Seguridad en el ERP – La puerta de atrás de los sistemas de gestión

octubre 18, 2018

Seguridad en el ERP: El problema general

Cuando analizamos la cuestión de seguridad en el ERP siempre miramos sus features desde el lado del uso del mismo. Analizamos cual es la granularidad potencial de asignación, si es posible definir perfiles, si el sistema deja auditoría acerca de generación de entidades o transacciones, si permite historicidad completa, etc.

Todos estos puntos son fundamentales a la hora de manejar y auditar un ERP en organizaciones de medianas para arriba, y usualmente son puntos que distinguen a los productos grandes de los pequeños.
Los productos ERP para grandes organizaciones ponen mucho énfasis en la cuestión de la seguridad de los datos, no olvidemos que el ERP es el custodio de casi todos los activos de una compañía, desde los valores, las cuentas corrientes el inventario, los activos fijos, etc. En los últimos años esta tendencia se acentúa con la aparición de las normas Sarbanes Oxley que hacen mención explícita de los controles internos.

La puerta de atrás

Hay un tema en la seguridad en el ERP que usualmente no es tenida en cuenta y que sin embargo es la que históricamente ha traído más problemas y que en la actualidad, se acentúan por el grado de responsabilidad que se delega en los sistemas.

El punto es el siguiente: En organizaciones medianas y grandes se delega la función de gestionar el motor de base de datos con acceso a los archivos de modo usualmente irrestricto. Esta delegación también ocurre para la obtención de reportes, y muchas veces hasta explícitamente para alterar cosas grabadas por el sistema y que por motivos de auditoría no pueden ser modificadas por el mismo sistema. El punto es que usualmente la organizaciones no toman conciencia del flanco de inseguridad que ofrecen con estas prácticas.

Cada vez se ven con mayor frecuencia fraudes relacionados con este tema. Casos tales como que alguien en la administración sustrae un cheque de la caja, y el administrador de la base de datos borra ese valor, o que el mismo haga desaparecer la deuda de un cliente en un servicio público.

Hace 15 años los datos de los sistemas estaban casi siempre contrastados contra papeles, pero desde hace años la única realidad es lo que reflejan las bases de datos, de modo que es importante que se tome conciencia de lo que esto involucra.

Las medidas de control

Una de las maneras de controlar la situación y dar más seguridad en el ERP es restringir el acceso de la gente de sistemas a la base de datos del sistema ERP. Esto a veces es posible y a veces no, dependiendo del grado de soporte que se tiene del proveedor del producto, o de las customizaciones que se mantienen hechas por la empresa.

Muchas veces los datos del sistema ERP coexisten con sistemas propios con los que interactúan de modo que se vuelve muy impráctico, incluso imposible efectuar semejante restricción. Finalmente todo el tema depende de la estrategia definida para el área de sistemas. Lo que aporto a este tema, es que la dirección no debe dejar de tener conciencia de esto.

Sistemas que se protegen

Algunos pocos productos (lamentablemente muy pocos), realizan un control de auditoría sobre los datos que el mismo registra. Es decir que firma digitalmente las entidades que graba de modo que la alteración desde el motor de base de datos puede ser detectada, incluso autocorregida por el mismo sistema en el momento de realizar una auditoría.

Por el tamaño de los productos ERP actuales (incluso los más sencillos), es muy complejo el agregado de esta funcionalidad, pero no obstante creo que en unos años esta será una funcionalidad prácticamente estándar.