ERP HABER dergisi Aralık 2016

seçmektedir. Aynı şekilde yazılım firmaları ürünlerden 

desteklerini çektiği durumda sisteme hiçbir zaman 

güncelleme yapılamamakta yazılımlar ciddi güvenlik 

zafiyetleri oluşturmaktadır. 

Gerçek bir işletme yazılımı güvenliği için bütünsel 

bir yaklaşım takip edilmelidir. ERP yazılımının 

güvenliği, üzerinde çalıştığı işletim sisteminin 

güvenliği, sunucunun fiziksel güvenliği, ağın 

güvenliği, son kullanıcıların güvenliği gibi konuları 

sorgulanmalıdır. Güncel olmayan bir işletim sistemin 

üzerinde çalışan ERP’nin güncel olması sistemin 

güvenli olduğunu göstermemektedir. Eski ürünleri 

kullanan müşterilerin böyle bir durumda oluşan 

açıklara yapılacak saldırılara doğrudan maruz 

kalmaktadırlar. Bunun en kötü örneği endüstride 

Windows XP işletim sistemi ile yaşanmaktadır. Şu 

an yapılan araştırmalarda Windows XP kullanımı 

dünyada genel kullanımda %20 lik payı vardır, 

işletmelerde kullanılan işletim sistemleri oranına 

bakıldıgında %60 lara yaklaşmaktadır. Güvenlik 

açıkları olan işletim sistemleri kullanmak bilgisayar 

korsanları için aktif ve pasif saldırılara çok açık olduğu 

için ciddi güvenlik riskleri oluşturmaktadır. 

Yetersiz raporlama yeteneği dış raporlama yol 

açabilir ve veri denetimi kaybı da veri güvenliğini 

doğrudan etkileyen bir unsurdur. Yeni nesil ERP 

sistemlerinin çözdüğü raporlama araçları sistemin 

doğru ve güvenli çalışmasının kontrolü için hayati 

veriler üretirler. Bu verilerinde üretildikten sonra 

canlı sistemden hariç güvenli bir yerde tutulmasını 

gerekmektedir. Bir veri sistemi için en tehlikeli 

komut güncellemedir. Kabiliyetsiz raporlama 

araçları ile verilen raporların en büyük problemi 

verinin geriye dönük kontrolü ve zaman içerisinde 

değişmiş verideki değişimi gösteremiyor olmasından 

kaynaklanmaktadır. Geriye dönük verilerdeki 

güncellemeler tespiti çok zor ve telafisi mümkün 

olmayan sonuçlar doğurabilir. 

Veri denetimi kaybolmuş bir ERP sisteminde dış 

raporlama ihtiyaçları doğmaktadır. Özellikle kritik 

verilerin dışarıya aktarmasına Access ve Excel gibi 

kullanıcı dostu ara sistemlere izin verilmektedir. 

Verinin başka bir hedefe açılması yalnızca ana 

sistemin güvenliği ile değil verinin açıldığı alt hedef 

sistemlerin de güvenli olmasını gerektirmektedir. 

Veri dışarı aktarıldıktan sonra taşınması kopyalanması 

ve bunun kontrol edilememesi ciddi güvenlik 

zafiyetleri doğurmaktadır. Daha güvenli, kabiliyetli ve 

merkezi kontrol edilebilen raporlama araçları tercih 

edilmelidir. ERP sistemlerinde işletmenin vereceği 

beyanlardan veriler önemine göre sınıflandırılmalıdır. 

Veri denetimi ve yetkilendirme artırılmalı dışarıya 

aktarılırken verinin sınıflarına göre izinler verilmelidir. 

Ancak bu noktada güvenlik protokolleri şeffaf 

olmasına önem verilmeli kullanıcının çalışmasını 

engelleyecek zorlaştıracak uygulamalardan uzak 

durulmalıdır. Güvenlik ve çalışabilirlik arasındaki 

denge devamlı saha testleri ile kontrol edilmelidir. 

Haklı olarak birçok işletme dışarıdan gelebilecek 

tehditlere, veri merkezlerinin fiziksel güvenliğine 

ve son kullanıcı güvenliği konusuna odaklanır. 

Ancak işletmeler için dışarıdan bir bilgisayar korsanı 

saldırısı alma ihtimali içeride bir teknik personel veya 

sistem sağlayıcılar erişim ve değiştirme yetkilerini 

hatalı ya da kötüye kullanmasından daha düşük 

bir ihtimaldir. İşletmenin çalışanlarının işletmelere 

verebileceği zarar dış tehditlerin vereceği zarardan 

daha yüksek olarak görünmektedir. Elbette dış tehdit 

için alınan tedbirler önemli ancak kullanıcılarında 

doğru yetkilendirilmesi ve bu yetki kullanımlarının 

kontrol edilmesi ve düzenli yedekleme yapılması 

gerekmektedir. Özellikle takibi artırmak için her 

kullanıcıya bir hesap açılmalı ve bu hesapların güçlü 

şifrelerle korunması ve şifrelerin paylaşılmaması 

konusundan çalışanlar bilgilendirilmelidir. Sosyal 

mühendislik ataklarına karşı çalışanlar bilgilendirmeli, 

habersiz tatbikatlar yapılmalı sonuçları çalışanlara 

sunulmalıdır. 

Sonuç olarak bir ERP sisteminin güvenliği 

işletmenin fiziksel ve dijital olarak güvenliği ile 

doğrudan ilişkilidir. Yazılım firmaları ve işletmeler 

üzerine düşen tedbirleri ivedilikle almalıdır. Güvenlik 

maliyetlerinden ziyade saldırı senaryolarındaki 

zarar maliyetleri üzerinde durulmalıdır. Zincir en 

zayıf halkası kadar güçlü olduğu unutulmamalıdır. 

Siber güvenliğin en zayıf halkası kullanıcılardır. 

Kullanıcılara düzenli olarak güvenlik eğitimleri 

verilmelidir. Güvenlik protokollerinin kullanıcılarının 

iş süreçlerini yavaşlatmayacak şekilde şeffaf olarak 

hazırlanması gerekmektedir. Dünyanın her yerinden 

standartlaşma ve hukuksal süreçlerle ile ilgili 

gelişme haberleri gelirken ülkemizin de bu konuda 

çalışmalar yaptığı işletmelerin iş güvenlik uzmanları 

gibi yazılımların da siber güvenlik uzmanlarının 

denetimine sokulması kulislerde konuşulmaktadır. 

Standartları ve yeni hukuksal sorumlulukları zaman 

gösterecektir. Profesyonellerden destek alınmalı, 

sistemin güvenlik testleri yaptırılmalı tedbir alınacak 

alanları belirlemek için risk haritaları çıkarılmalıdır. 

ERP güvenliğine dikkat çekmek için hazırladığım 

bu yazıda bahsedilen riskler ve tedbirler bu kısa 

yazıya sığmayacak kadar fazladır. Bize düşen ERP ile 

yönettiğimiz potansiyelimizi korumalı, siber tehditlere 

karşı tedbirleri daha saldırılar gerçekleşmeden almaya 

çalışmalıyız. 

Türkiye’nin ilk ERP e-dergisi 

|43| 

www.erphaber.com.tr

Previous page

Next page

3

4

5

6

7

8

9

10

11

12

13

14

15

16

18

20

22

24

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

ERP HABER dergisi Aralık 2016

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?