ERP: niveles de seguridad y auditora datos

Hoy da no se puede entender un ERP que carezca de unos niveles mnimos de seguridad
que nos permitan proteger tanto de accesos indeseados, como de control y auditora a
manipulaciones. En este artculo pretendo solamente comentar los de carcter interno dentro
de la propia organizacin, sin entrar a valorar otros aspectos de seguridad muchas veces ms
relacionados con los sistemas operativos que con el propio ERP.
Todos hemos odo hablar de casos ms o menos graves de manipulacin de datos, de
accesos a informes y estadsticas sensibles, de copias no autorizadas, etc. Es por eso, que no
se entiende que existan ERP con estas carencias. Un ERP con carcter vertical tendr ms
fcil disponer de estas herramientas, pero no siempre ser as, por lo que es conveniente
tenerlo muy en cuenta a la hora de seleccionar un ERP. Evidentemente, nunca se estar a
salvo de errores humanos ni de acciones premeditadas con la finalidad de hacer dao, pero
en nuestras manos est el tratar de preparar el ERPpara evitarlas, o en su defecto,
minimizarlas.
ERP Auditora y control de datos
Nos permitirn trazar todos los movimientos que ha sufrido un registro desde su inicio. Ello
nos permitir saber qu, cmo, dnde, cundo, y quin ha realizado cambios. Los datos
mnimos a contemplar, deberan ser:
Usuario aplicacin
Accin realizada (alta, baja o modificacin)
Fecha y hora de la accin
Ordenador y usuario sistema operativo
Direccin IP
Tabla y campo sobre el que se realiza la accin
Valor anterior y valor actual
Una cuestin muy importante acerca de la auditora y no siempre valorada est relacionada
con la posibilidad de trazar, no la seguridad, sino la trazabilidad de los datos. Esa trazabilidad
nos permite determinar errores de procedimiento, ya sea del usuario, o incluso del
propio ERP, por lo que sirve de seguimiento y depuracin de los datos durante la ejecucin de
stos.
ERP - Niveles de acceso
Se tratara de asignar niveles de acceso a operaciones y usuarios, de tal forma que la no
disposicin de esos niveles deniegue los permisos para realizar esas operaciones. El
tratamiento podra ser de dos formas, o bien como nivel mnimo por usuario, o como niveles
admitidos para el usuario.
ERP - Contraseas y cifrado
Las contraseas por usuario son muy habituales, pero no es de descartar implementar otras
para otros accesos por empresas, mdulos, etc. As por ejemplo, si se manejan diversas
empresas contables con la misma aplicacin y mismo usuario, es recomendable la asignacin
de contraseas distintas en funcin de la empresa. Lgicamente, el ERP debe disponer de
un nivel de cifrado suficiente para que una select o un export de la tabla de usuarios no
ponga en riesgo la seguridad de las contraseas. Asimismo, un sistema de expiracin de
contraseas y aviso a los usuarios para su modificacin sera recomendable.
ERP Mens personalizables
La personalizacin de los mens simplifica enormemente la seguridad. Si un ERP est
modularizado, lo normal es desactivar bloques completos de mens, de tal forma que un
usuario, por ejemplo dedicado a labores de produccin, no vea ni siquiera una sola opcin
relacionada con el mdulo contable y financiero.
ERP Perfiles, roles de usuario y grupos de
restriccin
La clasificacin de los usuarios en diferentes roles o perfiles nos permitir adems:
Ocultar y/o manipular valores en ciertos objetos (campos, botones, )
Restricciones a determinados registros, a veces muy sensibles
Restricciones sobre altas, bajas, modificaciones y consultas
Otras parametrizaciones que permitan o impidan otras acciones
Alertas personalizadas: avisos a administradores cuando se realizan ciertas acciones
Etc.
Es evidente que un ERP con ms niveles adicionales de seguridad y auditora nos aportar
ms tranquilidad y ser mejor valorado por los responsables TIC y la gerencia de la empresa,
pero considero que stas son las garantas mnimas a considerar. La no disposicin de estas
herramientas a la hora de seleccionar un ERP, puede ocasionar una cierta resistencia al
cambio por parte de stos.
Os invito a participar en los comentarios para comentar vuestra experiencia.
/////////////////////////////////////////////////////////////////

La seguridad y Restricciones dentro de un
Sistema ERP
Todo sistema de informacin debe de proporcionar la mayor seguridad y confianza posible de
que la informacin del negocio se encuentra bien protegida y resguardada, as como que no
cualquier usuario tenga acceso a toda la informacin que este contiene. Un Sistema ERP no
debe de ser la excepcin, an ms dado el nivel de detalle de la informacin, el alcance del
control del sistema, la delicadez de los procesos que maneja, y sobre todo los mdulos o
aplicaciones donde se involucre dinero.
Dentro de los aspectos imprescindibles entorno a la Seguridad podramos mencionar los
siguientes:
1.- La informacin del sistema deber estar concentrada en un nico servidor, con su
respectiva restriccin de acceso al mismo y tener slo personal especializado para el uso del
equipo.
2.- Tener restringido el acceso al servidor mediante la red de la empresa. Es decir, que slo
ciertos usuarios o personal del rea de sistemas tengan acceso al mismo.
3.- Dejando a un lado el aspecto del Hardware y enfocndonos ms en el aspecto del Sistema
ERP, este deber contar slo con cierta cantidad de usuarios para el manejo del mismo.
4.- Cada usuario del Sistema deber contar con una contrasea para el acceso al mismo.
5.- Hay sistemas que integran mdulos de configuraciones y parmetros con la finalidad de
terminar algunos aspectos del sistema como: Cul debe de ser su comportamiento, lo que
debe permitir y lo que no, qu valores predeterminados tomar para ciertos clculos u
operaciones, qu formatos para impresin de facturas o tickets utilizar, cuntos decimales
manejar en cuestiones de venta o de clculos numricos, qu aplicaciones manejar un
cliente en especifico y dems.
6.- Otro aspecto importante de cualquier sistema es la validacin de los datos antes de ser
guardados o afectados en una base de datos. Todo sistema, independientemente del giro que
sea, debe realizar estas validaciones evitar guardar datos basura e indicarle al usuario a
introducir los datos correctos en los campos crticos y necesarios. Esto permite no introducir
un nmero donde debe de ir una letra o viceversa, no dejar espacios en blanco en datos que
son requeridos, etc.
7.- Un aspecto muy especfico de un sistema ERP es el manejo correcto de las reglas de
negocio de la empresa. Todo ERP debe tenerlas bien validadas y debern abarcar todo el
amplio abanico de posibilidades y reglas, ya que de esto depender la correcta toma de
decisiones de los directivos o altos ejecutivos de la organizacin. Es indispensable poner
especial atencin en no dejar huecos o caminos posibles que puedan ocasionar la posibilidad
de que algn usuario pueda cometer un fraude o acto ilcito a la empresa en la empresa.
8.- Dentro de la Seguridad tambin podremos encontrar el punto referente a la proteccin de
datos. Existen sistemas que utilizan la encriptacin de datos como herramienta para proteger
un enorme volumen de informacin con el menor nmero de complicaciones posibles y
haciendo posible la recuperacin de la misma en cualquier momento.
9.- Otra consideracin para la seguridad del sistema es que ste permita conocer qu usuarios
realizaron qu movimientos, cuando lo hicieron y desde qu terminal se realiz. Algunos
sistemas registran esta informacin en la misma base de datos del sistema, otros utilizan los
denominados archivos log en los cuales se graban los datos antes mencionados.
10.- Como medida de precaucin adicional, es recomendable que todo sistema ERP tenga
una herramienta que realice back ups o respaldos de la base de datos de operacin del
sistema. El objetivo es evitar la posibilidad de prdida de informacin ya sea por causa de fallo
en instalacin elctrica, dao del disco duro o del servidor, o por algn intento de violar la
integridad tanto de la base de datos como de la informacin del mismo sistema.
En lo que respecta a las restricciones de los usuarios dentro un Sistema ERP, todos los
sistemas manejan siempre restricciones a determinadas secciones. Sin embargo, tratndose
de un ERP estas limitaciones se llevan a un nivel mayor, veamos a qu nivel de detalle se
puede llegar:
1.- Siempre existir un usuario que tenga acceso a todo el sistema, en este caso, corresponde
al Administrador del Sistema.
2.- Habr usuarios que slo tengan acceso a ciertas aplicaciones o mdulos del sistema.
3.- Existen sistemas cuyos mdulos o aplicaciones son tan amplios que manejan diferentes
procesos. Asimismo, tambin se puede definir usuarios que slo tengan acceso a ciertos
procesos contenidos dentro de un modulo o aplicacin, as las acciones permitidas dentro del
mismo, por ejemplo: Habr casos en donde los usuarios podrn nicamente podrn consultar
informacin, otros en los que podrn insertar y modificar y otros ms donde slo podrn
generar reportes.
4.- Tambin existen sistemas que manejan empresas filiales. En estos casos tambin se
pueden configurar usuarios para una empresa en especfico as como el tipo de acceso que
tendrn dentro del sistema.
5.- Es posible configurar que un usuario tenga la capacidad de autorizar ciertos movimientos
dentro del sistema, que slo pueda ver informacin de la sucursal a la que pertenezca, o bien,
nicamente de los almacnes que maneje, etc.
6.- Hay configuraciones en donde los usuarios pueden nicamente ver resmenes
gerenciales, es decir donde se concentra y se sintetiza la informacin de diferentes rubros del
sistema.
7.- Tambin es posible que los usuarios deban cambiar su contrasea cada cierto periodo,
esto por cuestiones de seguridad, de manera que se evite que otra persona use el nombre de
usuario de un compaero.

Las combinaciones de restricciones y configuraciones que se pueden realizar en un Sistema
ERP son muy extensas y variadas.

El grado de Seguridad, control y restriccin de los usuarios as como la correcta validacin des
las reglas de negocio que proporciona un ERP son aspectos muy importantes a considerar al
momento que se decide implantar este sistema. Mientras las organizaciones reciben la
seguridad y confianza de que todo marcha sobre ruedas, las empresas proveedoras de
software se benefician teniendo un producto de alta calidad, seguro y estable.
////////////////////////////////////////////////////////////////
La seguridad de un sistema ERP (Enterprise Resource Planning)
Por Ricardo Rojas
Sistemas de planeacin a prueba de intrusos
La seguridad es uno de los aspectos ms importantes a tener en cuenta en todo tipo de industrias,
pero especialmente en aquellas que sacan ventaja de las posibilidades que ofrecen las soluciones
informticas. Por esta razn, las compaas que decidan implementar un sistema ERP Enterprise
Resource Planning , o de Planeacin de Recursos Empresariales, deben conocer en profundidad las
caractersticas de seguridad que traen estos paquetes informticos.
Los paquetes ERP (Enterprise Resource Planning) ofrecidos por empresas desarrolladoras de gran
trayectoria generalmente estn diseados bajo los ms estrictos controles de calidad, ofreciendo
una solucin sumamente segura para todo tipo de usos. De todas maneras, hay que tomar ciertas
precauciones y realizar exmenes de seguridad con cierta frecuencia para no exponer una empresa
a riesgos innecesarios.
La proteccin de datos en ERP (Enterprise Resource Planning)
Por sus caractersticas bsicas, los sistemas de planeacin de recursos para empresas siempre
incluyen varios niveles y jerarquas de usuarios que no tienen las mismas posibilidades y
atribuciones. Cada uno de los usuarios al interior de estos niveles recibir un nombre de acceso y
contrasea que el permitir hacer uso de las funciones ERP (Enterprise Resource Planning) para las
que est autorizado. Esa es la razn por la que un empleado de cierta seccin no podr utilizar
algunas prestaciones del paquete (propia de otros sectores de la empresa).
Uno de los sistemas ms utilizados en los sistemas ERP (Enterprise Resource Planning) al momento
de proteger informacin es la encriptacin de datos. Por medio de la encriptacin de datos se puede
proteger una gran cantidad de informacin con mnimas complicaciones y teniendo en todo
momento la posibilidad de recuperar dicha informacin.
Para brindar algo de seguridad extra en todas las operaciones que tienen lugar en una compaa
que haga uso de un sistema ERP (Enterprise Resource Planning) existe una herramienta especial muy
conocida en el mundo empresarial. Se trata de las auditoras y los registros de informacin en las
distintas entradas al sistema. Por medio de los registros (o logs, por su nombre en ingls) se puede
saber exactamente desde qu terminal se ha accedido a distintos sectores del sistema, constatando
que en ningn momento haya intrusos inesperados.
ERP (Enterprise Resource Planning) y la amenaza de los hackers
Al funcionar bajo redes y sistemas en lnea que hacen uso de Internet y otras tecnologas de
transmisin de informacin, es fundamental que un sistema ERP (Enterprise Resource
Planning) cuente con los recursos necesarios para hacerle frente a la amenaza siempre presente de
los hackers. Estos piratas informticos pueden intentar ingresar a un sistema privado por el solo
hecho de violarlo, en ocasiones sin buscar recompensa alguna. Al contratar a un experto en
seguridad informtica podr mantener sus redes protegidas, salvaguardando la informacin ms
valiosa para su empresa.
Como medida de precaucin adicional una buena idea que es necesario tener en cuenta es la de
hacer copias de seguridad de toda la informacin y de los recursos ms importantes para la
empresa. De esta manera se podrn recuperar los datos en caso de hackings o prdidas repentinas
de informacin.