zé)分別出現(xiàn)了困難。ERP (企業(yè)資源規(guī)劃)系統(tǒng)影響著許多流程、人員與技術(shù)，最初它們是加強(qiáng)型會(huì)計(jì)分類(lèi)帳，而如今那些用來(lái)處置購(gòu)買(mǎi)、庫(kù)存、銷(xiāo)售、分銷(xiāo)、消費(fèi)制造及人力資源等方面的模塊都能與中心財(cái)務(wù)系統(tǒng)集成在一同。一項(xiàng)ERP 系統(tǒng)帶給了一家機(jī)構(gòu)一個(gè)全新的環(huán)境，它影響到了它所接觸到的每個(gè)業(yè)務(wù)流程的平安性與數(shù)據(jù)完好性。各公司在繼續(xù)擴(kuò)展其規(guī)劃系統(tǒng)，以便納入CM(供應(yīng)鏈管理)、CRM(客戶(hù)關(guān)系管理)與實(shí)時(shí)企業(yè)(RTE)概念等，隨著它們的這些動(dòng)作的進(jìn)展，針對(duì)ERP 的平安性方面的擔(dān)憂(yōu)與不確定性以及潛在的ERP 平安

3、風(fēng)險(xiǎn)等問(wèn)題都在添加。要處理這些ERP 平安方面的擔(dān)憂(yōu)能夠會(huì)證明是一場(chǎng)斗爭(zhēng)，這些系統(tǒng)是被快速配置的、擁有復(fù)雜的平安性要求、蒙受著資源方面的限制、并需求手工密集型管理等。各公司經(jīng)常無(wú)法確定如何對(duì)平安性進(jìn)展監(jiān)控，這就給類(lèi)似消費(fèi)制造這樣的行業(yè)提供了一個(gè)推遲對(duì)IT 平安進(jìn)展投資的借口。在這些部門(mén)當(dāng)中ERP 平安能夠在于它們首先想處理IT 系統(tǒng)平安問(wèn)題，那些在平安性問(wèn)題方面還屬新手的機(jī)構(gòu)將面臨極大的困難，由于它們?nèi)狈τ脕?lái)支持IT 平安的資源與文化。Gartner 確定了五種主要的ERP 平安擔(dān)憂(yōu)：1. 在接入控制、用戶(hù)簡(jiǎn)況及用戶(hù)規(guī)定方面疲弱的管理。ERP 系統(tǒng)內(nèi)部出現(xiàn)了問(wèn)題，這既涉及到于多家廠(chǎng)商那里的ER

4、P 系統(tǒng)也有非ERP 系統(tǒng)，平安授權(quán)與用戶(hù)問(wèn)題在ERP 系統(tǒng)內(nèi)部變得復(fù)雜起來(lái)。例如，一項(xiàng)包含了ERP 系統(tǒng)中的用戶(hù)接入這方面的政策能夠也包含了一些具有潛在沖突的政策、程序與條件，而后者要應(yīng)對(duì)各種不同的角色、系統(tǒng)與事務(wù)處置等。各公司必需面臨兩項(xiàng)挑戰(zhàn)：創(chuàng)建一個(gè)流程用來(lái)在需求之時(shí)建立、復(fù)審并改動(dòng)用戶(hù)權(quán)限簡(jiǎn)況，并確保這些變化得到了正確的授權(quán)決議應(yīng)如何管理用戶(hù)帳戶(hù)、設(shè)置密碼控制、并設(shè)計(jì)好如何針對(duì)“超級(jí)用戶(hù)帳戶(hù)行開(kāi)工程：配置一項(xiàng)用戶(hù)規(guī)定流程，這種流程把用戶(hù)管理任務(wù)流特性與其它業(yè)務(wù)流程(如雇傭自動(dòng)化獲得與電子郵件核準(zhǔn)等)以及基于義務(wù)的與基于政策的接入管理等聯(lián)絡(luò)了起來(lái)?？赡苓€包括密碼管理與同步效力等內(nèi)容。2.

5、 未能檢測(cè)到反常的事務(wù)處置執(zhí)行。許多欺詐性行為一開(kāi)場(chǎng)都是由內(nèi)部人員發(fā)起的，它們利用了該系統(tǒng)內(nèi)對(duì)用戶(hù)的接入答應(yīng)這方面管理上的疲弱、并利用了在跟蹤違規(guī)事務(wù)處置接入方面審計(jì)與控制力度的缺乏這種弱點(diǎn)。需求實(shí)時(shí)監(jiān)控與授權(quán)來(lái)發(fā)現(xiàn)普通ERP 系統(tǒng)中每天處置的10000 宗買(mǎi)賣(mài)中的欺詐行為，控制每項(xiàng)關(guān)鍵性買(mǎi)賣(mài)這一點(diǎn)極為重要，授權(quán)核對(duì)這一點(diǎn)對(duì)于確定能否對(duì)這些職責(zé)進(jìn)展了適當(dāng)?shù)姆謩e非常關(guān)鍵。各公司必需配置授權(quán)引擎與封鎖系統(tǒng)，一旦超出了允許的誤差范圍時(shí)封鎖系統(tǒng)就需求鎖閉買(mǎi)賣(mài)執(zhí)行，例如在發(fā)票確認(rèn)期間就是如此，應(yīng)在抽查方面封鎖隨機(jī)發(fā)票。需求事務(wù)處置授權(quán)引擎，以便跟蹤、核對(duì)及評(píng)審用戶(hù)的行為并把其與用戶(hù)被答應(yīng)執(zhí)行的行為進(jìn)展對(duì)

6、比。行開(kāi)工程：配置一項(xiàng)事務(wù)處置事件管理流程，以便建立起針對(duì)欺詐與誤用方面的實(shí)時(shí)監(jiān)控要求(見(jiàn)一文)。3. 破壞掉存儲(chǔ)在ERP 系統(tǒng)中數(shù)據(jù)的性與完好性這種風(fēng)險(xiǎn)。ERP 系統(tǒng)面臨著傳統(tǒng)的數(shù)據(jù)平安與人力平安等方面的問(wèn)題，社會(huì)設(shè)計(jì)活動(dòng)能夠會(huì)哄騙一名責(zé)任人同意對(duì)關(guān)鍵信息的接入。ERP 集成建立在只能一次捕獲數(shù)據(jù)這種原那么的根底之上，例如一筆購(gòu)買(mǎi)訂單捕獲了貨物供應(yīng)方面一切必需的信息，它允許貨物接納、發(fā)票接納與支付等都建立在這種最初的數(shù)據(jù)捕獲根底之上。在人力資源當(dāng)中，審計(jì)員必需評(píng)價(jià)這些針對(duì)敏感數(shù)據(jù)的平安接入限制能否足夠，這些系統(tǒng)必需與那些管理著個(gè)人數(shù)據(jù)的存儲(chǔ)與傳輸方面的法律法規(guī)相一致，各公司必需確保一切源數(shù)據(jù)

7、都由被授權(quán)人進(jìn)展了預(yù)備，這些被授權(quán)人在其權(quán)限與被分別的職責(zé)-發(fā)起與同意互不重疊-內(nèi)發(fā)揚(yáng)作用。行開(kāi)工程：配置一項(xiàng)數(shù)據(jù)管理流程，以便按照業(yè)務(wù)關(guān)鍵程度對(duì)數(shù)據(jù)進(jìn)展分類(lèi)、并對(duì)那些被存儲(chǔ)在數(shù)據(jù)庫(kù)中數(shù)據(jù)的映射與任務(wù)流進(jìn)展控制，這就需求對(duì)事務(wù)處置與數(shù)據(jù)制圖學(xué)進(jìn)展開(kāi)發(fā)與維護(hù)。4. 停機(jī)時(shí)間問(wèn)題。ERP 系統(tǒng)需求在業(yè)務(wù)銜接性方面維持可用性，各公司必需預(yù)備存儲(chǔ)該系統(tǒng)與數(shù)據(jù)、并減少對(duì)系統(tǒng)停機(jī)時(shí)間、維護(hù)及管理等方面的需求，這些特殊問(wèn)題包括為幕后任務(wù)安排時(shí)間；分配任務(wù)量并對(duì)其堅(jiān)持平衡；監(jiān)控ERP 運(yùn)用、數(shù)據(jù)庫(kù)、操作系統(tǒng)與網(wǎng)絡(luò)的性能；生成告警與適宜于客戶(hù)的性能極限；以及分析例外情況等。必需對(duì)效力級(jí)-即呼應(yīng)時(shí)間與系統(tǒng)停機(jī)時(shí)間

8、-進(jìn)展管理，多年以來(lái)ERP 系統(tǒng)在處置呼應(yīng)時(shí)間與停機(jī)時(shí)間方面只需一些很弱的工具，曾經(jīng)出現(xiàn)了第三方軟件工具市場(chǎng)，這將協(xié)助 各機(jī)構(gòu)擴(kuò)展ERP 系統(tǒng)的根本性能管理功能。行開(kāi)工程：配置自動(dòng)化ERP 性能與可用性管理，從而提高效力級(jí)并在出現(xiàn)缺點(diǎn)的時(shí)候加快呼應(yīng)速度。5. 檢查在分別任責(zé)及審計(jì)ERP 系統(tǒng)這方面的要求。職責(zé)的分別對(duì)于個(gè)人來(lái)說(shuō)要在一個(gè)機(jī)構(gòu)里充任好幾種角色這一點(diǎn)是很不尋常的，但這能夠會(huì)導(dǎo)致違背規(guī)章制度，大多數(shù)內(nèi)部控制的系統(tǒng)都依賴(lài)于在針對(duì)這些資產(chǎn)的職責(zé)維護(hù)方面把對(duì)這些資產(chǎn)的運(yùn)用與責(zé)任分開(kāi)處置，一個(gè)人不應(yīng)該同時(shí)承當(dāng)這兩項(xiàng)任務(wù)，那些應(yīng)被分別的職責(zé)包括：事務(wù)處置啟動(dòng)(購(gòu)買(mǎi)或布置)事務(wù)處置授權(quán)事務(wù)處置記錄

9、資產(chǎn)保管物理固定資產(chǎn)及債務(wù)與記錄相吻合例如，授權(quán)一名人員提出一家新廠(chǎng)商并輸入發(fā)票這種行為就違背了職責(zé)分別原那么，美國(guó)的Sarbanes-Oxley Act 是用來(lái)防止公司欺詐行為而制定的，根據(jù)這項(xiàng)法律的規(guī)定這種類(lèi)型的違規(guī)就是一項(xiàng)欺詐并且必需得到嚴(yán)密監(jiān)控與控制。那些擔(dān)任采購(gòu)、布置、記錄及維護(hù)固定資產(chǎn)的人員只應(yīng)對(duì)這些職能中的某一種擔(dān)任，它們對(duì)其指定義務(wù)以外的職能沒(méi)有系統(tǒng)運(yùn)用權(quán)。那些對(duì)處置與固定資產(chǎn)有關(guān)事項(xiàng)擔(dān)任的人員不應(yīng)維護(hù)固定資產(chǎn)的主文件或者甚至都不能對(duì)這種文件進(jìn)展更新。在一個(gè)手工系統(tǒng)當(dāng)中，職責(zé)分別能夠是按行政方式予以強(qiáng)迫執(zhí)行的，這是建立在對(duì)任務(wù)職責(zé)進(jìn)展分配的根底上的。在一個(gè)自動(dòng)化系統(tǒng)當(dāng)中，職責(zé)分

10、別通常是經(jīng)過(guò)運(yùn)用自動(dòng)化接入限制來(lái)執(zhí)行的，這種限制比如有授權(quán)引擎與審計(jì)系統(tǒng)等。審計(jì)ERP 系統(tǒng)設(shè)計(jì)應(yīng)盡能夠早地在ERP 配置當(dāng)中執(zhí)行系統(tǒng)設(shè)計(jì)審計(jì)，但當(dāng)資源被延伸以及最后期限縮短之時(shí)，審計(jì)問(wèn)題能夠就被忽略了，不幸的是這能夠會(huì)導(dǎo)致出現(xiàn)一個(gè)不太平安的系統(tǒng)，這種系統(tǒng)的控制設(shè)計(jì)得很弱。一旦配置了這種系統(tǒng)的話(huà)，審計(jì)就需求一項(xiàng)基于風(fēng)險(xiǎn)的系統(tǒng)復(fù)審，這種復(fù)審遭到設(shè)計(jì)控制中的詳細(xì)核對(duì)表與實(shí)際閱歷的支持，這類(lèi)復(fù)審不僅會(huì)揭開(kāi)弱點(diǎn)所在、并且還會(huì)支持進(jìn)展重新設(shè)計(jì)以便提高平安級(jí)別。ERP 平安機(jī)構(gòu)必需確保ERP 配置中所涉及到的每名人員都在平安性中有一個(gè)角色：審計(jì)員、風(fēng)險(xiǎn)管理員、設(shè)計(jì)者、開(kāi)發(fā)者、模塊一切者、IT 運(yùn)營(yíng)以及IT 平安等。行開(kāi)工程：集中化政策設(shè)計(jì)與分布式配置，應(yīng)該有一個(gè)專(zhuān)門(mén)的機(jī)構(gòu)部門(mén)或人員來(lái)?yè)?dān)任開(kāi)發(fā)并管理ERP 風(fēng)險(xiǎn)管理程序，以便界定企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)與IT 運(yùn)營(yíng)風(fēng)險(xiǎn)。通常情況下這種職責(zé)是指派給首席信息平安官(CISO)擔(dān)任的，他(她)擔(dān)任彌合業(yè)務(wù)流程、ERP 戰(zhàn)略指示以及技術(shù)平安措施等之間的差距與缺陷(見(jiàn)一文)?？偨Y(jié)：針對(duì)ERP 系統(tǒng)方面的平安性無(wú)法經(jīng)