En este artículo, quería referirme a la vulnerabilidad de los ERP no en un término amplio en el sentido de brechas de seguridad, intrusismo, inyecciones de código, suplantación de identidad, filtraciones de datos, venta de éstos, etc, sino a la malintecionalidad en el uso del ERP. Sobre este mal uso iremos desgranando algunas anécdotas que han ido surgiendo al cabo del tiempo.
Hace unos 5 años me llamaba el responsable de administración de un cliente muy apurado sobre un problema que tenía en sus oficinas. Me requería en ellas para tratarlo cara a cara pues por teléfono no quería hacerlo. La implantación del ERP no había sido lo que podría considerarse un éxito, si bien en nuestro descargo podíamos alegar una elevada resistencia al cambio de algunos usuarios. La solicitud de mi presencia me puso en tensión pues en relación a la implantación (un par de años atrás) habían surgido algunas tensiones con el cliente. Más todavía cuando quería verme fuera del horario laboral y en presencia de su jefe. Por cierto, si bien el responsable de administración era una persona muy educada, su jefe era la persona más despótica, prepotente y maleducada de cuantas he conocido. Esto elevaba la tensión a la que me sometía en la visita prevista para unos días más tarde.
La visita finalmente fue más cordial de lo que yo esperaba, realmente necesitaban de nuestros servicios en relación al problema que se les planteaba, por lo que tampoco era cuestión de sacar viejas rencillas. El motivo de mi presencia era claro: ‘Sospechamos que el operario X nos roba y tienes que hacer algo para que podamos cogerlo’.
La sospecha no era puntual, sino que al parecer llevaba un par de años con la misma técnica. La empresa se dedicaba a la comercialización al por menor y normalmente sus clientes eran tanto profesionales como no profesionales. En el caso de los segundos, el vendedor en cuestión realizaba una venta de contado, realizaba un ticket al cliente y en múltiples ocasiones lo eliminaba quedándose el dinero de la venta. Estos tickets además los hacía en una serie digamos… sin impuestos.
A pesar que nuestro sistema disponía de un módulo de auditoría, éste se comercializaba aparte y el cliente nunca vio la necesidad de disponer de él. Si bien podríamos haber establecido medidas y controles de caja, no quisimos levantar sospechas, así que simplemente activamos la auditoría y en poco tiempo ya disponían de datos suficientes al respecto como para hablar con el vendedor.
La sospecha se convirtió en certeza en solo dos meses. Yo no llegué a ver los datos del análisis, pero me confirmaron que si el ritmo de apropiación indebida en esos dos meses fue el mismo en los dos últimos años, el vendedor había robado alrededor de 24.000 €.
Estos casos de robos de caja, boicot en los datos, uso fraudulento de la solución, etc, no son únicos. Cualquier ERP es vulnerable, basta tener la necesidad, codicia o malicia para que los usuarios busquen errores del sistema o puertas traseras para conseguir sus objetivos. Sin embargo, en muchos casos, desconocen que a pesar de todo ello, se disponen de herramientas de monitorización y auditoría de absolutamente toda la actividad que se realiza en el sistema.
Así que si tu perfil es de usuario, nunca subestimes la aplicación con la que trabajas. Diferencia entre lo que ves, lo que te dejan ver, y lo que el sistema sabe sobre ti.
Autor: Sergio Martínez
Recibe nuevos artículos mediante suscripción por e-mail, RSS o Feedly |
|
Un comentario
Pingback: Usuarios y la vulnerabilidad de los ERP | Mundo...