Dünyada ve Türkiye’de yılda ortalama % 10’luk bir büyüme oranı sergileyen ERP, firma içerisinde işletmenin faaliyetlerini çeşitli yazılım ürünleriyle destekleyen özel ve önemli bir sistemdir. Materials Resource Planning ve Manufacturing Resource Planning sistemlerinin ardından geliştirilen ERP, kısa sürede üretim tabanlı hizmet veren şirketlerde yaygınlaşmıştır. İşletmenin temel iş süreçlerini ve fonksiyonlarını tek bir yapı içinde bütünleştiren ERP sistemi, birçok parçadan oluşan standart bir yazılım paketidir. Sistem doğru uygulandığında işletmeye verimlilik, karlılık ve maliyet avantajı sağlayan, güvenli bir bilgi paylaşımı ortamı sunabilen bir yapıdır. Bununla birlikte proje uygulamaları sırasında bazı riskler de söz konusudur.
ERP uygulamalarında en önemli süreç, kurumun ihtiyaçlarının doğru bir şekilde planlanması ve ERP paketinin bu ihtiyaçlara yönelik olarak uyarlanmasıdır. Uygulamalar sırasında danışmanlar yoğun çalışmalar yapmakta, firma proje ekibi ve son kullanıcılar bu adımları tamamlamak için zaman harcamaktadır. Bu aşamada denetimin göz ardı edilmemesi en önemli hususlardan biridir. Çeşitli incelemeler ve gözlemler sonucunda karşılaşılan ERP sistemleri ve altyapı konularından genel riskler şu şekilde sıralanabilir:
1.Genel Güvenlik Parametrelerinin Uygulanmaması
Şirketlerde karşılaşılan problemden ilki genel güvenlik parametrelerinin uygulanmamasıdır. Sistemlerde şifre parametrelerinin standartlara uymadığı ya da şifrelerin kompleks veya yeterli uzunlukta olmadığı öne çıkan problemler arasında yer almaktadır. Sistem kullanıcıları, belirli bir zaman aralığında değiştirilmesi zorunlu olmayan şifreleri kullanabilirler. Bunların yanı sıra sistem üzerinde aynı kullanıcı adı ile birden fazla terminal üzerinden, projenin ve testlerin devamı, lisans kaygıları sonucu ortak kullanıcıların bulunmasından dolayı sisteme başlanma parametrelerini açık bıraktırmaktadır. Sistem üzerinde time-out parametresi uygulanmadığı için, sistem belirli bir süre işlem yapmayan kullanıcıyı sistem dışına atmamaktadır. SAP ve Oracle’da sınırsız yetkilendirmelere sahip kullanıcıları düzenleyen ve sistem tarafından gereksinim duyulan bu kullanıcıları inaktif yapıp canlı ortamda kullanılmamasını sağlayan parametrelerin de doğru şekilde uygulanmadığı ve bu kullanıcıların sistem üzerinde kullanılabilir olmaları bir diğer güvenlik açığıdır.
ERP sistemlerinin güvenlik değerlerinin standartlardan düşük olması pek çok soruna neden olabilir. Bu tür durumlar yetkisiz kullanıcıların sistemde daha yüksek yetkiler ile işlem yapmasına, yapılan işlemlerde sorumlulukların belirlenememesine neden olmaktadır.
2.Sistem Üzerinde Tüm Kullanıcı Adlarının Benzersiz Olmaması
ERP sistemlerinde sıklıkla karşılaşılan bir diğer problem de, proje aşamasında deneme, test ve benzeri durumlar için açılan ancak sistem canlıya geçtiğinde hala kullanılmaya devam edilen kullanıcı adlarıdır. İz kayıtları izleme stratejileriyle bu tür kullanıcı adlarıyla yapılan işlemler incelenebilmektedir. Ancak tanımlanamayan kullanıcı adları ile yapılan işlemlerin kontrol altına alınması ve bu kullanıcı adlarıyla mevzuata aykırı yapılan işlemlerin sorumlularının tespit edilmesi oldukça güçtür.
3.Yetkilendirme, Superuser (Yetkili Kullanıcı) Problemleriyle Görevler Ayrılığı Prensibine Aykırı Durumlar
ERP sistemlerinde kullanıcı yetkilerinin doğu bir şekilde tanımlanması ve sisteme entegre edilmesi çok önemlidir. Böylece sadece görevli ve ilgili kişiler işlemleri yapabilecek, görevlilerin arasındaki sınır korunacak ve görevler ayrılığı prensibi (segregation of duties – SOD) uygulanabilecektir.
ERP uygulamalarında, projenin bazı aşamalarında test bazlı ya da doğru tanımlama yapılmadan verilen kullanıcı hakları, sistem canlı olarak kullanılmaya başlandığında bazı güvenlik riskleri içermektedir. Bu durum, canlı sisteme geçiş öncesinde kullanıcı haklarının listelenip, standartlara göre çakışmalarını belirleyecek programlar ile kullanıcı haklarının gözden geçirilmesini sağlayacaktır. Böylece sistemin güvenlik düzeyi artacaktır. Bununla birlikte yetkili kullanıcı (superuser) haklarının verildiği kullanıcıların da doğru kişiler olarak belirlenmesi çok önemlidir.
4.İşletim Sistemi, Veritabanı Sistemi ve ERP Sistemi Entegrasyonunun Sağlanması
Veritabanı ve işletim sistemi altyapısında değişiklik yapan firmalar, bazen yeni veritabanı ve işletim sistemi ortamlarında yeterli güvenlik seviyesine ulaşmamış olabilirler. Yeni veritabanı ve işletim sistemine geçen firmalar, ERP sistemi verimli çalıştığı halde diğer ortamların güvenlik açıkları bulunduğu ve bu açıkların ERP’nin üzerinde yürüdüğü veritabanına erişim, işletim sistemi üzerinde HTTP, FTP, NTS gibi servislerin açık olması gibi tüm sistemi etkileyecek problemlerle karşılaşabilirler. Bu tür durumlarda güvenlik uzmanlarının sistemin bütününü daha sağlam bir yapıya ulaştıracak testleri yapmaları gerekmektedir. Bununla birlikte ERP sistemlerinin uyarı ve iz kayıtları fonksiyonlarının kullanılmaması da bazı güvenlik ihlallerine karşı şirketleri zor durumda bırakabilir.
5.Önceden Tanımlı Şifrelerin Kullanılması
ERP sistemleri, işletim sistemleri ve veritabanı yönetim sistemlerinde, önceden tanımlı yüksek haklara sahip olan şifrelerin canlı kullanıma geçildiğinde değiştirilmemesi de problem oluşmasına neden olmaktadır. Bu tür durumlar sisteme dışarıdan yetkisiz kişilerin bağlanması ve zarar vermesi gibi güvenlik riskleri oluşturabilmektedir.
6.Politika ve Prosedür Eksikliği
ERP sistemlerinde canlı ortama geçildikten sonra sistemi yönetecek kişilerin belirlenmesi, yönetilecek faaliyetleri belirleyen ve yönetim kademelerini açıklayan onaylı prosedürlerin yayınlanması, firma içerisinde güvenlik konusunda farkındalığı artırarak kullanıcıların ERP sistemine adapte olmasını sağlayacaktır.
Süreçler içerisinde kontrollerin yapılması ve raporlanması tüm projenin başarısını etkileyecek bir diğer faktördür. Bu bağlamda aşağıdaki adımlar takip edilebilir:
-ERP sisteminde yüksek düzeyde erişim haklarına sahip kullanıcıların belirlenmesi,
-Bu tür kullanıcıların profiline yönelik yetkilendirmelerin yapılması,
-Kritik haklara sahip olacak kullanıcıların belirlenmesi,
-ERP sisteminde güvenlik altyapısını geliştirecek ve sistemi maksimum verimde
kullanacak parametrik ayarların yapılması,
-Tüm kullanıcıların görevler ayrılığı prensibi analizi,
-Güvenlik ve kritik sistem tablolarının analizi,
-ERP sisteminin yazılım geliştirme ve değişim yönetimi standartlarında yönetilmesi.
Bağımsız bir denetim kuruluşunun sistemi dışarıdan incelemesi risklerin oluşmasını ya da azalmasını sağlayabilir. Güvenli ve sistemli bir yapı, hem firma hem de ERP sağlayıcısı açısından son derece önemlidir.
Size nasıl yardımcı olabiliriz?
SDM Yazılım Hizmetleri olarak amacımız, şirketinizin faaliyetlerini çeşitli yazılım ürünleriyle destekleyerek performansınızı artırmak, farklı bölümlerdeki tüm verileri bir arada yöneten ve bu özelliği sayesinde yüzyılımızın vazgeçilmez sistemi olan ERP hakkında sizlere tam destek vermektir. Tüm sektörlerde kullanılabilecek, kurulumu esnasında özelleştirilebilen standart yazılım paketlerine sahip olan ERP, muhasebe işlemleri, fatura, irsaliye, makbuz gibi özel biçimli belgeler oluşturulması ve insan kaynakları yönetimi gibi işlevleriyle, pek çok şirket gereksinimini uygun bir biçimde yerine getirmektedir. İşletmelerin stratejik amaç ve hedefleri doğrultusunda hizmet veren SDM Yazılım Hizmetleri, ERP Risk Hizmetleri, müşteri ilişkileri yönetimi, insan kaynakları uygulamaları gibi güncel yaklaşımlarda çözümler sunmakta ve hizmet vermektedir.