在最近的一次对话中，我们正在讨论我们的ERP系统的安全性，同时考虑到我们已经建立的所有奇妙级别，例如基于角色，操作员和组安全性；包括在公司，程序，功能和领域级别的受限访问，更不用说电子签名，加密的密码和工作流控件。

但是，尽管ERP系统可以提供所有必要的安全控制以确保用户只能访问其授权的区域，但对于ERP生成的数据的物理存储而言，不一定要说相同的内容。

ERP系统周围还有许多其他方面，需要考虑安全性。

• 数据存储–关键区域之一是放置在数据位置的访问控制。权限应仅授予需要它的用户，以及个人需要的区域。

• 数据访问–必须密切关注第三方产品的使用。应用程序需要访问哪些数据区域，以及在应用程序中内置了哪些证券，以便在ERP中设置时维护证券。

• 基于Web的应用程序–如果网站受到威胁，会带来什么风险？如何保护应用程序？客户端浏览器和应用程序之间的通信是否安全？

• 密码加密–虽然密码在输入到ERP中时可能会被散列，但它们是否以加密格式存储？密码是否从客户端应用程序以加密格式发送到服务器？是否强制执行强密码和定期更改密码的要求？

• 数据分析和报告–访问此数据的安全级别是否与ERP中的安全级别相同？

• 网络安全性–组织如何连接到Internet？是否有足够的安全性来阻止未知外部用户未经授权访问网络？

尽管上述领域都是与IT相关的，但也需要考虑人为因素。该数据的最大风险之一是该公司自己的员工。他们可以访问公司中的大多数信息和数据。但是，当雇员辞职或被解雇时，相当数量的公司没有适当的安全程序来删除用户名，密码和网络访问权限。人为因素是成功确保公司安全的重要因素。安全策略应尽可能自动化。

另一个方面是员工如何存储数据。他们可能使用本地驱动器而不是网络存储。他们甚至可能正在使用闪存驱动器共享内容。最近，由于其方便性，基于云的解决方案（例如Google，SkyDrive和DropBox）被用于共享敏感信息。必须教育人们使用这些设备和平台所固有的风险。

然后是所有权，责任和决定的情况。IT部门不能对最终决策负责，因为他们可能对业务策略没有足够的了解。过去，IT拥有技术和系统。今天，这些责任必须由C级高管来承担。安全性已成为企业战略的重要组成部分。

现在，战略，公司政策和员工教育比以往任何时候对于保护智力资本至关重要。企业不能仅仅依靠其ERP系统的安全性。他们需要对自己的数据安全负责，并决定要在多大程度上实施和实施安全策略和参数以减轻风险。