انجمن انفورماتیک ایران انجمن انفورماتیک ایران انجمن انفورماتیک ایران
گزارش کامپیوتر شماره 234, ویژه مرداد و شهریور ماه 96 منتشر شد. شنبه  ٢٧/٠٨/١٣٩٦ ساعت ١٥:٢٦
 

مقاله

مشكلات امنیتی در پیاده‌سازی
سیستم‌های برنامه­ریزی منابع سازمان (ERP)

صابر علیزاده
دانشجوی كارشناسی ارشد مهندسی فناوری اطلاعات
 دانشگاه نور طوبی تهران
پست الکترونیکی:sabera_alizadeh@yahoo.com

 


چكیده
امروزه، تمامی سیستم‌های برنامه­ریزی منابع سازمان، ساز و كارهای امنیتی را در شكل‌های مختلفی ارائه می‌نمایند ولی همچنان مسائل امنیتی متعددی در شكل‌های مختلف در آن‌ها دیده می‌شود. این مشکلات امنیتی، در محصولات مختلف، از كسب و كاری تا كسب و كاری دیگر و از صنعتی تا صنعتی دیگر متفاوت است. استفاده سازمان‌ها و صنایع متعدد از بسته­های نرم­افزاری یكسان، مستلزم داشتن انعطاف زیاد در نرم­افزار است و ممكن است تغییرات وسیعی  به­منظور استفاده همه­جانبه از بسته نرم­افزاری ERP توسط فروشندگان این محصول صورت پذیرد.
در حال حاضر، پیاده‌سازی بخش امنیت ERP ، در مرحله دوم و پس از پیاده‌سازی فرآیندهای كسب و كار صورت می­پذیرد كه در بسیاری موارد و به‌علل مختلف (مثلاً كمبود زمان در اجرای بخش اول) این مرحله از كار كمرنگ می‌گردد. مشكل موجود دیگر، پیاده‌سازی بخش امنیت، به‌صورت متمركز، در سیستم‌های ERP می­باشد كه معضلی بزرگ به‌شمار می‌رود. پیاده‌سازی امنیت متمركز، منوط به داشتن فرد یا تیمی مشرف بر كل فرآیندها و حوزه كار می­باشد كه علاوه بر مشكل پیدا نمودن چنین تیمی، از لحاظ امنیتی نیز صحیح نمی‌باشد. در این مقاله سعی گردیده است مشكلات و مسائل مربوطه، در برخی سیستم‌های ERP موجود ارائه شود. پس از شناسائی این مسائل، می­توان در ادامه، راهكاری برای مرتفع نمودن آن‌ها ارائه نمود.

مقدمه
استفاده گسترده از سیستم‌های ERP در مقیاس بزرگ، موجب می‌گردد كاربران نهائی به اطلاعات حیاتی سازمان دسترسی داشته باشند. سازمان‌هایی كه از این سیستم‌ها استفاده می‌نمایند، معمولاً اندازه متوسط تا بزرگ دارند. چنین سازمان‌هایی نیاز به دسترسی به تمامی اطلاعات حوزه كسب و كار دارند. در هر زمان، اطلاعات باید به‌صورت بیدرنگ در دسترس باشند تا سازمان بتواند واكنش‌های بموقعی را هنگام تغییر شرایط از خود بروز دهد. بسته به سطح یكپارچگی، دسترسی به سیستم ERP ممكن است از سطح كارگران تا مدیر اصلی، توسعه داشته باشد. سطح بالای یكپارچگی، موجب به‌وجود آمدن مسائل امنیتی متعددی می‌گردد. حفاظت از دارایی‌ها و اطلاعات سازمان از مهمترین اصول است.
ساز و كارهای گوناگونی به‌منظور تأمین امنیت، توسط ERPهای موجود، ارائه شده است. ساز و كار اولیه پشتیبانی شده به‌وسیله این سیستم‌ها، كنترل دسترسی و تصدیق هویت كاربر می­باشد[1]. در حال حاضر، بحث امنیت بر اساس تشخیص هویت كاربر و دادن مجوزهایی به آن و یا از طریق تعیین نقش و پروفایل می­باشد و انجام این موارد نیز به‌صورت متمركز و از طریق گروه مدیریت امنیت اطلاعات می­باشد. این شیوه مدیریت امنیت دارای مشكلات و معضلاتی می­باشد كه از جمله مهمترین آن‌ها می­توان مورد ذیل را نام برد:
لازم است كلیه اعضای گروه مدیریت امنیت اطلاعات به تمامی فرآیندهای كسب و كار، اطلاعات، وظائف كارمندان و سطوح دسترسی مجاز آشنایی كامل داشته باشند.
واضح است كه تشكیل چنین تیمی بسیار دشوار بوده و از لحاظ امنیتی نیز دارای ایراداتی است.
لازم به‌ذكر است كه با توجه به سابقه و قدمت سیستم‌های ERP و نیز بررسی‌های به‌عمل آمده، بحث امنیت سیستم‌های ERP ، یك بحث نو بوده و تاكنون كارهای زیادی در این مقوله انجام نپذیرفته است. طی تحقیقات انجام شده، از جمله فعالیت‌هایی كه در این زمینه تاكنون صورت پذیرفته است می­توان موارد ذیل را نام برد:
  • موضوع امنیت در ERPهای موجود مد نظر قرار گرفته است ولی چگونگی طراحی و پیاده‌سازی آن در یك ERP با ERP دیگر متفاوت است[2-4].
  • لیست‌های کنترلی درخصوص امنیت سیستم‌های ERP تهیه گردیده است كه این لیست‌ها فقط می¬توانند در مرحله انتخاب ERP، یاری¬دهنده سازمان باشند[5].
  • لیست‌های کنترلی جهت بررسی و كنترل امنیت اطلاعات در سیستم‌های ERP، تهیه گردیده است كه این لیست‌ها جهت كنترل وضعیت امنیت در سیستم ERP، مورد استفاده قرار می¬گیرند[5].
  • چارچوبی به‌منظور تجزیه و تحلیل تهدیدات امنیتی سیستم‌های ERP ارائه گردیده است[6].
  • رویكردی بالا به پایین كه رویكردی جدید در مدیریت ریسك سیستم‌های ERP است ارائه شده است[7].

در حال حاضر شركت‌های بزرگی در كشور ما در مراحل مختلف پیاده‌سازی و استفاده از سیستم‌های ERP می­باشند كه از جمله مهمترین آن‌ها می­توان شركت‌های ذیل را نام برد:
  • ایران خودرو (با محصول SAP )
  • ذوب آهن اصفهان (با محصول Oracle E-Business Suite )
  • شركت ملی صنایع مس ایران (با محصول Ellipse )
  • مدیریت برق آذربایجان (با محصول IFS )
  • گل گهر سیرجان (با محصول Oracle E-Business Suite )
همچنین تعداد بسیار زیادی از شركت‌های دیگر تصمیم به استفاده و پیاده‌سازی سیستم‌های ERP گرفته­اند كه روز به‌روز بر تعداد این شركت‌ها افزوده می‌گردد. از سوی دیگر، شركت‌های داخلی زیادی درصدد ایجاد و ارائه این سیستم‌ها هستند كه برخی نیز محصولاتی ارائه و در برخی شركت‌ها پیاده‌سازی نموده­اند كه در اینجا از ذكر نام این شركت‌های داخلی صرف نظر می‌گردد.
از سوی دیگر، با توجه به شرایط خاص كشور، بحث امنیت اطلاعات مورد توجه خاص دولتمردان ومسئولان كشورمان قرار گرفته است به‌نحوی كه هر روز شاهد ارائه سمینارها، دستورالعمل‌ها و بخشنامه­هایی در این زمینه بوده و سازمان‌ها و شركت‌ها نیز توجه خاص به این مقوله دارند.
با عنایت به موارد فوق­الذكر و درنظر گرفتن شرایط خاص كشور و همچنین مسائل فرهنگی اجتماعی، توجه خاص به این مسائل می­تواند كمك بسزائی در حفظ امنیت اطلاعات شركت‌های استفاده كننده از ERP و نیز راه­گشائی برای شركت‌های ارائه‌كننده ERP و بخصوص شركت‌های داخلی باشد.

1- مسائل و مشكلات امنیتی مشترك در سیستم‌هایERP

در این قسمت، برخی نقاط ضعف مشترك مربوط به امنیت سیستم‌های ERP ، ارائه خواهد گردید. به‌منظور انجام این بررسی، امنیت در سیستم‌های Oracle E-Business Suite ، SAP و Microsoft Navision Attain بررسی شده است [2-4,8] . این سیستم‌ها، در سطح وسیعی در سراسر جهان، در سازمان‌های مختلف در حال استفاده هستند. مشكلاتی كه بیان خواهد شد، مختص یك محصول نیستند بلكه این موارد، مهمترین قابلیت‌ها و امكاناتی هستند كه در ERPها فراموش شده­اند.

1-1-استفاده جهانی از سیستم ERP

سیستم‌های ERP كه مورد بررسی قرار گرفته­اند، نقاط مشترك زیادی دارند. به‌منظور پوشش تغییرات مداوم بازار و نیازهای مختلف، بسته­های نرم­افزاری اشاره شده، مجموعه­ای با قابلیت‌های بسیار زیاد ارائه می‌نمایند. توانایی مطابقت یك سیستم نرم­افزاری با موارد استفاده مختلف و گسترده، از اهمیت بسزائی برخوردار است. از این‌رو عرضه­كنندگان این نرم­افزارها، یك محصول واحد برای پوشش نیاز بازارهای مختلف ارائه می‌نمایند. به‌وسیله پارامتری نمودن سیستم، می­توان از نرم­افزار در مكان‌های مختلف و برای كارهای گوناگون استفاده نمود.
همانطور كه اشاره شد، توانایی تطابق یك بسته نرم­افزاری با یك صنعت یا سازمان، بدون تغییر كد برنامه، قابلیتی بسیار مطلوب و خوشایند است. این امكان، موجب تسهیل در نگهداری و مدیریت كد برنامه می‌گردد.

1-2-متغیرها و مفهوم آن در امنیت

با وجود امكان تغییرات در پیاده‌سازی و تنظیم یك بسته نرم­افزاری، می­توان بسته به نیاز، كارها و یا قابلیت‌های خاصی را فعال یا غیر فعال نمود. این قابلیت برای فرآیندهای كسب و كاری كه به یك روش دقیق و برای یك نیاز خاص به‌منظور مطابقت با جهان واقعی تعریف شده­اند، كاربرد چندانی ندارد. تأثیر زیرسیستم امنیت بسته­های نرم­افزاری مورد بحث، وضعیتی كاملاً متفاوت دارد.
به‌منظور تشریح این مورد، می­توان استفاده از یك بسته نرم­افزاری یكسان را برای یك سازمان نظامی و یك سوپر ماركت در نظر گرفت. دو سازمان ذكر شده كاملاً متفاوت می­باشند، خصوصاً در فرآیندهای كسب و كار. یك سوپر ماركت ممكن است فقط نیاز به ذخیره نمودن اطلاعات مالی و فروش داشته باشد ولی سازمان نظامی ممكن است تمایل داشته باشد اطلاعات مربوط به جابجایی تسلیحات را ذخیره نماید. هر دو سازمان می­توانند با استفاده از یك نرم­افزار، مدل شوند و اختلافات فرآیندهای تجاری، موجب تغییر كارآیی نرم­افزار نمی‌گردد.
طی بررسی انجام شده و از آنجا كه هیچیك از بسته­های نرم­افزاری موجود، امنیت كافی و مناسبی را پیشنهاد نمی­كنند، رویكرد و نگرش كاملتری برای پیاده‌سازی امنیت مورد نیاز است. با وجود آن‌كه تهیه یك زیرسیستم امنیتی استاندارد برای یك بسته نرم­افزاری ERP قابل اجرا در سطح جهانی، امری قابل قبول است ولی پیاده‌سازی و كارآیی راه­حل امنیتی باید مورد بررسی قرار گیرد. اولین و حائز اهمیت­ترین دلیل این امر آن است كه بسته­های نرم­افزاری، متكی بر یك سازوکار احراز هویت می­باشند تا اطمینان حاصل نمایند كه كاربر همانی است كه ادعا می­نماید. این احراز هویت، با استفاده از تركیب استاندارد نام كاربری و رمز عبور انجام می‌شود. محدودیت‌های مختلفی به‌منظور افزایش سطح امنیت رمز عبور می­توان اعمال نمود. از جمله این محدودیت‌ها می­توان حداقل طول كلمه عبور و زمان انقضای آن را نام برد. مورد مشكل­ساز دیگر، ایجاد پروفایل‌های نقش- محور یا مجوزها برای كاربران است. این پروفایل‌ها تلاش در محدود نمودن كاربران به زیر مجموعه­ای از قابلیت‌ها و توابع نرم­افزار دارند. وقتی یك پروفایل یا نقش خاصی به كاربر نسبت داده می‌شود، كاربر می­تواند فقط توابعی را كه به آن نقش تخصیص یافته­اند اجرا نماید. اگرچه عرضه­كنندگان ERP تلاش بسیاری صرف طراحی ایجاد نقش و فرایندهای كنترلی نموده­اند ولی پیاده‌سازی آن بزرگ‌ترین مشكل امنیت در هر محیط ERP است.

1-3-پیاده‌سازی نرم­افزار ERP

هنگام پیاده‌سازی یك بسته نرم­افزاری ERP در یك سازمان، برنامه­ریزی دقیق و زیادی باید انجام شود. معمولاً پیاده‌سازی و نگاشت فرآیندهای تجاری با قابلیت‌ها و توابع نرم­افزار، به‌عنوان اولین اولویت درنظر گرفته می‌شود. متأسفانه در اغلب موارد، پیاده‌سازی امنیت، در مرحله بعد و اولویت دوم قرار می‌گیرد؛ خصوصاً هنگامی‌كه تاریخ اتمام پروژه به انتها رسیده است و پیاده‌سازی توابع سیستم هنوز تكمیل نشده است.
صرف‌نظر از زمان اختصاص یافته به پیاده‌سازی یك بسته نرم­افزاری ERP ، رویكرد مورد استفاده در ایجاد و نگاشت فیزیكی فرایندهای تجاری به توابع نرم­افزار، با رویكرد ایجاد و نگاشت كاربران به نقش‌ها و پرونده­های اطلاعاتی كاربران متفاوت است. معمولاً، نگاشت فرآیندهای تجاری به توابع نرم­افزار، بر اساس یك رویكرد غیرمتمركز است، در حالی‌كه پیكربندی امنیت بر اساس یك روش متمركز است.

1-4-رویكردهای متمركز در مقابل رویكردهای غیرمتمركز

بررسی اجمالی بسته­های نرم­افزاری، این واقعیت را آشكار می­سازد كه مدیریت كاربران و پیاده‌سازی قابلیت‌های امنیتی آن‌ها، به‌صورت متمركز انجام می‌شود. این امر مستلزم وجود یك یا چند مدیر است كه در زمینه ایجاد و مدیریت پرونده­های اطلاعاتی كاربران، پارامترهای سیستم و سایر اطلاعات مرتبط، مهارت فنی كاملی دارند. مدل متمركز مربوط به پیكربندی و مدیریت زیرسیستم امنیت ERP ، دقیقاً در مقابل مدل غیرمتمركزی است كه برای پیكربندی و بومی­سازی نرم­افزار مورد استفاده قرار می‌گیرد. در رویكرد سنتی، مالكان فرآیند، در نواحی كلیدی سازمان تعریف می­شوند. این كاربران معمولاً از دانش زیادی در زمینه حوزه مسئولیت خود در سازمان برخوردارند و می­توانند هنگام نگاشت فرآیندهای تجاری به توابع نرم­افزار، كمك بسزائی نمایند. نكته مهم دیگری كه باید به آن توجه داشت این است كه صاحب فرآیند یا فرد خبره فرآیند باید مسئولیت نگاشت فرآیند كسب و كار سازمان به توابع پیشنهادی نرم­افزار را به‌عهده گیرد. همچنین شخص خبره فرآیند، مسئول نتایج حاصل از پیاده‌سازی بسته نرم­افزاری، مطابق با پیكربندی انتخاب شده می­باشد. از این‌رو، مسئولیت مستقیم و مالكیت، بر عهده صاحب فرآیند می­باشد.
در مقابل، رویكرد متمركز كه هنگام پیاده‌سازی و پیكربندی زیرسیستم امنیت مورد استفاده قرار می‌گیرد، از مفهوم مالكیت استفاده نمی­كند. با توجه به ماهیت این رویكرد، گروه مدیران سیستم یا مدیران امنیت كه كاربران و پروفایل‌ها را ایجاد می­كنند، قادر نیستند تعیین نمایند كه آیا یك كاربر باید قادر به اجرای توابعی باشد كه به پرونده اطلاعاتی وی تخصیص یافته است یا خیر. در سازمان‌های بزرگتر، برای مدیر امنیت كاملاً غیرممكن است تا از هویت كاربر و وظائف وی اطلاع داشته باشد.
فقدان مالكیت و استفاده از یك رویكرد متمركز در هنگام پیاده‌سازی سیستم‌های ERP می­تواند به‌عنوان جدی­ترین مشكل پیاده‌سازی امنیت یك سیستم ERP در نظر گرفته شود. مشكلات این مبحث به‌همراه تعداد دیگری از مسائل مرتبط، در ادامه آمده است.

1-4-1-رویكرد متمركز امنیت

در بخش قبلی اشاره شد كه پروژه­های پیاده‌سازی ERP ، معمولاً به این روش اجرا می­شوند كه درصد زیادی از مسئولیت‌ها برعهده صاحبان فرآیند یا خبرگان فرآیند قرار می‌گیرد. این قابلیت به اعضای تیم پروژه امكان می‌دهد تا پیكربندی حوزه­هایی را انجام دهند كه در مورد آن اطلاع كامل و كافی دارند. مهمتر از آن، معمولاً خبرگان فرآیند، اعضایی هستند كه فرآیند واقعی را در آن حوزه اجرا می­كنند. از این‌رو، مسئولیت آن‌ها یك مجموعه حیاتی از فرآیندها را كه به‌منظور انجام مأموریتشان كمك می­نماید دربرمی‌گیرد.
در مقایسه با این رویكرد غیرمتمركز، پیاده‌سازی امنیت در سیستم‌های ERP ، معمولاً به پرسنل فنی و یا مدیران فعلی سیستم محول می‌گردد. بسته به اندازه سازمان، ممكن است یك یا چند مدیر فنی، درگیر این مسئله شوند. به‌ندرت اتفاق می­افتد كه یك تیم برای پیاده‌سازی امنیت سازمان تخصیص یابد. معمولاً این كار به وظائف جاری تیم فنی اضافه می‌گردد.
در رویكردی كه توسط محصولات بررسی شده این مقاله ارائه می‌گردد، یك یا چند مدیر، نیازهای امنیتی را به‌صورت متمركز، تعیین و تعریف می‌نمایند. به بیان دیگر، وظیفه ایجاد و تولید نقش‌ها و پروفایل‌ها و تخصیص آن‌ها به پرونده اطلاعاتی كاربران، به یك یا چند مسئول واگذار می‌گردد. پس از آن‌كه این نقش‌ها و پروفایل‌ها ایجاد شدند، كاربری كه این نقش‌ها به وی نسبت داده شده است قادر به اجرای زیرمجموعه­ای مشخص از كارهای درون سیستم می­باشد.
این رویكرد متمركز، اغلب به علت وجود ماهیت فنی پیاده‌سازی امنیت می­باشد. به‌عنوان مثال، سیستم SAP R/3 نیاز به ایجاد تعداد زیادی مجوز و پروفایل دارد. تخصیص تعداد زیادی فعالیت مجاز و معین به كاربران مجزا، به اندازه­ای آسان نیست كه به كاربران نهائی محول گردد. دانش ایجاد و تنظیم پارامترهای مورد نیاز امنیت نیز در محدوده دانش مدیران سیستم و یا پشتیبانان فنی سیستم قرار ندارد.
بدون داشتن اطلاع از پردازش‌ها و موارد خاص تجاری، درك مفهوم تخصیص یك یا چند پروفایل به یك پرونده اطلاعاتی كاربری، غیر ممكن می­باشد؛ درحالی‌كه معمولاً مدیر امنیت، صرفاً دانش زیادی درباره بخش فنی پیاده‌سازی زیرساختار امنیت سیستم ERP انتخاب شده، دارد.
در شكل (1)، نمودار مربوط به رویكرد متمركز سنتی امنیت محیط‌های ERP نشان داده شده است.

شكل 1: امنیت متمركز در یك محیط ERP

بدون داشتن دانش كامل صاحب فرآیند و بدون داشتن مسئولیت انحصاری اطلاعاتی كه باید مورد حفاظت قرار گیرند، مدیر امنیت فقط می­تواند از دستورالعمل‌های صاحب فرآیند تبعیت نماید. به‌عنوان مثال، پروفایل‌هایی را كه به كاربر اجازه می­دهند تا كارهای لازم را انجام دهد، در پرونده اطلاعاتی كاربر قرار می‌دهد. بدون داشتن مسئولیت یا مالكیت اطلاعات و وظائفی كه باید محافظت گردند، امنیت مناسبی برقرار نمی‌گردد. از این‌رو، تكیه بر پیاده‌سازی متمركز امنیت، سازمان را در معرض تهدید قرار می‌دهد. این امر به‌علت این واقعیت است كه عدم وجود مالكیت، امنیت را تضمین نمی­كند.

1-4-2-مالكیت اطلاعات

مفهوم مالكیت اطلاعات، توسط سیستم‌های ERP موجود پشتیبانی نمی‌شود. همان‌گونه كه اشاره شد، وجود مفهوم مالكیت برای یك شخص خبره فرآیند سازمان، سازمان را قادر می­سازد مسئولیت‌ها را به‌صورت انفرادی و مجزا واگذار نماید تا اطمینان حاصل گردد كه كاركرد نرم­افزار با توابع كسب وكاری كه پشتیبانی می­شوند مطابقت دارد. علاوه بر این، هنگامی‌كه كارشناس یك حوزه خاص، به‌عنوان مسئول آن حوزه در نظر گرفته می‌شود، باید از كسب و كار نتایج صحیحی را انتظار داشت. در پروژه­های پیاده‌سازی نرم­افزار ERP ، این حوزه­ها به خبرگان فرآیند یا صاحبان فرآیند منتسب می‌گردد. از این جهت كه مفهوم مالكیت، تكیه بر مسئولیت‌های مجزا دارد، از اهمیت بسزائی برخوردار می­باشد.
در محیط‌های سنتی ERP ، رویكرد متمركز پیاده‌سازی كنترل سطح دسترسی، برای یك یا چند مدیر امنیت این امكان را فراهم می­آورد تا پروفایل‌ها، نقش‌ها و پرونده­های كاربری را ایجاد و مدیریت نمایند. همان‌گونه كه اشاره شد، این رویكرد مشكلات زیادی به‌همراه خواهد داشت. مهمترین مشكل این است كه مدیر امنیت معمولاً نمی­تواند پیچیدگی فرآیندهای واقعی تجاری سازمان را درك كند و همچنین این مورد كه این فرآیندها چگونه به توابع سیستم انتخاب شده ERP ، نگاشته می­شوند. به‌منظور مقابله با این مشكل و ارتقاء استحكام و تناسب امنیت یك محیط ERP ، باید با پیچیدگی سیستم، به‌صورت كلی  برخورد نمود. شكل (2)، تغییرات اعمال شده در رویكرد متمركز را نشان می‌دهد.

شكل 2: امنیت غیرمتمركز در یك محیط ERP

باید توجه داشت كه هنوز مدیر امنیت، یك نقش مدیریتی و بازرسی را ایفا می­كند ولی درگیر جزئیات نیازهای كاربران نمی‌باشد.
مالكیت اطلاعات، زمینه­ای ایجاد می­نماید كه بتوان تعیین نمود چه كسی در سازمان باید دسترسی به بخش خاصی از اطلاعات را كنترل نماید. مشابه صاحب فرآیند، مالك اطلاعات نیز باید درخصوص مواردی از قبیل این‌كه چه اطلاعاتی باید محافظت شوند، چه اطلاعاتی باید مورد استفاده قرار گیرند، چگونه این اطلاعات می­توانند مورد استفاده قرار گیرند و مهم‌تر از همه، چه كسانی می­تواند به اطلاعات دسترسی داشته باشد، مطلع باشد.
به‌طور سنتی، مالكیت اطلاعات با استفاده از نمودارها و یا وظائف سازمانی مدل می‌شود. این نمودارها، ساختار سلسله مراتبی و سطوح سازمانی را نشان می­دهند. سطوح سازمانی تعیین می­كنند كه چه كسی به چه نوعی از اطلاعات دسترسی داشته باشد. در اغلب مواقع، به‌منظور نگاشت مالكیت اطلاعات به كاربران، از شرح شغل و نقش استفاده می‌شود.
رویكرد غیرمتمركزی كه در شكل (2) پیشنهاد شده است، اطمینان می‌دهد كه پیچیدگی فنی مربوط به ایجاد و تخصیص اشیاء امنیتی، حذف شده است. این مهم، با ارائه مالكان اطلاعات و یك لایه واسط حاصل می‌گردد. لایه واسط، پیچیدگی فنی را از دید مالكان اطلاعات مخفی نموده و فقط بخشی از اطلاعات را در معرض استفاده كاربران آن حوزه خاص قرار می‌دهد. نظر به این‌كه كنترل كلی زیرسیستم امنیت، متكی به یك یا چند شخص می­باشد، مدیر امنیت معمولاً دسترسی كامل به تمام اشیاء امنیت را در سطح فنی و با تمام جزئیات دارد. این امكان به مدیر امنیت اجازه می‌دهد تا اشیاء را برای استفاده مالكان امنیت، تنظیم نموده و تخصیص دهد. اگر مالكان اطلاعات به تمام اشیاء امنیتی لازم دسترسی داشته باشند، این افراد می­توانند اشیاء امنیتی مورد نیاز را كه در حوزه فعالیت خودشان قرار دارند، به سایر كاربران تخصیص دهند. در یك مدل پیشرفته­تر، مدیر امنیت قادر به تخصیص هیچ شیء امنیتی به هیچ كاربری نمی‌باشد ولی اشیاء امنیتی را برای استفاده مالكان اطلاعات آماده می­سازد. این قابلیت مدل غیرمتمركز، سطح بالاتری از تفكیك وظائف را موجب می‌گردد و این اطمینان را می‌دهد كه هیچ دسترسی به سیستم، توسط مدیر امنیت صورت نمی‌گیرد.

1-4-3-تفكیك وظائف

عدم پشتیبانی از مالكیت اطلاعات، مشكل منطقی تفكیك وظائف را به‌وجود می­آورد. در یك محیط ERP ، تفكیك وظائف، دلالت بر جدایی كارهایی كه كاربران سیستم ERP انجام می­دهند دارد. این بدان معنی است كه كاربران باید صرفاً اجازه انجام كارهایی را داشته باشند كه در حوزه مسئولیت خودشان قرار دارد.
این مسئله را می­توان با یك مثال تشریح نمود. سازمانی را در نظر بگیرید كه دارای دفاتر و شعبه‌هایی در نقاط مختلف كشور است. افراد مختلف، كارهای مشابهی را در محل‌های مختلف انجام می­دهند. ممكن است یك مسئول فروش، سفارش فروش و یا یك درخواست سفارش مجدد كالا را ایجاد نماید. همچنین ممكن است كار دیگر وی، ثبت رسید پرداخت فروش باشد. كنترل‌كنندگان موجودی كالا در سازمان، می­توانند درخواست سفارش كالا صادر نموده و آن را به واحد فروش تحویل دهند. در دفتر مركزی سازمان، ممكن است متصدی فروش، محدود به انجام كارهای خاص حوزه فروش باشد.
مشكل امنیتی مشهود در مثال فوق این است كه هر متصدی فروش در دفتر مركزی، فقط یك مجموعه تعریف شده قابل تركیب از كارها را در اختیار دارد بدون آن‌كه مسئله امنیتی مشهودی رخ دهد. اما، در شعبه‌های سازمان، تركیب وظائف متصدی فروش و كنترل­كننده موجودی، یك خطر امنیتی ایجاد می­نماید. با داشتن قابلیت فروش و درخواست كالا، یك كاربر ممكن است سوء استفاده نماید. این مثال، اهمیت تفكیك وظائف درون سازمان را نشان می‌دهد.
سابقاً، تفكیك وظائف پس از بررسی كامل فرآیندهای كسب و كار امكان­پذیر بود. یك اشكال بدیهی این روش آن است كه تكمیل گزارش بررسی، پس از انجام آن میسر می­باشد. هیچ امكانی برای سازمان به‌منظور مقابله با رفتار فریبكارانه وجود ندارد. بلكه، پیاده‌سازی تدابیری به‌منظور پیشگیری از اعمال فریبكارانه، پس از وقوع سوء استفاده امكان­پذیر خواهد بود.
باید اشاره نمود كه سناریوی فوق، ممكن است اجتناب ناپذیر باشد. ممكن است برخی سازمان‌ها در مكان‌های كوچكی، شعبه‌های بسیار كوچكی داشته باشند. به‌نحوی كه فقط یك كارمند، آن شعبه را اداره می­كند. این كارمند، وجوه را از مشتریان دریافت نموده، پرداخت به تأمین­كنندگان را انجام داده و تراز حسابداری را انجام می‌دهد. بدیهی است كه این چنین كارمندی برای انجام فعالیت‌های كسب و كار مكان خود، نیاز به دسترسی كامل به تمام توابع سیستم و اطلاعات مورد نیاز دارد. در این مثال، تفكیك وظائف، كاربرد نداشته و باید احتیاط لازم را به‌عمل آورد.

1-4-4-مدیریت مخاطرات

مطالب اشاره شده در قسمت قبل، بر این موضوع دلالت دارد كه به‌منظور صدور مجوز دسترسی به توابع مورد نیاز یك فرد، باید به وی اعتماد نمود. اعتماد قابل اندازه­گیری نمی‌باشد. در مثال ارائه شده قبلی، ممكن است سازمان با یك اعتماد اجباری مواجه شود. فردی كه شعبه كوچك سازمان را به‌صورت خودگردان اداره می­نماید، به‌منظور اجرای وظائف خود به آزادی عمل بسیار زیادی نیاز دارد. در مقابل، كارمندان دفتر مركزی سازمان به‌صورت تخصصی­تری كار می­كنند و نیازی به دسترسی به تمامی نواحی سیستم ندارند.
مدیریت مخاطرات، توسط سازمان تعیین می‌شود. ممكن است نواحی معینی از سازمان، در برابر مخاطرات، مستعدتر از سایر بخش‌ها باشند. در یك شركت سازنده قطعات الكترونیكی، خطرات بیشتری در زمینه انتشار برنامه­های تولید محصولات جدید، نسبت به انتشار اطلاعات مربوط به حمل محصولات وجود دارد. در هر دو حالت، به‌علت وجود حفره­های امنیتی، مخاطراتی سازمان را تهدید می­نماید ولی سطح هریك با دیگری متفاوت است. در حالت اول، ممكن است سازمان در زمینه رقابت با رقبا با مشكل مواجه شود ولی در حالت دوم، اطلاعات بدون هیچ آسیبی منتشر می‌گردد.
در این مقاله، بر جنبه فنی سیستم‌های ERP موجود تمركز می‌گردد. هیچیك از این سیستم‌ها، ابزاری جهت افشای مخاطرات ارائه نمی‌نمایند. همانگونه كه اشاره شد، سطح ریسكی كه برای سازمان قابل پذیرش است، بسته به شرایط مختلف، متفاوت است. بدون وجود یك روش اندازه­گیری و مدیریت ریسك، سازمان‌های متكی بر سیستم‌های ERP نمی­توانند امنیت مناسبی را فراهم آورند.

1-4-5-یكپارچگی پودمان‌ها و سیستم‌ها

مدیریت ریسك به سازمان اجازه می‌دهد تا تعیین نماید كه چه مقدار در برابر تهدیدات مقاوم باشد. اگرچه مدیریت ریسك یك ابزار مفید می­باشد ولی مسائل مربوط به ریسك، ممكن است به ناحیه­هایی كه مدیریت ریسك قادر به پوشش آن نمی‌باشد گسترش یابد.
كسب و كارهای نوین به علل گوناگون، به فناوری اطلاعات نیازمندند. در مورد سیستم ERP ، معمولاً سازمان‌ها تمایل دارند فرآیندهای كسب و كار خود را به‌صورت خودكار درآورند. با این وجود، تمامی فرآیندهای كسب و كار یك سازمان بزرگ، در یك گروه قرار نمی­گیرند. هیچ‌كس نمی­تواند فرآیندهای كسب و كار را به‌طور واضح به گروه‌های جداگانه تخصیص دهد. كسب و كارهای نوین، با تعداد زیادی از حوزه­های تخصصی سر و كار دارند. سیستم ERP ، یك مخزن یكپارچه برای توابع و همچنین اطلاعات، فراهم می­آورد. یكپارچگی اطلاعات به سازمان اجازه می‌دهد تا پیشرفت خود را به‌صورت بیدرنگ تعیین نموده و رویدادهای آتی خود را با استفاده از ابزارهای برنامه­ریزی، مدل كند.
در پیاده‌سازی امنیت یك سیستم ERP باید به این مسائل یكپارچگی توجه داشت؛ اگرچه گفتن آن از انجام آن به مراتب ساده­تر است. به‌منظور تشریح این‌كه چگونه یكپارچگی حوزه­های مختلف عملكردی سیستم ERP موجب به‌وجود آمدن نگرانی‌های امنیتی می‌شود، می­توان به مثال ذیل توجه نمود:
در یك سیستم ERP ، به كاربران مختلف، كارهای مختلفی مربوط به حوزه­های كسب و كار مشخص تخصیص می­یابد. به‌عنوان مثال، یك كاربر مسئول ایجاد درخواست خرید و دیگری مسئول استخدام می­باشد. به‌طور معمول، این كاربران در حوزه­های مختلف سازمان كار می­كنند. به هریك از این كاربران، یك نقش كه مشتمل بر دسترسی به توابع مربوطه در سیستم ERP است، تخصیص می­یابد. كاربر سومی مانند مدیر یك قسمت، ممكن است نیاز به دسترسی به هر دو تابع داشته باشد. سایر كاربران ممكن است نیاز به دسترسی به بخش‌هایی از توابع تخصیص یافته به كاربران خاصی داشته باشند. چالشی كه برای تهیه و پیاده‌سازی یك مدل امن برای این سناریو وجود دارد این است كه باید برای هر كاربر، امكان دسترسی به توابع مورد نیاز را فراهم آورد و برای هر چیز دیگر، محدودیت دسترسی ایجاد نمود. مجدداً باید یادآور شد كه ماهیت تخصصی اشیاء امنیتی و تنظیم آن‌ها در سیستم ERP ، موجب ایجاد یك چالش برای مدیر امنیت می‌گردد. مدیر امنیت می­خواهد كه بتواند به‌سادگی نقش‌ها، فهرست‌ها و پروفایل‌ها را به كاربران تخصیص دهد، حتی اگر نیاز باشد توابع خاصی به كاربران معینی تخصیص یابند. اما این رویكرد، یك ریسك امنیتی به‌وجود می­آورد. باید توجه داشت كه مهم است مدیران امنیت، از اطلاعات مربوط به امنیت اشیائی كه ایجاد و پیكربندی می­شوند اطلاع داشته باشند.
مشكل یكپارچگی در پودمان‌های سیستم ERP ، یك مسئله مشترك است. این مشكل را به شكلی دیگر نیز می­توان بیان نمود. دو مجموعه از اعداد را در نظر بگیرید. برخی اعداد، در هر دو مجموعه مشترك می­باشند. این اعداد به‌منزله دسترسی گروه‌های خاصی از كاربران هستند و اعدادی كه در هر مجموعه به‌صورت مجزا وجود دارند، به‌منزله دسترسی‌های خاص هر كاربر می­باشند. مجموعه مشترك دسترسی‌ها، سازمان را در معرض ریسك قرار می‌دهد زیرا تعیین این‌كه كدامیك از كاربران دارای مجوز، عملی را در سیستم انجام داده است مشكل است. مسئله دیگر، پیچیدگی طراحی و معماری راه­حل امنیتی برای این‌گونه موارد است.
در برخی سیستم‌های ERP مانند مواردی كه بررسی گردیدند، ایجاد اشیاء امنیتی درون سیستم، به‌منظور پوشش حالات مختلف دسترسی به سیستم، كاری بسیار پیچیده است. ممكن است طراحی اولیه مناسب به نظر برسد اما در كاربرد­های آتی سیستم و تغییرات مورد نیاز به‌منظور مرتفع ساختن نیازهای كاربران و سازمان، این امر ممكن است به دوباره­كاری‌های اساسی در سطح معماری سیستم منجر گردد. پیچیدگی بیشتر هنگامی نمایان می‌گردد كه با گروه عظیمی از كاربران با نیازهای عملیاتی و داده­ای یكسان و سطح دسترسی مشابه مواجه بوده و بدین منظور به نظارت سازمانی نیاز است.

1-4-6-پیامدهای نظارت سازمانی

مدیریت ریسك در هر سازمان، از اهمیت بسزائی برخوردار است. بررسی شكست شركت‌هایی مانند Enron و WorldCom نشان می‌دهد كه سرمایه­گذاری مالی نمی­تواند از سوء مدیریت جلوگیری نماید. در ادامه، تعریفی از نظارت سازمانی آمده است:
نظارت سازمانی، به‌منظور تضمین صحت عملكرد و پاسخگویی سازمان، قوانین و قواعدی را به سازمان تحمیل می­نماید. این تعریف می­تواند بدین صورت بسط یابد: نظارت سازمانی، در حال اجرا بودن فعالیت‌های سازمان را نشان می‌دهد. این بدین معنی است كه مدیر قسمت، از مدیریت صحیح و درست كسب و كار اطمینان دارد.
یك سیستم ERP نمی­تواند به اندازه­ای هوشمند باشد كه بتواند كیفیت و یا صحت اطلاعاتی را كه توسط هر كاربر وارد می‌شود تعیین نماید. به بیان دیگر، یك سیستم ERP قادر نیست تا از ورود تراكنش‌های جعلی جلوگیری نماید. به‌عنوان مثال، هنگامی موجودی واقعی كالا در انبار مطابق با مقدار آن در سیستم می­باشد كه دقت كافی در شمارش كالا و ورود اطلاعات به سیستم به‌عمل آید. یك انباردار بی­دقت می­تواند با شمارش تخمینی موجودی كالا و ورود مقادیر دلخواه در سیستم، موجب به‌وجود آمدن مغایرت شود. بنابراین، گزارش‌گیری از سیستم ERP هنگامی خوب و مفید خواهد بود كه اطلاعات صحیح و مناسبی در آن وارد گردند؛ گرچه فناوری قادر به یاری سازمان می­باشد و می­توان از قابلیت‌های اصلی سیستم‌های ERP به‌منظور خودكارسازی پردازش‌ها و مدیریت تراكنش‌ها استفاده نمود.
هوشمندی سیستم‌های ERP موجود به اندازه­ای نیست كه موجب اجباری شدن نظارت سازمانی شوند. اگرچه این سیستم‌ها، سازوکارهایی به‌منظور پشتیبانی نظارت سازمانی ارائه می‌نمایند ولی هیچ ساختار پشتیبانی واضح و صریحی، از منظر امنیتی و گزارش­گیری، در سیستم وجود ندارد. نتیجه آن است كه سازمان‌هایی كه از سیستم‌های ERP استفاده می‌نمایند قادر نیستند كه تعیین كنند چگونه می­توان از استانداردهای نظارت سازمانی پیروی نمود.
با استفاده از نظارت سازمانی، به‌سادگی می­توان پیاده‌سازی امنیت یك سیستم ERP را كه به‌صورت كامل در سازمان اجرا شده است، تضمین نمود. همان‌گونه كه اشاره شد، تمام سیستم‌های ERP كه در این مقاله بررسی گردیدند، روش‌های مناسبی برای محافظت و محدودیت دسترسی به پردازش‌ها و اطلاعات فراهم می­آورند.

1-4-7-فقدان یك روشگان پیاده‌سازی

در بخش قبلی، به موارد عملی كه باید توسط یك سیستم ERP پشتیبانی شوند، اشاره شد. باید توجه داشت كه پیاده‌سازی یك سیستم ERP ، عموماً شامل چندین مرحله و كار مجزا می­باشد. این مراحل در برنامه­ریزی پروژه وجود داشته و شامل چند كار مجزا می­باشد. از جمله این كارها می­توان نصب سیستم، مدیریت تغییر در سازمان و فعالیت‌های مربوط به انتقال اطلاعات را نام برد.
به‌ندرت اتفاق می­افتد كه به پیاده‌سازی یك راه­حل امنیتی در پروژه پیاده‌سازی ERP ، توجه كافی شود. همان‌گونه كه در سیستم‌های ERP جدید، تمركز اصلی بر روی خودكارسازی و پشتیبانی فرآیندهای تجاری است، فعالیت‌های مربوط به نگاشت فرآیندهای تجاری به عملیات نرم­افزار، در نتیجه تلاش بسیار زیادی حاصل می­گردند. معمولاً به پیاده‌سازی و پیكربندی امنیت در سیستم ERP انتخابی، توجه كمی می‌شود. متأسفانه، ممكن است هنگامی سازمان‌ها به فكر محافظت از داده­ها و پردازش‌های خود بیفتند كه بسیار دیر شده است.
به‌منظور كسب اطمینان از پیاده‌سازی درست امنیت در یك محیط ERP ، استفاده از یك روشگان تثبیت شده، امری ضروری و اجتناب ناپذیر است. اگرچه اكثر عرضه­كنندگان ERP ، یك روشگان پیاده‌سازی برای محصول ERP خود ارائه می‌نمایند، ولی اطلاعات بسیار كمی درخصوص پیاده‌سازی امنیت سیستم ارائه می‌نمایند. روشگان ایده­آل باید استفاده از مالكیت اطلاعات را تضمین نموده و شامل مدیریت ریسك و تفكیك وظائف باشد.

1-4-8-تمركز بر جنبه فنی پیاده‌سازی

در بخش قبل، بر پیاده‌سازی امنیت یك سیستم ERP با استفاده از یك روشگان  یا رویكردی استاندارد تأكید گردید. یك روشگان استاندارد می­تواند با در اختیار گذاشتن رهنمودهایی، یاری­ رسان مدیران امنیت باشد.
تجزیه و تحلیل سیستم‌های ERP بررسی شده در این مقاله نشان می‌دهد كه پیاده‌سازی امنیت، معمولاً به‌صورت متمركز انجام می‌شود. همچنین بیان شد كه ایجاد نقش‌ها و پروفایل‌های كاربران، معمولاً توسط مدیر امنیت یا مدیر سیستم انجام می‌شود. ماهیت محیط ERP ایجاب می­كند كه مدیر امنیت، دانش فنی لازم را درخصوص پیاده‌سازی امنیت سیستم ERP انتخاب شده دارا باشد. همچنین، ماهیت فنی امنیت سیستم‌های ERP ایجاب می­نماید كه اعضای تیم پیاده‌سازی، دانش فنی كافی داشته باشند. این مسئله به این امر منتهی می‌گردد كه در پیاده‌سازی امنیت یك سیستم ERP ، توجه كمی به موارد كسب و كار مورد نیاز، شود.
تمركز بر جنبه­های فنی، در طولانی مدت، موجب وارد آوردن خسارت به كسب و كار می‌گردد. همچنین بیان گردید كه مدیران امنیت، در نگاشت وظائف كاربر به قابلیت‌های سیستم، با مشكل مواجه هستند. اگرچه معمولاً این نگاشت امكان­پذیر بوده و سطح امنیت مطلوب، دست­یافتنی است ولی فرآیند نگاشت یك كاربر به نقش‌ها و پروفایل‌ها، بدون توجه به فرآیندهای واقعی سازمان انجام می‌شود.
برای روشن شدن این موضوع، مثالی ارائه می‌گردد. فرض نمایید كه تعدادی از توابع قسمت‌های مختلف سیستم ERP باید به كاربران سازمان تخصیص یابد. در یك پروژه پیاده‌سازی نمونه ERP ، تحلیلگران فرآیند به‌منظور تعیین نگاشت فرآیندهای كسب و كار به سیستم، با خبرگان فرآیند همكاری می‌نمایند. پس از نگاشت و آزمایش فرآیندها، خبرگان فرآیند، كاربران نهائی سازمان را شناسایی نموده و به مدیر امنیت اعلام می‌نمایند. اطلاعاتی كه به مدیر امنیت كمك می‌نمایند، معمولاً شامل نام و سایر مشخصات كاربری می­باشد. علاوه بر این، شرح مختصری از این‌كه كاربران نهائی، مجاز به انجام چه كارهایی می­باشند در اختیار مدیر امنیت قرار می‌گیرد. یك روش سنتی مستندسازی نیازهای امنیتی، علامت‌گذاری توابع و فهرست‌ها، در یک کاربرگ بزرگ است ] 1 [ . مدیر امنیت، دانش فنی مورد نیاز برای ایجاد پرونده­های اطلاعاتی كاربری و جمع­آوری اطلاعات مورد نیاز آن‌ها را دارد.
بررسی اجمالی ایجاد كاربران سیستم و تخصیص نقش‌ها و پروفایل‌ها به آن‌ها، یك روش استاندارد پیاده‌سازی امنیت در یك سیستم ERP است. در حالت ایده­ال باید گفت كه نیازی نیست خبرگان فرآیند، از نحوه تخصیص محدودیت‌های امنیتی مطلع باشند. به‌علت ماهیت فنی این كار، تقریباً برای خبرگان فرآیند، اجرای یك بررسی و مرور كامل امكان­پذیر نمی‌باشد. درصورتی‌كه مدیر امنیت، برای انجام تغییرات در دسترس نباشد، پیامدهای زیادی برای سازمان دربر خواهد داشت.
در مطلب ارائه شده، برخی از مشكلاتی كه به‌علت ماهیت فنی پیاده‌سازی امنیت سیستم‌های ERP به‌وجود می­آیند بیان شد. عوارض دیگر، مربوط به هزینه بالای نگهداری پیكربندی امنیت می­باشد زیرا برای این كار به مهارت‌های خاصی نیاز است. به‌منظور كشف و تعیین پیكربندی اشیاء امنیتی موجود، به زمان مشخص و افراد ماهری نیاز است. این مورد، بخصوص در مورد سازمان‌های بزرگ و سیستم‌های پیچیده صادق است. در اینجا، تنظیم اشیاء امنیتی مشكل بوده و نگهداری آن‌ها هزینه­بر است. معمولاً تعیین ساختار یك امنیت پیاده‌سازی شده بسیار دشوار است. كنترل و مدیریت فهرست‌ها، نقش‌ها و پروفایل‌های موجود، زمانبر بوده و به دانش زیادی در هر دو زمینه فنی و تجاری نیازمند است.
به دلائل ذكر شده، معمولاً پیكربندی امنیت برای مالكان اطلاعات امكان­پذیر نمی‌باشد زیرا شیوه پیاده‌سازی خیلی متمایل به مسائل فنی است. در نتیجه، امنیت ناكافی بوده، از مدیریت دشواری برخوردار بوده و نهایتاً، سازمان را در معرض مخاطرات ناخواسته قرار می‌دهد.

1-4-9-مستندسازی تنظیمات امنیتی

در روش‌های موجود، نیاز به مستندات جزئی و دقیق، پوشش داده نمی‌شود. در بخش قبلی، بر ماهیت فنی امنیت سیستم‌های ERP موجود تأكید گردید. بدون مستندسازی كافی، برای یك مدیر جدید امنیت بسیار دشوار است كه معماری امنیتی موجود را فهمیده و تغییرات مورد نیاز را تشخیص دهد.
در بیشتر پروژه­های ERP ، طراحی و پیاده‌سازی امنیت، به‌منظور برخی توسعه­های آتی، مستند می‌شود. اكثراً این موارد شامل قواعد نامگذاری برای اشیائی كه باید ایجاد شوند می­باشد. جدا از این مسئله، هیچ قواعد نامگذاری استانداردی برای اشیاء امنیتی سیستم‌های ERP موجود وجود ندارد؛ به‌طوری‌كه مشتری قادر است هرچیزی را كه مناسب تشخیص می‌دهد انتخاب نماید. نامگذاری نامناسب نقش‌ها، فهرست‌ها و پروفایل‌ها می­تواند نتایج بدی برای پیاده‌سازی امنیت سیستم به‌همراه داشته باشد.
متأسفانه، یك سیستم ERP یك موجودیت ساكن نیست. همانند سایر موارد امروزی مربوط به حوزه كسب و كار، تغییرات اجتناب­ناپذیر می­باشند. این مسئله در مورد امنیت یك سیستم ERP نیز صادق است. اگرچه ممكن است نیازی به تغییرات اساسی در طراحی نباشد، اما به‌عنوان مثال ممكن است كارمندانی كه در شغل‌های كلیدی مشغول به‌كار هستند، به‌علت بیماری در دسترس نباشند. به‌منظور جایگزینی كارمندان، معمولاً در عمل، وظائف كارمند غایب را تقسیم نموده و هر بخش را به فرد دیگری تخصیص می­دهند. نه تنها این وظائف اضافی باید به كاربران تخصیص یابد بلكه پرونده اطلاعاتی كاربران نیز باید تغییر نماید. این مورد یكی از بزرگ‌ترین مخاطرات امنیتی است كه ممكن است در سازمان رخ دهد. در بیشتر حالات، مدیر امنیت با مشكل محدودیت زمان مواجه بوده و قادر به ایجاد و آزمایش یك مجموعه جدید از قوانین، فهرست‌ها و یا پروفایل‌ها نمی‌باشد. اغلب اوقات ساده‌تر آن است كه اشیاء موجود به كاربران جدیدی تخصیص یابند. در این حالت نیاز به اجرای هیچ آزمایش منفی نمی‌باشد. به‌عبارت دیگر، اگر كاربر قادر باشد كه تراكنش مدنظر را اجرا نماید، جانشینی كاربر غایب به‌طور موفقیت­آمیزی انجام شده است و به هیچ كنترلی برای تعیین این‌كه كاربر توانایی اجرای كارهای ناسازگار را دارد یا خیر نیاز نمی‌باشد. اگرچه در این مثال نیازی به مستندسازی جزئیات نمی‌باشد ولی درصورتی‌كه مستندسازی انجام شود، نتیجه نهائی عمل مدیر امنیت قابل دستیابی خواهد بود. به‌منظور ایجاد صحت و اعتبار، مستندسازی باید دائماً برای انعكاس وضعیت موجود و پیكربندی سیستم ERP ، تغییر نموده و بروز شود. این امر برای خبرگان فرآیند نیز صادق است و آن‌ها باید از مستند شدن صحیح هرگونه تغییر در فرآیندهای كاری اطمینان داشته باشند. در مورد فرآیندهای كاری، مسئولیت تغییرات برعهده خبرگان فرآیند و كارمندان ارشد سازمان می­باشد. نتیجه نهائی مستندسازی فرآیندهای كاری این است كه كل مجموعه سازمان می­توانند از آن مطلع شوند. ممكن است به‌همین علت، نیاز به مستندسازی كاهش یابد ولی همچنان باید گفت كه مستندسازی از اهمیت بسزائی برخوردار است. برای تشریح این مسئله می­توان مدیر امنیتی را در نظر گرفت كه ممكن است روزانه نیاز به اعمال تغییرات زیادی در پرونده­های اطلاعاتی كاربران و سایر اشیاء امنیتی سیستم داشته باشد. از آنجا كه انجام تغییرات، یك كار فنی است، معمولاً هیچكس در سازمان تمایلی به مستندسازی آن‌ها ندارد. در جایی كه بر مدیریت تغییر تأكید می‌گردد، صرفاً وجود فرم‌های تغییر، می­تواند به‌عنوان مستندسازی تغییرات در نظر گرفته شود. به‌منظور كارآیی بیشتر، مستندسازی باید بروز بوده و توسط راهبرد مدیریت تغییر پشتیبانی شود. سیستم‌های ERP بررسی شده در این مقاله، مستندسازی مناسبی برای پیكربندی اشیاء امنیتی، ارائه نمی‌كنند.

1-5-جمع­بندی

در بخش‌های گذشته، برخی از مشكلاتی كه در حوزه امنیت اكثر سیستم‌های ERP وجود دارند، تشریح گردید. به‌طور خلاصه می­توان موارد مطرح شده را به‌صورت ذیل بیان نمود:

  • پیاده‌سازی امنیت سیستم‌های ERP ، به‌صورت متمركز انجام می‌شود.
  • نتیجه رویكرد متمركز پیاده‌سازی امنیت در سیستم‌های ERP این است كه مفهوم مالكیت اطلاعات به فراموشی سپرده می‌شود.
  • عدم پشتیبانی از مفهوم مالكیت اطلاعات موجب می‌گردد در تفكیك وظائف ممكن، كمكی به سازمان نشود.
  • بدون داشتن دسترسی به یك روش آسان تفكیك وظائف، ممكن است مخاطراتی سازمان را تهدید نماید.
  • پشتیبانی ضعیف از موارد مربوط به نظارت سازمانی، بخصوص مواردی كه توسط قانون وضع می­شوند، در سیستم‌های ERP مشهود است.
  • هیچ‌یك از سیستم‌های ERP شناسایی شده، روشگان كاملی برای پیاده‌سازی امنیت ارائه نمی­كنند.
  • پیاده‌سازی امنیت، به‌جای تمركز بر موضوعات كسب و كار، بر جنبه­های فنی تأكید دارد.
  • سیستم‌های ERP بررسی شده، مستندسازی كمی درخصوص اشیاء امنیتی ارائه می­كنند.
در انتها باید اشاره نمود كه مالكیت اطلاعات و مدیریت مخاطرات، مهمترین مفاهیمی هستند كه می­توان در بهبود امنیت سیستم‌های ERP در نظر گرفت.
سپاسگزاری
نویسنده این مقاله از همفكری و راهنمایی­های ارزنده جناب آقای دكتر محمد عبدالهی ازگمی و تلاش و مساعدت تمام اعضای كمیته علمی نخستین همایش تخصصی آموزشی مدیران پروژه­های فناوری اطلاعات كه زحمت بررسی و داوری این مقاله را متقبل گردیدند كمال سپاسگزاری را دارد.
مراجع
[1] خندان، فرزاد، "امنیت در سیستم‌های برنامه­ریزی منابع سازمان"، چهارمین همایش سالانه سیستم مدیریت امنیت اطلاعات، مركز همایش‌های بین­المللی صدا و سیما، آذر 1386
[2] Knigge, Marlene, Access Control in ERP Systems, Diploma Thesis, University of Hamburg, 22 December 2005
[3] Woitass, Michael, "Security in SAP Systems", FIST Conference, 26th of November 2004, Barcelona
[4] SAP BASIS and Security Administration, thespot4sap LTD
[5] Hughes, Joy R.,Beer, Robert, "A Security Checklist for ERP Implementations", 2007
[6] S.Russell, Roberta, "A Framework for Analyzing ERP Security Threats", Department of Business Technology, Virginia Tech, Blacksburg, VA USA 2406l
[7] Thinking Top-Down: A New Approach to ERP Risk and Compliance Management, http://www.d2c.net
[8] Security Fundamentals for Oracle E-Business Suite, http://www.Oracle.com