几年前,ERP的主要问题之一是安全性。在竞争激烈的ERP市场中,很少有供应商会急于提供更多功能来保护业务,而将安全放在首位。
ERP专家必须提供易于定义和维护的明确且定义明确的安全策略。安全策略将提供对象对对象的访问规则,这些是管理员在授予或拒绝用户权限时所施加的约束。
对于大多数企业而言,ERP安全性始于基于用户的控件,其中授权用户使用安全的用户名和密码登录。然后,企业根据用户的个人定制权限级别来限制用户的软件访问权限。例如,应付账款职员不应访问ERP软件中的库存管理模块。
由于担心性能下降,因此大约一半的组织未将其ERP软件配置为维护审核日志。在安全性和性能之间的折衷中,企业可以避免记录系统活动的每个细节,而将精力集中在与事务相关的有意义的信息上。
ERP安全性侧重于旨在限制用户行为和权限的内部控制,而组织依靠网络外围防御来阻止未知者访问ERP软件。但是,越来越多的具有大量系统用户的集成信息系统需要更高级别的事务级安全性。
根据专家的说法,“企业应考虑贯穿将运行可信交易的整个环境的安全功能和控制的整体集合。”
应用程序仍然极易受到外部安全威胁的攻击。大多数组织的ERP安全工作都失败了,因为他们使用计划将控件的设计和实施推迟到流程结束的计划来实施软件。依靠内部控制来实现ERP安全的最大缺点是这些控制的昂贵且费时的维护。随着员工的晋升,重新分配或离职,组织必须不断按照每个员工的授权级别更新其业务软件。
采购过程中的职责没有得到充分隔离。结果,人员可以控制整个购买周期,从而导致错误,违规或欺诈。
在财务会计和控制模块中,许多用户被授予不适当的权限。
连续事务和事件监视的概念超越了简单的过程规则和事务日志,以结合高级分析来识别不规则事务并确定事务是否表明欺诈,滥用或错误。持续的事务和事件监视是外部人员的最终安全层,外部人员以授权用户身份进入网络。
客服毛燕