ERP: niveles de seguridad y auditoría datos

 Hoy día no se puede entender un ERP que carezca de unos niveles mínimos de seguridad que nos permitan proteger tanto de accesos indeseados, como de control y auditoría a manipulaciones. En este artículo pretendo solamente comentar los de carácter interno dentro de la propia organización, sin entrar a valorar otros aspectos de seguridad muchas veces más relacionados con los sistemas operativos que con el propio ERP.

Todos hemos oído hablar de casos más o menos graves de manipulación de datos, de accesos a informes y estadísticas sensibles, de copias no autorizadas, etc. Es por eso, que no se entiende que existan ERP con estas carencias. Un ERP con carácter vertical tendrá más fácil disponer de estas herramientas, pero no siempre será así, por lo que es conveniente tenerlo muy en cuenta a la hora de seleccionar un ERP. Evidentemente, nunca se estará a salvo de errores humanos ni de acciones premeditadas con la finalidad de hacer daño, pero en nuestras manos está el tratar de preparar el ERP para evitarlas, o en su defecto, minimizarlas.

ERP - Auditoría y control de datos

Nos permitirán trazar todos los movimientos que ha sufrido un registro desde su inicio. Ello nos permitirá saber qué, cómo, dónde, cuándo, y quién ha realizado cambios. Los datos mínimos a contemplar, deberían ser:

  • Usuario aplicación
  • Acción realizada (alta, baja o modificación)
  • Fecha y hora de la acción
  • Ordenador y usuario sistema operativo
  • Dirección IP
  • Tabla y campo sobre el que se realiza la acción
  • Valor anterior y valor actual

Una cuestión muy importante acerca de la auditoría y no siempre valorada está relacionada con la posibilidad de trazar, no la seguridad, sino la trazabilidad de los datos. Esa trazabilidad nos permite determinar errores de procedimiento, ya sea del usuario, o incluso del propio ERP, por lo que sirve de seguimiento y depuración de los datos durante la ejecución de éstos.

ERP - Niveles de acceso

Se trataría de asignar niveles de acceso a operaciones y usuarios, de tal forma que la no disposición de esos niveles deniegue los permisos para realizar esas operaciones. El tratamiento podría ser de dos formas, o bien como nivel mínimo por usuario, o como niveles admitidos para el usuario.

Imagen eliminada.

PhotoXpress

ERP - Contraseñas y cifrado

Las contraseñas por usuario son muy habituales, pero no es de descartar implementar otras para otros accesos por empresas, módulos, etc. Así por ejemplo, si se manejan diversas empresas contables con la misma aplicación y mismo usuario, es recomendable la asignación de contraseñas distintas en función de la empresa. Lógicamente, el ERP debe disponer de un nivel de cifrado suficiente para que una "select" o un export de la tabla de usuarios no ponga en riesgo la seguridad de las contraseñas. Asimismo, un sistema de expiración de contraseñas y aviso a los usuarios para su modificación sería recomendable.

ERP - Menús personalizables

La personalización de los menús simplifica enormemente la seguridad. Si un ERP está modularizado, lo normal es desactivar bloques completos de menús, de tal forma que un usuario, por ejemplo dedicado a labores de producción, no vea ni siquiera una sola opción relacionada con el módulo contable y financiero.

ERP - Perfiles, roles de usuario y grupos de restricción

La clasificación de los usuarios en diferentes roles o perfiles nos permitirá además:

  • Ocultar y/o manipular valores en ciertos objetos (campos, botones, ...)
  • Restricciones a determinados registros, a veces muy sensibles
  • Restricciones sobre altas, bajas, modificaciones y consultas
  • Otras parametrizaciones que permitan o impidan otras acciones
  • Alertas personalizadas: avisos a administradores cuando se realizan ciertas acciones
  • Etc.

Es evidente que un ERP con más niveles adicionales de seguridad y auditoría nos aportará más tranquilidad y será mejor valorado por los responsables TIC y la gerencia de la empresa, pero considero que éstas son las garantías mínimas a considerar. La no disposición de estas herramientas a la hora de seleccionar un ERP, puede ocasionar una cierta resistencia al cambio por parte de éstos.

 

Fuente: Mundoerp 
Autor: Sergio Martínez