ERP-Security: Probleme bei Remote-Arbeit vermeiden
Die Sicherheit der Unternehmenssysteme zu gewährleisten, ist Aufgabe aller. Aufgrund des vermehrten Remote-Zugriffs sollten CIOs die ERP-Sicherheit überdenken.
Da Millionen Menschen aktuell im Home-Office arbeiten, und überlastete IT-Teams sich neuen technischen Herausforderungen stellen, ruft dies auch Hacker auf den Plan.
Es ist daher mehr denn je entscheidend, wachsam zu sein, was ERP-Security und Unternehmenssicherheit betrifft.
Die Rolle der Unternehmensführung
Aus der aktuellen Situation rund um die Coronavirus-/COVID-19-Pandemie lassen sich viele Lehren ziehen.
Was die Informationssicherheit betrifft, so sollte ein Sicherheitsteam, dem sowohl der CIO als auch der CISO angehören, die Informationsrisiken und ihre Beaufsichtigung überprüfen und sich mit ihnen befassen. Sie sollten Sicherheitsrichtlinien in Handbüchern und entsprechenden Dokumenten aktualisieren, damit diese Möglichkeiten zur Sicherung des ERP-Systems und anderer Systeme des Unternehmens abdecken.
Die Rolle des IT-Security-Teams
IT- und Sicherheitsteams und die Verantwortlichen für das ERP-System müssen die neuen Herausforderungen verstehen, die die Coronavirus-/COVID-19-Pandemie mit sich bringt.
Es ist herausfordernd genug, die üblichen ERP-Schwachstellen zu beheben. Jetzt müssen die Technologieteams der Unternehmen neue ERP-Sicherheitsrisiken bewältigen. Der Ausbruch der COVID-19-Pandemie hat zahlreiche Schwachstellen offengelegt. Ausgangspunkt sind eine neue Remote-Belegschaft, die sich weitgehend der Kontrolle der IT-Abteilung entzieht, und Hacker, die aggressiv nach Wegen suchen, in Netzwerke einzudringen und Mitarbeiter zu betrügen.
Die Remote-Mitarbeiter haben eine erweiterte Angriffsfläche geschaffen, die eine der bisher größten Sicherheitsbedrohungen darstellen. Hinzu kommt die weit verbreitete, durch eine Pandemie hervorgerufene Ablenkung der Benutzer – und das erforderliche Tempo der IT-Sicherheitsteams, neue Probleme zu bewältigen – was die Sicherheitsprobleme der Telearbeit noch verschärft.
Als Teil der Aufrechterhaltung der Sicherheit der ERP-Umgebung während der COVID-19-Pandemie sollten IT-Teams weiterhin Schwachstellen- und Penetrationstests durchführen. Sie sollten die Schwachstellen finden und diese nach Möglichkeit beheben. Während dieses Prozesses oder durch eine andere Evaluierung können sie auch ERP-zentrierte Sicherheitsverbesserungen ermitteln, einschließlich solcher, die mit Benutzerauthentifizierung, Lieferantenmanagement, Sicherheitsprotokollierung, Überwachung und Alarmierung zusammenhängen.
Benutzerschulung während des Lockdowns
Die Verhinderung von Sicherheitsverletzungen erfordert auch, dass IT-Sicherheitsteams Maßnahmen ergreifen, um sicherzustellen, dass die kritischen ERP-Assets der Organisation während dieser Zeit nicht gefährdet sind. Dies erfordert eine Schulung der Benutzer.
Wenn möglich, sollte die Geschäftsleitung oder die Personalabteilung die ERP-Sicherheitsrichtlinien und andere wichtige Policies mitteilen. Diese Kommunikation könnte in Form von Newslettern, E-Mail-Erinnerungen oder Online-Mitarbeitertreffen erfolgen. Auf diese Weise erhalten sie mehr Aufmerksamkeit und werden besser aufgenommen, als wenn sie von IT- oder Sicherheitsteams stammen, wie es oft der Fall ist.
Hier sind drei Möglichkeiten, das Sicherheitsbewusstsein der Mitarbeiter zu steigern.
1. Mitarbeiter zur Überprüfung der Richtlinien ermutigen
Innerhalb von Mitteilungen an die Mitarbeiter kann eine Führungskraft – sei sie aus der Geschäftsleitung oder der Personalabteilung – die kritischen Teile der Unternehmensrichtlinien hervorheben und mitteilen, wo Benutzer sie finden können, zum Beispiel in entsprechenden Dokumenten.
Diese sollten unter anderem folgende Punkte enthalten:
- Akzeptable Nutzung der Systeme, das heißt, was erwartet wird und was erlaubt ist;
- Authentifizierung, insbesondere im Zusammenhang mit vorhandenen Multifaktorkontrollen;
- Erwerb und Veräußerung von Computern, insbesondere im Zusammenhang mit dem Kauf und der Einrichtung neuer Computer sowie dem Verkauf oder der Entsorgung alter Computer;
- Datensicherungen, insbesondere im Zusammenhang mit der Speicherung von Daten in sicheren, vom Unternehmen unterstützten Bereichen und nicht wahllos auf PCs oder in privaten File-Sharing-Anwendungen in der Cloud;
- E-Mail-Sicherheit, insbesondere im Zusammenhang mit der Vermischung von persönlichen und geschäftlichen E-Mails;
- Verschlüsselung, insbesondere im Zusammenhang mit der vollständigen Festplattenverschlüsselung auf Laptops sowie der Verschlüsselung von Telefonen und Tablets;
- Passwörter, insbesondere im Zusammenhang mit Komplexität und Passwort-Sharing;
- Softwareinstallation und -nutzung, das heißt was erlaubt ist und was nicht; und,
- VPN-Konnektivität, einschließlich persönlicher VPN-Software, die für Datensicherheitszwecke verwendet wird.
Es ist auch eine gute Idee, die Benutzer an den Incident-Response-Plan der Organisation – zumindest auf Führungsebene – zu erinnern. Die designierte Führungskraft kann Bedrohungen erklären und erläutern, was einen Vorfall ausmacht. Diese Führungskraft kann die Mitarbeiter auch dazu auffordern, alles Merkwürdige zu melden, was sich auf ihren Systemen abspielt. Diese Bemühungen sollten Teil Ihres bestehenden Sensibilisierungs- und Schulungsprogramms sein.
2. Benutzer dazu anhalten, Software aktuell zu halten
Wer über die Unternehmenssicherheit im Zusammenhang mit den Auswirkungen von COVID-19 kommuniziert, sollte auch die Mitarbeiter ermutigen, Software-Updates zu installieren, wenn sie dazu aufgefordert werden. Dazu gehören nicht nur Windows- und macOS-Updates, sondern auch solche, die Software von Drittanbietern wie Adobe, Google und Zoom betreffen.
Anwender sollten ihre vom Unternehmen ausgegebenen Computer und ihre persönlichen Geräte aktualisieren. Sie sollten ihre mobilen Apps aktualisieren und auch ihre Telefone und Tablets mit den neuesten Android- und iOS-Updates aktualisieren, wenn sie dazu aufgefordert werden. Die Führungskräfte sollten diese Praktiken in klaren und einfachen Worten kommunizieren und regelmäßig Erinnerungen senden, um die Wahrscheinlichkeit der Nutzerakzeptanz zu erhöhen.
3. Neue Richtlinien – wo nötig – dokumentieren
Es gibt großartige Online-Ressourcen, in denen ein ERP-Administrator oder ein Mitglied des Informationssicherheitsteams Vorlagen für Sicherheitsrichtlinien herunterladen kann. Wichtig ist, alle Elemente einer guten Security Policy anzusprechen und sie auf der Grundlage der aktuellsten Bewertung des Informationsrisikos an die spezifischen Bedürfnisse der Organisation anzupassen.
Natürlich müssen die Führungskräfte alle neuen Richtlinien den Benutzern mitteilen.
Diese Empfehlungen konzentrieren sich auf zwei Dinge, um zum Schutz Ihrer ERP-Umgebung beizutragen. Erstens überprüft das zuständige Sicherheitsteam die Erwartungen an die Benutzer der Organisation – was zu tun und was nicht zu tun ist. Die Benutzer sollten die meisten dieser Anforderungen bereits verstanden haben. Allerdings hat die Coronavirus-/COVID-19-Pandemie fast alle Facetten des Lebens durcheinander gebracht, und es ist von entscheidender Bedeutung, die Benutzer an bewährte Sicherheitsverfahren zu erinnern.
Zweitens machen die Führungskräfte die Benutzer zum Teil des Informationssicherheitsteams. Ein wirksames Sicherheitsprogramm beruht auf dem proaktiven Engagement der Benutzer.