Seguridad: Confidencialidad de la Información en los Sistemas ERP
Seguridad de la Aplicación: Confidencialidad de la Información
Uno de los puntos de la lista de una auditoria externa a los sistemas de información en la parte de seguridad es el control de la confidencialidad de la información. En sistemas de información en los cuales se accede mediante el doble clic a un ejecutable y podemos navegar mediante un explorador de archivos del sistema operativo siempre estará latente la posibilidad de que la información sea copiada en su totalidad, en estos escenarios no tiene ya sentido hablar de la confidencialidad de la información.
En las soluciones web todos los usuarios acceden a la aplicación mediante un navegador web usando el protocolo http, no existe la posibilidad que la información sea descargada si no es mediante un cliente FTP, el administrador del sistema también debe bloquear la opción de examinar archivos y directorios en el IIS.
Posibles fallas de seguridad:
- Que un usuario tenga activa una opción no necesaria que puede ocasionar que este la ejecute ocasionando una eliminación de un registros, anulación de un documento o cualquier acción que dañe la información en la base de datos.
- Que el sistema sea copiado totalmente mediante un simple copiar y pegar en un pen drive, compresión de archivos o cualquier servicio de respaldo en la nube.
- Que un usuario pueda ejecutar una operación a la cual no debe tener acceso como exportación de información en xml, csv o formato parecido.
- Que un usuario pueda ver una información considerada como confidencial (sueldos de directores, costos, margenes de ganancia, etc.)
- Que un usuario pueda exportar una información que comprometa seriamente las ventajas competitivas de la empresa (datos de proveedores, listas de clientes con su información de contacto, relación de utilidades, entregar información a la competencia, etc.)
- La sede central esta en Miami (USA) con una fuerza de ventas regada en varios estados.
- Existe una fuerza de ventas de 2 personas en panama.
- Existe una fuerza de ventas de 2 personas en Portugal.
- Todos los vendedores usan portátiles, tablets o smartphone y todos siempre están fuera de las oficinas administrativas.
- Que solo puedan cotizar y ver los datos de existencias y precios
- Que solo vean los documentos pertenecientes a ellos y adicionalmente que estén pendientes por convertir a facturas y pertenezcan a los ultimos 12 meses para que su navegador web cargue solo la información necesaria.
- Que solo puedan ver la información de ciertos almacenes.
- Que solo puedan ver los clientes asignados individualmente por vendedor
- Que exista un usuario supervisor que pueda autorizar las cotizaciones o propuestas en las cuales exista al menos un articulo con la ganancia por debajo del margen minimo.
- Ningún vendedor podrá exportar la información.
- Definición y Estatus del Usuario
- Solo sera necesario cambiar el estatus del usuario a inactivo para que ya no pueda acceder a ninguna aplicación. Modulo del Sistema de eFactory
- Acceso a la Aplicación/Modulo
- El usuario sigue estando activo pero solo podrá acceder a los módulos que tenga permiso.
- Asignación del Usuario a uno o varios grupos (Ventas, compras, tesorería, RMA, CRM, etc.), para el caso de los vendedores habrá un grupo de ventas al cual perteneceran todos.
- Se definirá un usuario por cada vendedor que este definido en el modulo de ventas.
- Se aplicaran filtros internos mediante el administrador de ambientes para filtrar que solo muestre sus documentos así como los documentos pendientes y que la fecha este en los últimos 12 meses.(Filtrando registros en eFactory)
- Se programara una tarea una tarea en el administrador de eventos para que al confirmar una cotización sea enviado un correo a su supervisor de ventas con los principales datos del documento.
- Se asignaran en la ficha de usuarios las propiedades que filtrar los códigos de registros para clientes y artículos.
- Se dara acceso a los reportes que sean realmente necesarios como cotizaciones por artículos, clientes, etc. siempre y cuando estos reportes apliquen internamente el filtrado de los registros que ese usuario/vendedor puede ver.
Observaciones:
- Siempre se recomienda la aplicación de un esquema restrictivo en las diferentes opciones del sistema, de esta forma cuando se agregue una nueva opción el usuario no tendrá acceso a menos que se le de permiso explícitamente.
- Se debe verificar constantemente los reportes detallados y resumidos que proporciona el sistema relacionados a las auditorias, puntos como direcciones IP de acceso, horarios de ejecución, exportación de información y eliminaciones.
- Debe existir un estricto control de los FULL Backup de los sistemas en producción.
- Es necesario ejecutar validaciones periodicamente de los accesos, para esto se debe resetear la clave del usuario a auditar y entrar con ese loguin para constatar los diferentes accesos y permisos que tenga, esta validación es recomendable llevarla en una relación.
- Debe existir un seguimiento de copias y eliminaciones de archivos en la red ya sea con funcionalidad del mismo sistema operativo o mediante algún software de terceros para los usuario locales.
- Todos los usuarios deben tener vencimiento de contraseña en la solución Web.
José Paredes
jfparedes@efactoryerp.com
Servicio al Cliente
Factory Soft