La sicurezza dell'ERP contro le minacce della criminalità informatica
Le caratteristiche di sicurezza dei moderni ERP evolvono e migliorano giorno dopo giorno. Perché allora oggi le aziende si sentono più minacciate di un tempo? La risposta va cercata in parte nella rapida accelerazione delle tecnologie digitali e cloud. Nel 2021 si contavano più di 10 miliardi di dispositivi IoT installati nel mondo. Stando alle previsioni di IDC, entro il 2025 la cifra supererà i 30 miliardi , e continuerà a crescere esponenzialmente. Molti di questi dispositivi fanno parte delle reti IIoT (Industrial Internet of Things) delle aziende, e hanno quindi la funzione di trasmettere dati a un sistema ERP centrale. Ai giorni nostri, un ERP cloud evoluto è un elemento "mission-critical" per gran parte delle aziende, proprio per la sua capacità di unificare tutte le operazioni di business in un unico sistema. Questa stessa prerogativa di base può tuttavia essere anche il suo punto debole, perché ne fa una sorta di sportello unico verso una grande quantità di informazioni cruciali.
Le sfide per la sicurezza dei moderni sistemi software e ERP
Gli approcci tradizionali alla cybersecurity stanno ormai mostrando i loro limiti. L'idea di erigere un perimetro di protezione attorno a specifici asset informatici o database, per poi limitarne e controllarne gli accessi, non è applicabile in un ecosistema connesso in cloud.
In un ambiente di ERP cloud, in cui la responsabilità della sicurezza è maggiormente condivisa con i provider del public cloud, le organizzazioni stanno ricalibrando il proprio approccio focalizzandosi meno sull'infrastruttura e più sul versante delle applicazioni, che rimane di loro competenza.
Un motivo di preoccupazione crescente è dato dagli attacchi di tipo ransomware e phishing. Con l'integrazione degli ERP in sempre più reparti, cresce fatalmente numero di utenti autorizzati ad accedere, terreno di caccia ideale per gli hacker alla ricerca di bersagli da far abboccare alla loro esca. La stessa espansione dell'integrazione operativa del sistema si traduce in un più vasto ambito e assortimento di dati preziosi contenuti nell'ERP, che diventa così un obiettivo più prezioso agli occhi dei pirati. Se poi sono presenti sistemi ERP legacy, i tentativi di estenderne l'integrazione a nuovi reparti rende spesso necessari interventi estemporanei e codice personalizzato, con il rischio di ampliare ulteriormente la potenziale superficie di attacco. In altre parole, i punti deboli si moltiplicano e si diffondono a nuove aree. Ad aggravare la situazione provvedono poi i lavoratori remoti e occasionali, che richiedono punti di accesso esterni.
Oltre a rubare e ricattare, i criminali informatici possono arrivare a bloccare completamente i sistemi essenziali e l'intera attività operativa. Alle grandi organizzazioni (specie in settori come la finanza e le assicurazioni, il manifatturiero, i servizi per le aziende e la sanità), da tempo bersaglio privilegiato degli attacchi, si sono aggiunte in misura sempre crescente le piccole e medie imprese, spesso per le loro carenza di risorse ed expertise di sicurezza.
Hai intenzione di aggiornare il tuo sistema ERP?
Consulta la nostra guida per il passaggio al software ERP basato su cloud.
Che tipi di dati ERP sono presi di mira dai criminali informatici?
Gli hacker si impadroniscono di dati di qualsiasi genere, per i motivi più diversi. Nel mondo aziendale, tuttavia, i criminali informatici mirano perlopiù a quei dati, anche dell'ERP, che possono essere monetizzati rapidamente, sia estorcendo somme di denaro all'azienda colpita, sia raggirando, o danneggiando in altro modo, i clienti o le persone fisiche indicate nei dati sottratti. Scattano a quel punto i tentativi di accedere direttamente a fondi attraverso la violazione di carte di credito o trasferimenti di denaro. Tuttavia, essendo i database finanziari e di ERP tendenzialmente tra i meglio protetti in assoluto, sono altre le tipologie di dati, più facilmente accessibili, sulle quali irrompono in genere i pirati con effetti devastanti.
Un ulteriore versante di rischio a carico delle aziende proviene non solo dal danno arrecato a utili, reputazione e clienti, ma anche dalle eventuali cause di class action che potrebbero intentare gli individui menzionati nei dati trafugati. Nei casi in cui tali dati riguardino informazioni sensibili personali, giuridiche o mediche, il danno derivante dalle controversie può assumere proporzioni irreparabili.
Le 7 principali criticità per la sicurezza dell'ERP e come risolverle
1. Software datato
I migliori provider di soluzioni ERP conducono una lotta senza quartiere contro i rischi nuovi ed emergenti per la sicurezza. Per ogni rischio individuato, un'apposita patch viene sviluppata e distribuita ai clienti. In passato alcune aziende hanno ignorato o ritardato l'implementazione di questi aggiornamenti per periodi di tempo anche lunghi, lasciando indifesi i propri sistemi. Erano in particolare gli ERP di vecchia generazione a trovarsi più esposti, per via delle numerose personalizzazioni e forzature che rendevano più problematico gestire l'implementazione delle patch.
La soluzione: Gli aggiornamenti e le patch di protezione devono essere implementati regolarmente, anche a costo di interruzioni e tempi di inattività, perché nuove minacce si affacciano costantemente. L'applicazione di patch e aggiornamenti per l'ERP on-premise presuppone un approccio che assegni priorità ai rischi con le conseguenze più gravi per la sicurezza; processo non facile e sicuramente invasivo, ma indispensabile per mitigare i rischi. Il principio vale anche per le aziende che si affidano a un'infrastruttura ERP ibrida.
Con un software ERP cloud, la distribuzione e l'implementazione delle patch è un processo continuo che opera dietro le quinte senza interferire in alcun modo con l'attività. Inoltre, la gestione automatizzata delle patch che accompagna la distribuzione cloud dell'ERP gioca a favore dell'adesione alle norme di conformità e governance in continuo cambiamento.
2. Problemi di autorizzazioni
Nell'attuale contesto economico, i responsabili dei team HR, IT e altri reparti sono incalzati dalla necessità di rendere perfettamente operativi i nuovi utenti nel minor tempo possibile, con il rischio di un'eccessiva disinvoltura nella concessione delle autorizzazioni all'ERP o nella revoca delle stesse in caso di uscita dei dipendenti dell'azienda. In simili situazioni i sistemi ERP di vecchia generazione si trovano a essere più esposti ai rischi, per via di funzioni di autenticazione datate e per la mancanza di workflow automatizzati a supporto delle autorizzazioni.
La soluzione: I moderni sistemi ERP sono costruiti tenendo a mente la sicurezza, con funzionalità intrinseche di provisioning e autenticazione e workflow tanto sofisticati quanto semplici da usare. Avvalendosi di strumenti di governance di accessi e identità, le aziende possono inoltre implementare un più vasto sistema di sicurezza a 360°.
3. Inadeguatezza della formazione alla sicurezza
Far circolare un appunto per la formazione sulla policy ufficiale dell'azienda in materia di phishing non è come coordinare regolari sessioni di apprendimento interattivo con tutti i tuoi team. Da un recente sondaggio è emerso in effetti che il 78% delle organizzazioni convinte che i loro metodi formativi fossero sufficienti per scongiurare i rischi di phishing hanno riscontrato con sorpresa che il 31% dei dipendenti non aveva superato un test di base sull'argomento. Debolezza delle password, scarsa preparazione in materia di phishing e fraintendimenti sui protocolli di sicurezza fanno sì che anche il più onesto e diligente dei dipendenti possa mettere inconsapevolmente a rischio l'azienda.
La soluzione: I dipendenti sono spesso totalmente all'oscuro di come le loro azioni compiute in buona fede possano causare rischi o danni. Non lasciare la formazione sulla cybersecurity nelle mani sbagliate e non permettere che sia scavalcata da altre priorità nella tua agenda. Fatti affiancare da un professionista per condurre un audit del rischio dell'intera azienda e scoprire dove potrebbero nascondersi gli anelli deboli della sicurezza. In collaborazione con i team leader, metti a punto programmi di formazione regolare mirati alle loro specifiche esigenze. Implementa programmi automatizzati per ogni reparto, con date degli esami, rinnovi degli attestati e corsi di aggiornamento.
4. Carenza di figure esperte in sicurezza dell'ERP
Per le aziende che utilizzano un software gestionale legacy, i team IT devono studiare a fondo gli innumerevoli rischi specifici per la sicurezza dell'ERP e saper eseguire e implementare best practice di sicurezza di primissimo livello. Dovranno in pratica individuare le minacce, condurre scansioni di vulnerabilità e test di penetrazione, predisporre piani di risposta agli incidenti e integrare nei sistemi obsoleti i più recenti strumenti di monitoraggio della cybersecurity. Nell'attuale contesto, non solo è difficile reperire e fidelizzare professionisti qualificati, ma è anche dispendioso in termini di tempo e denaro trovare una collocazione alle sempre più numerose sessioni formative necessarie per tenere i team IT al passo con il ritmo vertiginoso degli sviluppi nella sicurezza digitale.
La soluzione: L'ERP cloud è un rimedio estremamente efficace a questa crescente preoccupazione. Le rigorose funzioni di sicurezza, quali il monitoraggio 24/7 e il disaster recovery sono tutte gestite direttamente dal vendor, senza soluzione di continuità, nel cloud. Non solo; anche le attività giornaliere che assorbono più tempo all'IT come la gestione delle patch, i test e gli upgrade possono essere automatizzate nel cloud ed essere condotte senza alcuna interruzione percepibile.
5. Mancata adesione agli standard di sicurezza e governance
Con la progressiva integrazione dei sistemi ERP in sempre più reparti, il perimetro dei dati vulnerabili si allarga e diventa più eterogeneo, includendo informazioni di prodotto protette, cartelle cliniche o proprietà intellettuale. Più i dati sono sensibili (finanziari, medici o legali, per esempio), più sale la probabilità che abbiano i propri protocolli unici di sicurezza e archiviazione. La mancata adesione a tali protocolli, o l'ignoranza degli stessi, può dare luogo non solo a potenziali violazioni di quei dati, ma anche a sanzioni e persino ripercussioni sul piano legale per non conformità.
La soluzione: Oggi i migliori ERP, con moderni database, rendono possibile la centralizzazione dell'automazione e dei controlli di una serie articolata di protocolli di conformità per un'ampia varietà di tipi di dati. Ciò significa che i team IT possono collaborare con gli specialisti dei vari settori su scala aziendale per definire inizialmente i corretti standard di sicurezza e poi automatizzare i sistemi e i cruscotti utente per far sì che di lì in avanti i protocolli vigenti siano rispettati.
6. Autenticazione a un fattore
Un unico fattore (password o codice di accesso che sia) è semplicemente insufficiente. Nonostante le aziende ne siano ormai perlopiù consapevoli, oltre il 40% delle organizzazioni non ha ancora provveduto a introdurre l'autenticazione in due passaggi su tutti i potenziali punti di ingresso all'ERP. Non avrebbe senso, infatti, proteggere i dati cruciali più palesemente importanti con un'autenticazione a due fattori (2FA) se poi altri dispositivi connessi come gli "oggetti" IoT o le applicazioni di reparto restano vulnerabili con password a un solo step.
La soluzione: È fondamentale per le aziende di tutte le dimensioni implementare immediatamente protocolli 2FA (con tanto di token di sicurezza o scansioni biometriche) su tutti i possibili punti di ingresso all'ERP. È un rimedio semplice, a basso costo, ma estremamente importante.
7. Esportazione di dati
A dispetto dei protocolli ufficiali, per l'abitudine degli utenti di inserire elementi nei fogli di calcolo o di salvarli in formati diversi, i rischi legati all'esportazione dati restano un problema per le aziende.
La soluzione: Le aziende possono in qualche modo tenere sotto controllo il fenomeno bloccando i download di Excel o tracciando le azioni degli utenti all'interno del database. In fin dei conti, tuttavia, il modo migliore per tutelarsi contro l'esportazione di dati è limitare il numero di persone che possono accedere ai dati vulnerabili. Con un ERP evoluto, i direttori dei reparti possono facilmente stabilire e impostare non solo chi può vedere cosa, ma anche a quali elementi di un set di dati possono accedere i vari utenti per visualizzarli. E contrariamente ai sistemi legacy, gli ERP cloud dispongono di funzionalità di sicurezza integrate che possono essere automatizzate in modo da inviare notifiche e impedire comandi non autorizzati, come il download o l'esportazione di dati.
Esplora un moderno software ERP cloud
Scegli un ERP cloud con standard di sicurezza globali con cui proteggere i tuoi dati.
Best practice di cybersecurity per l'ERP
Molte delle criticità sollevate sopra, e delle rispettive soluzioni, fanno riferimento a strategie di sicurezza di ampio respiro finalizzate all'ottimizzazione delle risorse umane e tecnologiche in un mondo esposto alla minaccia dei crimini informatici. Di seguito proponiamo a complemento alcune best practice di base pensate per aiutarti a trarre il massimo dai servizi e dai vantaggi associati alle funzioni e caratteristiche di sicurezza dell'ERP cloud:
- Assicurati che siano stati sottoscritti accordi di servizio in materia di continuità aziendale, disaster recovery e tempi di operatività. Gli strumenti basati su cloud possono favorire l'integrazione dei vari accordi in un unico posto per tutte le operazioni globali e l'automazione degli aggiornamenti.
- Conduci audit di terze parti (hyperscaler). Queste revisioni condotte da terzi indipendenti sono essenziali per garantire la conformità su scala aziendale in tutte le fasi e sostenere programmi come CMMC (Cybersecurity Maturity Model Certification) e Zero Trust.
- Crittografa tutti i dati e concentrati sul rafforzamento di processi, protocolli e project management per tutti i team coinvolti nelle procedure di sicurezza dell'ERP, rivolgendo particolare attenzione alle aree di gestione patch, configurazione della sicurezza, scansione delle vulnerabilità e gestione delle minacce.
- Opera i necessari investimenti in consulenza rivolgendoti a esperti di cybersecurity esterni di livello mondiale per far sì che i tuoi team sappiano alla perfezione cosa ci si attende dai loro ruoli in materia di riduzione del rischio.
- Assicurati che in ogni settore dell'azienda sia stato implementato un sistema di monitoraggio 24/7 e di gestione proattiva della sicurezza per migliorare la capacità di risposta agli incidenti. Dovranno essere inclusi l'ERP e qualsiasi altro sistema, dispositivo o asset IoT da cui un hacker potrebbe effettuare l'accesso.
- Scegli un approccio di test dell'ERP basato sui domini per ottenere una procedura di prova coerente e replicabile con cui affrontare i vettori degli attori comuni sull'intera superficie di attacco.
Passi successivi verso una maggiore sicurezza dell'ERP
I crimini informatici non risparmiano nessuno, e se le aziende intendono contrastarlo devono adottare un approccio articolato su più fronti. Le tecnologie ERP cloud sono un eccellente punto di partenza, proprio per la loro capacità di predisporre una base unificata da cui le aziende possono coordinare e automatizzare una difesa potente ed efficace.
Resta comunque il fatto che ogni sforzo di sicurezza informatica passa necessariamente dalle persone. I tuoi team leader e dipendenti entrano in gioco nella soluzione, ma non possono essere chiamati a elaborarla autonomamente. Un valido primo passo nel tuo percorso per la cybersecurity dell'ERP sarà perciò la messa a punto di piani di comunicazione e formazione che coinvolgano esperti interessanti, apprendimento pratico, programmi di lezioni teoriche e sul campo e persino esempi tratti dalla realtà di cosa può accadere quando non tutto va nel senso giusto. La formazione specifica e le misure di certificazione sono importanti, ma forse è ancora più efficace suscitare consapevolezza e interesse a 360° sul tema.
La sicurezza digitale è entrata a pieno titolo nella vita di tutti, quindi perché non fare della formazione sulla cybersecurity un'esperienza coinvolgente e intrigante?
Sicurezza ERP: è tutto nel cloud
Visita il SAP Trust Center per maggiori informazioni sul nostro approccio globale alla sicurezza.
SAP Insights Newsletter
Abbonati subito
Acquisisci informazioni approfondite iscrivendoti alla nostra newsletter.