ERP è l'acronimo di Enterprise Resource Planning, o pianificazione delle risorse d'impresa. Un management software ormai da molti considerato la spina dorsale delle attività digitali delle aziende.

Ma cos'è, di fatto, un ERP?

Si pensi a tutti i processi di business di base necessari al "funzionamento" di un'impresa: finanza, HR, produzione, supply chain, servizi, approvvigionamento, R&D e altro.
Ridotto alla sua essenza, l'ERP è un software o sistema integrato che permette di gestire in modo efficiente tutti questi processi. Nell'ambito di una organizzazione è comunemente noto anche come "gestionale", sebbene questa definizione sia oggi riduttiva e superata. I sistemi ERP di nuova generazione sono tutt'altro che "soluzioni di base" ed hanno davvero poco a che vedere con quelli ormai superati dei decenni scorsi. Oggi sono fruibili come Saas (Software as a service) tramite cloud e si avvalgono delle tecnologie più all'avanguardia, come l'intelligenza artificiale (AI) e il machine learning (ML), per offrire automazione intelligente, maggiore efficienza e visibilità immediata sull'intera azienda. I moderni software ERP sono in grado di connettere e correlare le operazioni interne con i business partner e le reti d'impresa di tutto il mondo, migliorando drasticamente la collaborazione, l'agilità e la velocità di cui le aziende hanno bisogno per essere competitive nei mercati moderni.

Perchè è fondamentale e ormai indispensabile garantire la sicurezza di questi sistemi e quali sono i criteri essenziali da considerare per evitare di sacrificare o deteriorare le funzionalità e la user experience?

In tempi passati affrontare la sicurezza dei sistemi ERP poteva anche essere considerato un compito relativamente semplice. Erano di solito sistemi con architettura hardware centralizzata, ospitati quindi su server aziendali, che avvalendosi di non sempre solidi sistemi di gestione degli accessi e dei privilegi e di politiche di rete, anche in questo caso, non sempre sufficientemente rigorose, potevano risultare protetti dalla stragrande maggioranza dei rischi di sicurezza. In molti casi tali sistemi sono stati più una "merce" che un "bene da tutelare", di cui le aziende potevano fare a meno in caso di eventi distruttivi, seppur con qualche difficoltà.
Lo scenario attuale è invece cambiato radicalmente. I sistemi ERP sono diventati imperativi prima di tutto; anche le modalità di utilizzo sono cambiate, così come i metodi di lavoro negli ultimi anni sono cambiati.
In breve, la sicurezza informatica è sempre più attenta e rivolta agli ERP e non è più un problema con cui solo le grandi aziende devono confrontarsi.

Mettere in sicurezza un ERP.

L'applicazione di strategie di sicurezza sui sistemi ERP presenta oggi un elevato livello di complessità, in particolar modo dovuto dalla sua importanza strategica. L'ERP rappresenta una risorsa fondamentale dell'azienda e non si può rischiare di esporla a rischi di qualsiasi tipo. Il team di gestione di un'impresa deve prevedere mirate e collaudate strategie di difesa per prevenire la violazione dei dati e per affrontare eventuali emergenze o disaster recovery. E' quindi necessario individuare adeguatamente l'infrastruttura più adatta sulla base delle funzioni, del tipo di applicazione e dell'uso che l'impresa intende fare dell'ERP. Altrettanto fondamentale è l'aspetto che riguarda l'opportuna formazione e sensibilizzazione da rivolgere agli utenti. Da queste considerazioni emerge un tema sempre più attuale: il digitale in generale e la cibersicurezza in particolare sono sempre meno un tema tecnico e sempre più un tema di governance. Le scelte strategiche e tecniche rimangono fondamentali, ma devono anche essere accompagnate da adeguate operazioni di gestione del cambiamento per formare e informare gli utenti.

Gli utenti medi e in genere quelli con scarsa cultura digitale considerano i sistemi ERP come risorse scarsamente esposte agli attacchi, convinzione che è difficile demolire ancora oggi in molti contesti. Gli ERP sono in realtà estremamente esposti, parimenti ad altre attività, e sono sempre più spesso presi di mira dagli attaccanti perchè i dati che vengono gestiti all'interno di un sistema ERP sono asset sempre più strategici e le attività di un'impresa sono fortemente dipendenti dallo stato di salute di questo sistema. Paralizzare un sistema ERP significa neutralizzare, seppur momentaneamente, gli intenti di un'impresa e ostacolare la sua operatività. L'imprenditore dovrebbe pertanto seriamente concentrarsi sui costi da sostenere nel caso in cui l'azienda si fermasse, ponderando di conseguenza in maniera adeguata gli investimenti da effettuare finalizzati alla tutela di questi asset strategici. Il dato di fatto è che il numero di attacchi informatici è in continua crescita ed è sempre più rivolto anche a piccole e medie imprese. Ciò rende essenziale la pianificazione di politiche di gestione efficienti e l'adozione di strategie di sicurezza collaudate e affidabili volte a prevenire emergenze di ogni tipo.

Perimetro aziendale? È un'idea ormai superata.

Prendere in considerazione l'applicazione di politiche di sicurezza obsolete ed estremamente restrittive non è oggi una decisione efficace dal punto di vista dell'usabilità. Il lavoro moderno e in generale un approccio sempre più distribuito all'accesso ai beni aziendali rischiano di ridurre notevolmente l'efficacia di una soluzione ERP. E' davvero impensabile che gli operatori remoti debbano fisicamente trovarsi in ufficio (o debbano utilizzare mezzi tecnici complessi) per gestire un ERP. Questa è una delle tante ragioni per cui il concetto di perimetro aziendale andrebbe rimodulato. Le imprese si sono organizzate per gestire un nuovo e ormai diffuso modo di lavorare al di fuori del perimetro aziendale e chiunque progetti l'infrastruttura tecnologica deve disporre di una configurazione di base che consenta ai singoli utenti di operare con dispositivi propri in modo indipendente ma all'interno di policy strategiche che proteggano la sicurezza dei dati e delle applicazioni.

Definire le politiche appropriate, tenendo conto dei cambiamenti e della formazione del personale nell'uso consapevole dell'ERP, sono senza dubbio passi fondamentali per realizzare tali strategie. La sicurezza deve tuttavia, per sua stessa natura, tener conto anche delle situazioni meno auspicabili e più remote, in particolare degli incidenti e degli eventi distruttivi. Anche il tema del disaster recovery entra in gioco ed è fondamentale considerarlo per mettere le imprese in condizioni di riprendere il lavoro nel minor tempo possibile e senza conseguenze. Considerando i flussi di lavoro moderni e i livelli di erogazione dei servizi attualmente richiesti sia dal mercato B2B che B2C, le aziende non possono più permettersi "pause" di lavoro causate dalla non fruibilità forzata delle risorse tecnologiche. Effettuare un'attenta analisi dei rischi e elaborare un piano che stabilisca chiaramente le procedure, a partire dagli utenti, da mettere in pratica in caso di disaster recovery o di mancanza di disponibilità delle principali infrastrutture è certamente il modo corretto di affrontare queste eventualità.