ERP
ERP: una historia real de boicot de datos
ERP: niveles de seguridad y auditoría datos

ERP: niveles de seguridad y auditoría datos

Hoy día no se puede entender un ERP que carezca de unos niveles mínimos de seguridad que nos permitan proteger tanto de accesos indeseados, como de control y auditoría a manipulaciones. En este artículo pretendo solamente comentar los de carácter interno dentro de la propia organización, sin entrar a valorar otros aspectos de seguridad muchas veces más relacionados con los sistemas operativos que con el propio ERP.

Todos hemos oído hablar de casos más o menos graves de manipulación de datos, de accesos a informes y estadísticas sensibles, de copias no autorizadas, etc. Es por eso, que no se entiende que existan ERP con estas carencias. Un ERP con carácter vertical tendrá más fácil disponer de estas herramientas, pero no siempre será así, por lo que es conveniente tenerlo muy en cuenta a la hora de seleccionar un ERP. Evidentemente, nunca se estará a salvo de errores humanos ni de acciones premeditadas con la finalidad de hacer daño, pero en nuestras manos está el tratar de preparar el ERP para evitarlas, o en su defecto, minimizarlas.

ERP – Auditoría y control de datos

Nos permitirán trazar todos los movimientos que ha sufrido un registro desde su inicio. Ello nos permitirá saber qué, cómo, dónde, cuándo, y quién ha realizado cambios. Los datos mínimos a contemplar, deberían ser:

  • Usuario aplicación
  • Acción realizada (alta, baja o modificación)
  • Fecha y hora de la acción
  • Ordenador y usuario sistema operativo
  • Dirección IP
  • Tabla y campo sobre el que se realiza la acción
  • Valor anterior y valor actual

Una cuestión muy importante acerca de la auditoría y no siempre valorada está relacionada con la posibilidad de trazar, no la seguridad, sino la trazabilidad de los datos. Esa trazabilidad nos permite determinar errores de procedimiento, ya sea del usuario, o incluso del propio ERP, por lo que sirve de seguimiento y depuración de los datos durante la ejecución de éstos.

ERP – Niveles de acceso

Se trataría de asignar niveles de acceso a operaciones y usuarios, de tal forma que la no disposición de esos niveles deniegue los permisos para realizar esas operaciones. El tratamiento podría ser de dos formas, o bien como nivel mínimo por usuario, o como niveles admitidos para el usuario.

ERP: una historia real de boicot de datos

PhotoXpress

ERP – Contraseñas y cifrado

Las contraseñas por usuario son muy habituales, pero no es de descartar implementar otras para otros accesos por empresas, módulos, etc. Así por ejemplo, si se manejan diversas empresas contables con la misma aplicación y mismo usuario, es recomendable la asignación de contraseñas distintas en función de la empresa. Lógicamente, el ERP debe disponer de un nivel de cifrado suficiente para que una «select» o un export de la tabla de usuarios no ponga en riesgo la seguridad de las contraseñas. Asimismo, un sistema de expiración de contraseñas y aviso a los usuarios para su modificación sería recomendable.

ERP – Menús personalizables

La personalización de los menús simplifica enormemente la seguridad. Si un ERP está modularizado, lo normal es desactivar bloques completos de menús, de tal forma que un usuario, por ejemplo dedicado a labores de producción, no vea ni siquiera una sola opción relacionada con el módulo contable y financiero.

ERP – Perfiles, roles de usuario y grupos de restricción

La clasificación de los usuarios en diferentes roles o perfiles nos permitirá además:

  • Ocultar y/o manipular valores en ciertos objetos (campos, botones, …)
  • Restricciones a determinados registros, a veces muy sensibles
  • Restricciones sobre altas, bajas, modificaciones y consultas
  • Otras parametrizaciones que permitan o impidan otras acciones
  • Alertas personalizadas: avisos a administradores cuando se realizan ciertas acciones
  • Etc.

Es evidente que un ERP con más niveles adicionales de seguridad y auditoría nos aportará más tranquilidad y será mejor valorado por los responsables TIC y la gerencia de la empresa, pero considero que éstas son las garantías mínimas a considerar. La no disposición de estas herramientas a la hora de seleccionar un ERP, puede ocasionar una cierta resistencia al cambio por parte de éstos.

Os invito a participar en los comentarios para comentar vuestra experiencia.

Recibe nuevos artículos mediante suscripción por e-mail, RSS o Feedly
Seguir en Feedly
 

Sobre Sergio Martínez

Dirección desarrollo e implantación ERP en Daemon4 Socialmedia, TIC, IDi, e-commerce, 2.0... Blogger en https://mundoerp.com
x

Check Also

¿Conoces las diferencias entre ERP y MES?

el Software ERP diseña y modela un plan empresarial para la fábrica, mientras que un sistema MES utiliza ese plan empresarial para adaptarlo a los recursos, tiempos y posibilidades de los sistemas y personal de la empresa, consiguiendo un resultado óptimo adaptado y basado en los medios de la planta.

Integración de un CRM con otros sistemas de información

Al igual que el CRM, el ERP es un sistema que hace uso de una cantidad masiva de información, con la diferencia de que el CRM ejerce generalmente las funciones externas de cara al cliente, o front-office

Las pruebas de seguridad son una parte vital de la compra de software

Los proveedores de software están obligados a realizar pruebas de seguridad de su software, así como adquirir compromisos de solución de vulnerabilidades.

Métodos existentes para evaluación y selección de sistemas de gestión

Procedimientos o metodologías empleados para la evaluación y selección de un Sistema de Gestión

La automatización de los procesos: del ERP al workflow

Los sistemas workflow automatizan los procesos de negocio según el diseño inicial de dichos procesos. La accesibilidad y la integración son los aspectos fundamentales que lo diferencian de un BPMS