Seguridad: Confidencialidad de la Información en los Sistemas ERP

De -
Software ERP en la nube para Ecuador, Costa Rica y Panamá con Facturación Electrónica 2019



Seguridad de la Aplicación: Confidencialidad de la Información


Uno de los puntos de la lista de una auditoria externa a los sistemas de información en la parte de seguridad es el control de la confidencialidad de la información. En sistemas de información en los cuales se accede mediante el doble clic a un ejecutable y podemos navegar mediante un explorador de archivos del sistema operativo siempre estará latente la posibilidad de que la información sea copiada en su totalidad, en estos escenarios no tiene ya sentido hablar de la confidencialidad de la información.



   En las soluciones web todos los usuarios acceden a la aplicación mediante un navegador web usando el protocolo http, no existe la posibilidad que la información  sea descargada si no es mediante un cliente FTP, el administrador del sistema también debe bloquear la opción de examinar archivos y directorios en el IIS.






Posibles fallas de seguridad:
  1. Que un usuario tenga activa una opción no necesaria que puede ocasionar que este la ejecute ocasionando una eliminación de un registros, anulación de un documento o cualquier acción que dañe la información en la base de datos. 
  2. Que el sistema sea copiado totalmente mediante un simple copiar y pegar en un pen drivecompresión de archivos o cualquier servicio de respaldo en la nube.
  3. Que un usuario pueda ejecutar una operación a la cual no debe tener acceso como exportación de información en xml, csv o formato parecido.
  4. Que un usuario pueda ver una información considerada como confidencial (sueldos de directores, costos, margenes de ganancia, etc.)
  5. Que un usuario pueda exportar una información que comprometa seriamente las ventajas competitivas de la empresa (datos de proveedores, listas de clientes con su información de contacto, relación  de utilidades, entregar información a la competencia, etc.)  


    En la mayoría de los casos los controles a nivel de notificaciones en la aplicación se dan hasta las acciones que ejecutan los usuarios, ejemplo: enviar un correo si un usuario o vendedor da un descuento "X" por debajo de la ganancia, enviar un correo si se anula o elimina un pago y casos por el estilo pero pongamos este escenario donde debemos llevar mas allá la seguridad y la confidencialidad:
    • La sede central esta en Miami (USA) con una fuerza de ventas regada en varios estados.
    • Existe una fuerza de ventas de 2 personas en panama.
    • Existe una fuerza de ventas de 2 personas en Portugal.
    • Todos los vendedores usan portátiles, tablets o smartphone y todos siempre están fuera de las oficinas administrativas.
     Necesitamos parametrizar:
    • Que solo puedan cotizar y ver los datos de existencias y precios
    • Que solo vean  los documentos pertenecientes a ellos y adicionalmente que estén pendientes por convertir a facturas y pertenezcan a los ultimos 12 meses para que su navegador web cargue solo la información necesaria.
    • Que solo puedan ver la información de ciertos almacenes.
    • Que solo puedan ver los clientes asignados individualmente por vendedor 
    • Que exista un usuario supervisor que pueda autorizar las cotizaciones o propuestas en las cuales exista al menos un articulo con la ganancia por debajo del margen minimo.
    • Ningún vendedor podrá exportar la información.
      Cuando hablamos de confidencialidad estamos estableciendo un escenario de permisos y accesos que incluye seguridad a nivel de registro, definamos esa parametrización mediante las siguientes capas o niveles de filtrado:
    1. Definición y Estatus del Usuario
      1. Solo sera necesario cambiar el estatus del usuario a inactivo para que ya no pueda acceder a ninguna aplicación. Modulo del Sistema de eFactory
    2. Acceso a la Aplicación/Modulo
      1. El usuario sigue estando activo pero solo  podrá acceder a los módulos que tenga permiso.
    3. Asignación del Usuario a uno o varios grupos (Ventas, compras, tesorería, RMA, CRM, etc.), para el caso de los vendedores habrá un grupo de ventas al cual perteneceran todos.
    4. Se definirá un usuario por cada vendedor que este definido en el modulo de ventas.
    5. Se aplicaran filtros internos mediante el administrador de ambientes para filtrar que solo muestre sus documentos así como los documentos pendientes y que la fecha este en los últimos 12 meses.(Filtrando registros en eFactory)
    6. Se programara una tarea una tarea en el administrador de eventos para que al confirmar una cotización sea enviado un correo a su supervisor de ventas con los principales datos del documento.
    7. Se asignaran en la ficha de usuarios las propiedades que filtrar los códigos de registros para clientes y artículos.
    8. Se dara acceso a los reportes que sean realmente necesarios como cotizaciones por artículos, clientes, etc. siempre y cuando estos reportes apliquen internamente el filtrado de los registros que ese usuario/vendedor puede ver.
    Con esta parametrización podemos desplegarnos muy rápidamente en cualquier cantidad de locaciones (sucursales, oficinas, países, etc.) simplemente ejecutando esta parametrización y enviando vía correo los datos de acceso para que todos puedan trabajar en tiempo real.

    Observaciones:
    1. Siempre se recomienda la aplicación de un esquema restrictivo en las diferentes opciones del sistema, de esta forma cuando se agregue una nueva opción el usuario no tendrá acceso a menos que se le de permiso explícitamente.
    2. Se debe verificar constantemente los reportes detallados y resumidos que proporciona el sistema relacionados a las auditorias, puntos como direcciones IP de acceso, horarios de ejecución, exportación de información  y eliminaciones.
    3. Debe existir un estricto control de los FULL Backup de los sistemas en producción.
    4. Es necesario ejecutar validaciones periodicamente de los accesos, para esto se debe resetear la clave del usuario a auditar y entrar con ese loguin para constatar los diferentes accesos y permisos que tenga, estvalidación es recomendable llevarla en una relación.
    5. Debe existir un seguimiento de copias y eliminaciones de archivos en la red ya sea con funcionalidad del mismo sistema operativo o mediante algún software de terceros para los usuario locales.
    6. Todos los usuarios deben tener vencimiento de contraseña en la solución Web.



    José Paredes
    jfparedes@efactoryerp.com
    Servicio al Cliente
    Factory Soft
    www.efactoryerp.com

    Entradas populares de este blog

    ERP Cloud: Actualizaciones de las Versiones de eFactory ERP/CRM

    De -
    Imagen
    Importancia de la Actualización de su Versión de eFactory ERP/CRM Factory Soft es una empresa desarrolladora de soluciones para la nube la cual esta constantemente trabajando en pro de hacer llegar a nuestras cuentas y aliados soluciones de negocio de altísima calidad. Entre las ventajas puntuales de tener actualizada tu versión de eFactory podemos enumerar: Las actualizaciones de las versiones son operaciones rápidas, esta actualización puede ir de entre 4 horas a 2 días en promedio, todo dependerá de la antigüedad de la versión de eFactory. Las nuevas versiones incluyen mejoras requeridas por reglamentaciones de ley emitidas por organismos fiscales de cada país. Las nuevas versiones incluyen la depuración de bugs reportados por otros clientes. Las nuevas versiones incluyen mejoras funcionales agregadas a las diferentes opciones del sistema. Las nuevas versiones pueden incluir módulos nuevos completos desarrollados para complementar módulos existentes
    Leer más

    Comprobantes de Retenciones Fiscales y Parafiscales

    De -
    Imagen
    Los comprobantes de retención son documentos fiscales que emite o recibe la empresa producto de una retención a terceros de una porción o porcentaje del monto de una factura y se entrega al fisco del ministerio de hacienda donde opera la empresa. Las partes o componentes de un comprobante de retención son: Datos fiscales de la empresa que lo emite Datos fiscales de la empresa que lo recibe Identificación del tipo de comprobante de retención, número de control o consecutivo del comprobante. Fecha de emisión del comprobante Detalle de las facturas o documentos retenidos incluyendo bases imponibles y porcentajes Área al final del documento para que ambas partes firmen y sellen el comprobante, cuando son emitidos por el sistema ERP pueden salir firmados y sellados por la misma aplicación utilizando la firma escaneada del usuarios que la emite y el sello de la empresa. Los principales comprobantes de retenciones son: Comprobante de retención de impuesto IVA de fact
    Leer más