Page 498 - KobiEfor Şubat 2022
P. 498
Ağ Katmanı (Trafik durdurma ve değiştirme) • Ayrışma veya görevlerin ayrılması SoD olarak da bili-
nen, bir kullanıcının diğer kullanıcılar olmadan işlem
• Veri şifreleme yokluğu yapamayacağı kavramdır. (Örneğin, bir kullanıcı yeni bir
• Açık metin olarak şifre gönderme tedarikçi ekleyemez, bir çek yazamaz veya bir tedarikçiye ERP güvenliği için yapılabilecek 5 temel şey
• Şifreleme veya kimlik doğrulama protokollerindeki gü- ödeme yapamaz.)
venlik açıkları sizlere genel ölçüde yol gösterecektir.
• Eski kimlik doğrulama protokollerinin kullanımını da- Bazı kulaktan dolma bilgiler ile ağ/sistem yöneticilerinin
yatmak bir kısmı ERP ile ilgili olan bazı güvenlik sorunlarını gör-
• Yanlış kimlik doğrulama protokolleri mezden gelirler. Örnek verecek olursam;
• Dış dünyayla bağlantısı olmadığı için ERP internet kay- 1. Güvenli bir ERP yazılımı bulmak: Çoğu üreti- testleri yaptırılmalı, tedbir alınacak alanları belirle-
mek için risk haritaları çıkarılmalıdır.
cinin yazılımları güvenlidir. Ancak size özel gelişti-
naklı saldırılardan etkilenmez,
Protokollerdeki güvenlik açıkları • ERP üreticisi firma güvenliğini zaten sağlar, rilen veya sizden başka çok az kullanıcısı olan yazı- Ayrıca kurumlar teknolojik altyapısını, donanım,
(Ör. RFC protokolü • Remote Function Call) RFC çağrısı, • Kimse bize özel yazılmış bir modülde zafi yet aramakla lımlarının güvenliği konusunda endişeleriniz varsa yazılım, güvenlik ve bilgiye erişim alanlarını siste-
yazılımı almadan önce tarafsız bir şirketten yazılım
bir sistemde bulunan işlevsel bir modülü çağırmayı ve ça- uğraşmaz, güvenliğine ve performansına ilişkin testlerin yapıl- matik olarak denetime tabi tutmalıdır. Bilgi kullanı-
lıştırmayı sağlayan bir işlevdir. • Her kullanıcının yapabilecekleri zaten sınırlı. cıları için üretilen bilginin güvenilirliği, zamanlılığı
masını ve bulunan zafiyetlerin giderilmesini talep ve sürekliliği için ERP sistemlerinde sürekli dene-
edebilirsiniz. tim gereklidir. İşletme varlıklarının korunması, veri
ERP yazılımınız doğrudan internete veya VPN ile başka bir
İşletim sistemi yazılım güvenlik açıkları ofise/fabrikaya bağlı olmayabilir, ama yazılımı kullandığı- 2. Güvenli bir kurulum yapmak: Yazılımın ku- bütünlüğünün sağlanması için Bilişim Teknolojileri
• İşletim sistemindeki herhangi bir uzak güvenlik açığı nız ağ internete bağlı ise bu durumda saldırganların ERP rulacak ağ mimarisinin güvenli olması, yazılımın denetimi önemli bir süreçtir. Sürdürülebilir başarı
çalışacağı sunucuların işletim sistemlerinin güven-
ve güvenlik için riskleri minimize etmek ve görev-
• Zayıf işletim sistemi şifreleri yazılımınıza giden bir yol bulması ve bunu kullanarak bu liği, fabrika çıkışı kullanıcı adları ve parolaların de- ler ayrılığı ilkesini benimseyerek güncel sistemleri
• Uzaktan şifre kaba zorlama yazılımınızı hedef almaları pekala mümkün olacaktır. ğiştirilmesi, üretici tarafından sunulan ek güvenlik işletme yapısına entegre etmek ERP sistemleri gü-
• Radmin gibi uzaktan yönetim araçları için boş parolalar Gelişen iş yapış biçimleri nedeniyle bazı durumlarda uy- seçenekleri/modülleri varsa bunların devreye alın- venliği için oldukça önemlidir.
ve güvenli olmayan işletim sistemi ayarları, zayıf işletim gulamanın doğrudan internete açılması da gerekebilir. Bu ması gibi konular titizlikle ele alınmalıdır.
sistemi şifreleri durumda ERP yazılımı, internet uygulamalarına karşı gör- ERP güvenliğine dikkat çekmek için hazırladığım
• Güvenli olmayan ana bilgisayar ayarları. Güvenilir ana düğümüz saldırıların tamamından etkilenecektir. İnternet 3. Yazılımı yönetenlerin eğitimini sağlamak: bu yazıda riskler ve tedbirler bu kısa yazıya sığma-
bilgisayarlarda sunucular listelenebilir ve bir saldırgan üzerinden erişilebilir durumda olan bir ERP yazılımının ERP yazılımı üzerinde hangi değişikliklerin na- yacak kadar fazladır. Bilginin güvenliğini, bütünlü-
bunlara kolayca erişebilir. kullanıcılarının sosyal mühendislik saldırılarının hedefi sıl yapılacağının belirlenmesi, hangi kullanıcıların ğünü sağlayan ve gerektiğinde yetkili kişilerin bil-
olacağını da burada belirtmekte fayda var. hangi yetkilerle bu yazılıma erişebileceği, uzaktan giye kolayca ulaşmasına imkân veren BGYS olarak
erişim şartlarının ne olduğu, kullanıcı davranışla- kısaltılmış olan sistem kurulduğunda ve uluslarara-
Uygulama güvenlik açıkları rının ve veri tabanı hareketlerinin nasıl izleneceği sı ISO 27001:2013 standardının gereklerini yerine
ERP sistemleri, birçok güvenlik açığı ile web uygulamaları ERP Üreticisinden firma güvenliğini gibi konular ele alınmalıdır. getirmekle, bir kuruluş, değer varlıklarının başında
gelen bilgi varlıklarının güvenliğini sağlamaya yö-
düzeyinde daha fazla işlevsellik aktarır: sağlamasının beklenmesi 4. Kullanıcı farkındalığının artırılması: Kullanı- nelik önemli bir adım atmış ve ERP sistemlerini de
cıların oltalama saldırıları gibi sosyal mühendislik
• Web uygulaması güvenlik açıkları (XSS, XSRF, SQL En- ERP üreticisi güvenliği sağlamıyor. Çoğu lisans anlaş- saldırılarına karşı bilinçlendirilmesi bu saldırılara güvence altına almıştır.
jeksiyonu, Yanıt Bölme, Kod Yürütme) masında ERP üreticisi firmanın böyle bir sorumluluğu karşı alınabilecek en etkili tedbirdir. Kullanıcı eği- ISO/IEC 27001, dünyanın hangi ülkesinden veya
• Web sunucularında ve uygulama sunucularında arabel- da yok. Yazılım üreticileri teknik aksaklıklar, yazılım ve timlerine bilgi güvenliği dahil edilmelidir. hangi sektörden olursa olsun büyük küçük tüm
lek taşması ve biçim dizesi mimari hataları düzeltmek ve bunlara karşı tedbir almak kuruluşlara uygundur. Bu standart, finans, sağlık,
• Erişim için güvensiz ayrıcalıklar için sıkı çalışırlar. Ancak bunların dışında kalan aşağıdaki 5. Süreçlerin sürekli denetlenmesi: ERP yazı- kamu ve BT sektörleri gibi bilginin korunmasının
• ERP sistemlerinde RBAC (Rol Tabanlı Erişim Kontrolü) konular büyük ölçüde ERP yazılımını kullananların so- lımının, kullanıcılarının ve veritabanının sürekli büyük öneme sahip olduğu alanlarda özellikle ge-
modeli, kullanıcıların işlem yapmaları ve iş nesnelerine rumluluğundadır: izlenmesi ve saldırgan veya alışılmışın dışında göz- reklidir.
erişim sağlamaları. Modelde, bir kullanıcıya erişim izni lemlenen hareketlerin hızlıca tespit edilip gerekli
verme kararı, kullanıcıların işlevlerine veya rollerine göre • Kurulum sırasında yapılan mimari hatalar müdahalelerin yapılması gereklidir. Tüm işletmeler ERP güvenliği için, bilgiyi sistemler
• Fabrika ayarlarında bırakılan konfigürasyonlar/konfigü-
alınır. Roller, kullanıcının veya bir grup kullanıcının şir- Sonuç olarak, bir ERP sisteminin güvenliği işletme- sayesinde tesadüfe bırakmadan korumalı, yasalara
kette gerçekleştirdiği çok sayıda işlemdir. İşlem, bu işle- rasyon hataları nin fiziksel ve dijital olarak güvenliği ile doğrudan daima uyumlu olmalı, siber saldırlara karşı tedbir-
min gerçekleştirilmesine yardımcı olan sistem verilerini • Kullanıcı hataları ilişkilidir. Yazılım firmaları ve işletmeler, üzerine leri almalı ve düzenli olarak iç ve dış denetim yap-
dönüştürme prosedürüdür. Herhangi bir rol için, bir veya • Yama ve güncellemelerin yapılması düşen tedbirleri almalıdır. Güvenlik maliyetlerin- malıdır.
daha fazla role sahip birkaç karşılık gelen kullanıcı vardır. • Eksik/yanlış politika ve süreçler den ziyade saldırı senaryolarındaki zarar maliyetleri
Roller hiyerarşik olabilir. Sistemde roller uygulandıktan üzerinde durulmalıdır. Zincirin en zayıf halkası ka-
sonra her role karşılık gelen işlemler nadiren değişir. Yö- Kısaca ERP yazılımını üreten firma size güvenli bir yazılım dar güçlü olduğu unutulmamalıdır. Siber güvenli- Kaynaklar:
neticinin rollere kullanıcı eklemesi veya silmesi gerekir. teslim etse bile kurulum, konfigürasyon ve kullanım sı- ğin en zayıf halkası kullanıcılardır. Kullanıcılara Normaturk, Wikipedia, cpm.com, CyberThink,
Yönetici, yeni bir kullanıcıya bir veya daha fazla rolde rasında yapılabilecek hatalar güvenlik zafiyetlerine neden düzenli olarak güvenlik eğitimleri verilmelidir. Pro- internet ortamındaki yazılar vb.
üyelik sağlar.
olabilir. fesyonellerden destek alınmalı, sistemin güvenlik
374 ERP SATIN ALMA REHBERİ
