C’è stato un tempo in cui occuparsi della sicurezza degli ERP e più in generale dei software gestionali era un compito relativamente semplice: si trattava di sistemi spesso legacy, nella maggior parte dei casi on premise e ospitati su server che si trovavano in sede aziendale. Con un sistema di gestione di accessi e privilegi solido e una policy di networking abbastanza rigida, ci si metteva al riparo dalla grande maggioranza dei rischi. Inoltre, in molti casi, il “gestionale” era più una commodity che un asset per cui, anche in caso di eventi distruttivi, molte aziende erano in grado di farne a meno per diverso tempo, pur con qualche difficolta.
Oggi lo scenario è radicalmente cambiato. Prima di tutto perché gli ERP sono diventati indispensabili all’interno dei processi aziendali. Poi perché le modalità stesse di fruizione del software sono cambiate, così, come, negli ultimi anni, sono cambiate le modalità di lavoro. La cyber security, insomma, riguarda sempre di più anche gli ERP e soprattutto non è un problema esclusivo delle grandi aziende.
Per capire meglio i fondamenti della sicurezza degli ERP oggi abbiamo sentito Mattia Macellari, direttore operativo di C.A.T.A Informatica, azienda specializzata nel settore.
Da dove partire per mettere in sicurezza un ERP
Applicare strategie di cybersecurity a un ERP, oggi, presenta un certo livello di complessità, soprattutto per la sua importanza strategica. “Prima di tutto penso sia fondamentale fare una considerazione: l’ERP rappresenta un asset fondamentale dell’azienda, non si può quindi rischiare di esporre questa applicazione strategica alla perdita di dati colposa o dolosa che sia. L’imprenditore e il top manager deve prevedere una strategia per prevenire il data breach e per un eventuale ripristino in termini di tempi e costi” spiega Macellari.
Due punti, secondo l’esperto di C.A.T.A Informatica, sono fondamentali e imprescindibili. Il primo è valutare l’infrastruttura più adatta sulla base delle funzionalità dell’applicativo e dell’utilizzo che l’impresa vuole fare dell’applicazione ERP. Il secondo, ma altrettanto fondamentale, è prevedere la formazione e la sensibilizzazione degli utenti.
Da queste considerazioni emerge un tema sempre più attuale: il digitale in generale e la cybersecurity in particolare sono sempre meno un tema tecnico e sempre più un tema di governance. Le scelte strategiche e tecniche rimangono fondamentali, ma devono essere accompagnate anche da operazioni di change management adeguate a formare e informare gli utenti.
Una risorsa che è cambiata nel corso degli anni
Nella concezione dell’utente medio, in particolare di quello con poca cultura digitale, l’ERP è una risorsa relativamente poco esposta. Una convinzione che è soprattutto un retaggio del passato, ma che in molti contesti è difficile a morire. Oggi in realtà gli ERP sono esposti come, e in alcuni casi più, di altri asset.
Al contrario, la messa in sicurezza è fondamentale, prima di tutto perché, come già sottolineato, i dati che vengono gestiti all’interno dell’ERP sono sempre più un bene strategico, e poi perché le operazioni sono fortemente dipendenti dallo stato di salute di questo sistema. “L’imprenditore dovrebbe ragionare sul costo di fermo aziendale, non potendo disporre del gestore dei processi aziendali, ponderando bene quindi gli investimenti da dedicare alla protezione di questo asset, tanto quanto ad esempio un brevetto di un proprio prodotto” commenta Macellari.
Inoltre, il numero di cyberattacchi, anche a danno di imprese medie e piccole è in costante aumento. Questo, insieme a un’accessibilità sempre più diffusa alle risorse e agli strumenti aziendali, rende indispensabile pianificare politiche e soluzioni di sicurezza per gli ERP. “I Cyber Attacchi sono in costante aumento e sentiamo sempre di più storie di PMI ricattate per riavere il proprio database crittografato. Inoltre, gli utenti medi sono ormai sempre più abituati a interagire a tutti i livelli con la tecnologia e questo, senza un’adeguata formazione, può far prendere sotto gamba alcune situazioni che poi generano perdita o distruzione di dati aziendali” – conclude il direttore generale di C.A.T.A Informatica.
Il perimetro aziendale è un concetto superato
Abbiamo accennato in apertura a come pensare oggi di applicare vecchie politiche estremamente restrittive per quanto riguarda la sicurezza non sia una scelta efficace sotto il profilo della fruibilità. Il modern work, e in generale un approccio sempre più distribuito all’accesso agli asset aziendali, rischiano di ridurre pesantemente l’efficacia di una soluzione ERP. Volendo rendere il problema con una iperbole non è pensabile, infatti, che gli operatori remoti debbano recarsi in sede appositamente per operare sull’ERP (o che debbano usare artifici tecnici complessi per farlo) né che l’utilizzo sia interamente demandato al personale che si trova in sede.
In tempi di perimetro aziendale effimero è necessario ripensare la sicurezza. “Tutte le aziende si sono abituate e organizzate per una modalità di lavoro più diffusa, al di fuori delle classiche mura aziendali. Chi progetta l’infrastruttura tecnologia in primis e poi i device degli utenti deve avere una configurazione di base che consenta autonomia di manovra ai singoli utenti ma all’interno di policy che tutela la sicurezza del dato e dell’applicazione” conferma Macellari.
La sicurezza non è solo prevenzione
Definire policy adeguate, tenere conto del cambiamento e addestrare il personale all’uso consapevole dell’ERP sono senza dubbio passaggi fondamentali. Tuttavia, la sicurezza deve, per propria natura, tenere conto anche delle eventualità meno auspicabili e più remote, in particolare incidenti ed eventi distruttivi. Entra in gioco anche il tema del disaster recovery, fondamentale per rimettere le aziende in condizioni di operatività nel peggiore dei casi.
“Con i livelli di servizio richiesti oggi dal mercato sia B2B che B2C, le aziende non si possono permettere il lusso di avere un’interruzione dell’operatività lavorativa causa indisponibilità forzata delle risorse tecnologiche. Lo si affronta facendo un’analisi attenta dei rischi e predisponendo un Disaster recovery plan che definisca le procedure, a partire dagli utenti, che dovranno essere messe in pratica in caso di dichiarazione di disastro ed indisponibilità dell’infrastruttura principale” conclude Macellari.
