الموازنة بين أمان ERP السحابي والعمليات: التحديثات المستمرة ليست "علاجًا شاملاً".
سحابة من المؤكد أن معدلات التبني قد زادت في السنوات الأخيرة حيث أصبحت هجرة الأشخاص والأنظمة والبيانات أبسط ، وانخفضت التكاليف وخفت المخاوف بشأن الأمن. أدى التحول من أنظمة تخطيط موارد المؤسسات في الشركة إلى أنظمة تخطيط موارد المؤسسات السحابية إلى جلب ثروة من الفوائد للشركات ، من الأعباء الإدارية المخفضة إلى الإنفاق الرأسمالي المنخفض. لكن لا يزال الرؤساء التنفيذيون في تقنية المعلومات يتصارعون مع الأسئلة حول النظام والأمان التشغيلي في السحابة. يحتاج مدراء تقنية المعلومات إلى طريقة لتجنب مخاطر تأخر الإصدار وعدم الوقوع في فخ المخاطرة بالأمان التشغيلي من خلال فشل التحديث غير المختبَر.
الموازنة بين إيجابيات وسلبيات تخطيط موارد المؤسسات السحابية
يوفر النشر السحابي المُعد جيدًا تكلفة كبيرة وكفاءة وفوائد للمستخدم النهائي مقارنة بعمليات النشر "التقليدية" داخل الشركة ، ولكن لا يوجد نظام محصن تمامًا من الانقطاع. يوفر النهج "الدائم الخضرة" للتحديثات المستمرة تدفقًا موثوقًا ومنتظمًا من تصحيحات الأمان وإصلاحات الأخطاء والتحسينات الإضافية - ولكن طبيعته تفرض تحديات على أقسام تكنولوجيا المعلومات وهي بالتأكيد ليست علاجًا شاملاً لتخطيط موارد المؤسسات.
عند مقارنتها بإستراتيجية تخطيط موارد المؤسسات المحلية طويلة الأجل السابقة والتي لا يمكن وصفها إلا على أنها "اعثر على إصدار يناسبك ، ثم اجلس عليه لأطول فترة ممكنة" ، برنامج البرمجيات كخدمة (SaaS) لقد أثبت نموذج السحابة نفسه كبديل ممتاز.
لقد انتهى عبء الإدارة الداخلية المتمثل في الإصلاحات السريعة والتكاملات المرقعة والاستجابات السريعة لمآثر الأمان الناشئة - وهو نهج غالبًا ما ينتقص من مهام تكنولوجيا المعلومات المهمة للأعمال الأخرى. من خلال اختيار نظام تخطيط موارد المؤسسات (ERP) المستضاف في سحابة Azure ، على سبيل المثال ، يمكن للشركات الاستفادة من آلاف الموظفين المتفانين مع توفر 24 × 7 من جانب البائع ، مع وجود فرق أكثر تخصصًا تركز على ضمان الأمن السيبراني لحلول SaaS الخاصة بهم. المقياس ببساطة لا يضاهى.
كمثال على ذلك ، قمنا مؤخرًا بتطبيق Microsoft حل Dynamics 365 Business Central للأعمال الخيرية Alzheimer's Research UK ، مع تحسين التقارير والوصول عن بعد والأمان المحسن ، كل ذلك جزء من الفوائد الأساسية للتحول إلى تخطيط موارد المؤسسات السحابية. من خلال حل واحد ، تمكنت المؤسسة الخيرية من استبدال البرامج المالية القديمة بتوافر محدود عن بُعد وميزات قليلة لتقارير البيانات ، وتقديم بديل متقدم قائم على السحابة بدلاً منه.
تخطي تأخر الإصدار - وثغرات الأمان - باستخدام نهج "دائم الخضرة" للتحديثات
• Microsoft نهج "دائم الخضرة" للحفاظ على تحديث أنظمة تخطيط موارد المؤسسات ، حيث يتم تطبيق التصحيحات تلقائيًا على أساس مجدول منتظم ، هو تحول كبير من الأساليب السابقة إلى التحديثات التي يحتفظ بها العديد من أقسام تكنولوجيا المعلومات. بمجرد نشرها وتخصيصها للعمل بكامل طاقتها ، تتجنب العديد من الشركات "تحريك القارب" بالتحديثات أو التصحيحات - وغالبًا ما تؤدي إلى إصدار قديم إلى حد كبير.
يأخذ نهج "الخضرة" عبء التحديث من أيدي الشركة ، مما يضمن استمرار تشغيل نظام تخطيط موارد المؤسسات السحابية مثل Dynamics 365 دائمًا على إصدار مدعوم ومصحح أمان ، مما يخفف من مخاوف نهاية العمر. يضمن ذلك عدم تشغيل الشركات لإصدارات ذات وظائف محدودة أو ثغرات أمنية معروفة.
تحدي الاختبار: أنظمة قديمة أم تعطل تشغيلي؟
بينما تعمل دورة التحديث الأسرع والتي يمكن التنبؤ بها على تشديد الأنظمة من منظور الأمن السيبراني ، يمكن أيضًا اعتبار الطبيعة المتكاملة للغاية والقابلة للتخصيص لأنظمة ERP السحابية الحالية بمثابة سيف ذو حدين من حيث "الأمان" التشغيلي. بطبيعة الحال ، لا يمكن لبائعي تخطيط موارد المؤسسات اختبار هذه التحديثات لكل بيئة عمل فردية - يعمل العديد منها على أنظمة تخطيط موارد المؤسسات شديدة التخصيص أو متكاملة على نطاق واسع - لذلك هناك مخاطر منخفضة تتعلق بتعطيل تشغيل نظام حرج. إذا استمر التحديث ، فلن تنتهي الصعوبات عند هذا الحد حيث تفتقر العديد من الشركات إلى الوقت أو الموارد لتحليل جميع ملاحظات الإصدار التي ينتجها مورد تخطيط موارد المؤسسات (ERP). تحتوي هذه الملاحظات على تفاصيل التحديثات والأمر متروك للشركة لتحمل هذه المسؤولية داخليًا لمعرفة كيف سيؤثر الطرح على نظامهم من حيث وقت التوقف عن العمل وتعطيل المستخدم.
لضمان استمرارية الأعمال وعدم وجود تهديدات غير متوقعة للعمليات اليومية ، سيكون الحصول على دعم من مزود خدمة مُدار جنبًا إلى جنب مع اختبار تحديث التصحيحات على العمليات الحيوية قبل النشر أمرًا حيويًا - وهي مهمة يتم آليتها بشكل متزايد لتسهيل العبء اليدوي. خذ حالة United Oilseeds ، عميل كولومبوس منذ فترة طويلة والذي أصبح أحد أنجح تعاونيات المزارعين في المملكة المتحدة. نظرًا لوجود مشكلات مع خدمة سابقة مُدارة للبنية التحتية لجهة خارجية ، تواصلت United Oilseeds مع كولومبوس لتوحيد التطبيقات والخدمات المُدارة للبنية التحتية الخاصة بهم. بعد مشروع ترحيل Azure للتحديث والمستقبل
نظام ERP الخاص بهم ، بدأت United Oilseeds في رؤية فوائد حزمة الخدمات المدارة الكاملة. تمكنت الشركة من القضاء على التبادل بين مقدمي الخدمات المنفصلين ، وينتج عن النهج الأكثر نشاطًا وقتًا أقل لتعطل نقطة اتصال واحدة لخدماتهم المدارة. كما تمكنهم البنية التحتية الأحدث والأكثر حداثة من تعظيم عائد الاستثمار لنظام تخطيط موارد المؤسسات (ERP) الخاص بهم.
دعم العنصر البشري المهم للغاية - أمان التطبيق هو المفتاح
لسوء الحظ ، غالبًا ما يكون المستخدم النهائي هو الحلقة الأضعف عندما يتم اختراق الأنظمة الحيوية للأعمال. شاهد هجوم برنامج الفدية الكبير في عام 2021 على نظام الصحة العامة الأيرلندي ، والذي أطلقه مستخدم مطمئن فتح مستندًا مصابًا واحدًا تم تلقيه عبر البريد الإلكتروني. أدى التحول الجماعي الناجم عن Covid إلى العمل عن بُعد - والذي جعل أيضًا عمليات النشر السحابية فرصة أكثر جاذبية نظرًا لقدراتها في توفير التكاليف وإمكانية الوصول - إلى زيادة ناقلات الهجوم لمجرمي الإنترنت ، حيث تم توصيل العديد من الأجهزة الشخصية الضعيفة ذات الأمان الضعيف عادةً لشبكات الشركات. لم يكن تدريب المستخدم النهائي على أفضل ممارسات السلامة والأمن السيبراني على الإنترنت بهذه الأهمية من قبل - وبالنسبة لأنظمة تخطيط موارد المؤسسات ، سيكون لأمن التطبيقات أيضًا دور حيوي يلعبه.
ولكن من خلال اتباع نهج دقيق للأمان ، يمكن لأقسام تكنولوجيا المعلومات ضمان راحة البال في حالة تعرض حساب المستخدم للخطر ، دون التأثير بشكل كبير على وصول المستخدم إلى الأنظمة والبيانات الهامة. تم تكوينه بشكل صحيح ، ويمتد إلى أنواع مفصلة من المستخدمين بامتيازات مختلفة ، ومسارات تدقيق وتدابير إضافية للتتبع مثل الفحوصات الآلية. ومع النشر السحابي ، فإن حساب مستخدم نهائي واحد أو جهاز مصاب لن يؤدي إلى فشل ذريع. قم بهجوم البرامج الضارة على شركة تصنيع تعمل على مدار الساعة. سيتطلب نظام ERP المحلي المخترق المرتبط بأرضية المصنع والأنظمة الخلفية الأخرى إغلاقًا كاملاً لتجنب المزيد من الانتشار والضرر - مما يؤثر على العمليات ومخرجات التصنيع وفي النهاية على المحصلة النهائية. مع نشر SaaS ، حيث يتم اختراق عميل على جهاز واحد ، لن يكون هذا هو الحال.
تعالج السحابة سببًا واحدًا للقلق - ولكن تعامل بحذر مع التحديثات
هناك مخاطر أمنية واضحة للنهج التقليدي المتمثل في إيجاد نشر ERP داخل الشركة يعمل ثم لمس البنية التحتية بأقل قدر ممكن - وهو شيء يمكن أن يتركه
المؤسسات التي تعمل بإصدارات قديمة للغاية أو ضعيفة أو غير مدعومة. ومع ذلك ، فإن الاندفاع نحو تبني نهج "دائم الخضرة" للتحديثات يجب أن يؤخذ أيضًا مع فهم التداعيات الأمنية - لا تحل السحابة جميع المشكلات ويظل الأمن التشغيلي مسؤولية الشركة.
ستحتاج أقسام تكنولوجيا المعلومات إلى اتخاذ تعريف واسع لـ "الأمان" ، يشمل الحماية من التهديدات الخارجية واستمرارية الأعمال من خلال العمليات الحيوية المستمرة. لضمان نجاح تخطيط موارد المؤسسات السحابية على المدى الطويل ، يجب عليهم التأكد من تكوين نشر السحابة بشكل صحيح ، وأن الأمان على مستوى التطبيق مناسب للغرض ، ويتم اختبار التحديثات بدقة لضمان أقصى قدر من التوافق.
بقلم كريس كليفورد ، مهندس الحلول التقنية ، كولومبوس المملكة المتحدة.
