En la película Matrix, era posible llegar hasta el corazón del sistema por medio de las puertas traseras. Se trata de pequeñas aberturas que brindaban el resquicio suficiente para ingresar. ¿El ERP que se usa en su empresa tiene una puerta trasera? Tal vez lo tenga. Si no está seguro, además de leer este artículo, lo guiamos para hacer su propio diagnóstico.

El Problema

Lejos se está de principios de los ‘90 cuando el ERP (Enterprise Resource Planning) empezaba a acaparar la atención de gerentes y ejecutivos como una herramienta para aumentar la eficiencia de sus procesos. Hoy por hoy, cualquier tomador de decisiones o decision-maker en el mercado no sólo ve a estos productos como una mejora de sus procesos, sino que el mismo está entramado en su modelo de negocio a tal punto que el accionar de su organización depende del mismo casi simbióticamente.

A raíz de tal relación, y en algunos casos a fuerza de duras lecciones, la seguridad en el ERP (Enterprise Resource Planning) y en la infraestructura TI en general, se vuelve un tema fundamental. A la hora de analizar la seguridad de una solución de ERP hay ciertos puntos que están siempre en la mira:

  • Analizar cuál es la granularidad potencial de asignación.
  • Si es posible definir perfiles.
  • Si el sistema deja auditoría acerca de generación de entidades o transacciones.
  • Si permite historicidad completa, entre otros.

Todos estos puntos son fundamentales a la hora de manejar y auditar un ERP en organizaciones de medianas para arriba, y usualmente son puntos que distinguen a los productos de envergadura de los pequeños.

Los ERP’s para grandes organizaciones ponen mucho énfasis en la cuestión de la seguridad de los datos. No hay que olvidar que el ERP es el custodio de casi todos los activos de una compañía; desde los valores y las cuentas corrientes hasta el inventario o los activos fijos entre otras cosas.
A propósito ¿Tiene certeza de la seguridad que le brinda su ERP? haga su propio diagnóstico en “Diagnóstico preliminar de seguridad del ERP”

En los últimos años esta tendencia a reconocer la importancia de la seguridad en TI se acentúa con normas y certificaciones a lo largo del espectro, desde aquellas basadas en ataques externos u orientadas al riesgo de infraestructura hasta la aparición de las regulaciones Sarbanes-Oxley que hacen mención explícita de los controles internos en los sistemas de gestión de la administración.

La Puerta de Atrás

A pesar de las mencionadas tendencias, a la hora de analizar la seguridad en ERP’s hay una amenaza a la que usualmente no se le presta la atención que merece y que sin embargo es la que históricamente ha traído más problemas.

El punto es el siguiente: en organizaciones medianas y grandes se suele delegar la función de gestionar el motor de base de datos con acceso de modo usualmente irrestricto.

Esta delegación ocurre por diversas razones, puede ser para la obtención de reportes o algún servicio web, y muchas veces hasta explícitamente para alterar registros grabados por el sistema y que por motivos de auditoría no pueden ser modificadas por el mismo sistema. Si bien éste acceso puede sacarnos eventualmente de algún apuro, debemos tomar conciencia del flanco de inseguridad que ofrecemos con esta prácticas.

Cada vez con mayor frecuencia se ven fraudes relacionados con éste tema. No es infrecuente encontrar casos donde alguien en la administración sustrae un cheque de la caja y el administrador de la base de datos borra ese valor, o al mismo haciendo desaparecer la deuda de un cliente en un servicio público.

Esto podría no haber sido un problema tan serio hace 15 años cuando los datos de los sistemas estaban casi siempre contrastados contra algún tipo de documento en papel; pero desde hace tiempo la única realidad es lo que reflejan las bases de datos, de modo que es importante que se tome conciencia de lo que esto involucra.

Medidas de Control

La respuesta a una amenaza como la descripta es fácil y difícil a la vez: hay que restringir el acceso del personal de sistemas a la base de datos del sistema ERP. Esto a veces es posible y a veces no dependiendo del grado de soporte que se tiene por parte del proveedor del producto, o de las customizaciones que se mantienen hechas por la empresa.

En muchos casos los datos del sistema ERP coexisten con sistemas propios con los que interactúan de modo que se vuelve muy impráctico, incluso imposible efectuar semejante restricción. Llegado el caso una alternativa posible será dar el acceso irrestricto requerido por el personal de sistemas, pero no dar acceso a donde se guardan los registros de qué hacen con ese acceso; tal alternativa plantea por supuesto una serie de dificultades que se tratará en otra ocasión.

A fin de cuentas el tratamiento que se le dé a éste problema depende de la estrategia definida para el área de sistemas. Sea cual sea la decisión tomada al respecto, es la dirección quien debe hacerla a conciencia y bajo ningún concepto considerarla un mero detalle técnico.

El Papel del Sistema

Si bien hasta ahora se habló de qué se puede hacer desde el punto de vista del personal y el acceso a las bases de datos, algunos pocos productos (lamentablemente muy pocos) realizan un control de auditoría sobre los datos que el mismo registra. En pocas palabras lo que hace es firmar digitalmente las entidades (registros) que graba de modo que la alteración desde el motor de base de datos pueda ser detectada, incluso autocorregida (y de ser necesario notificada) por el mismo sistema en el momento de realizar una auditoría.

Debido al tamaño de los productos ERP actuales (incluso los más sencillos), el agregado de tal funcionalidad es muy complejo; no obstante no me sorprendería ver un mecanismo de éste tipo convertido en un estándar de facto de la industria en el mediano plazo.

Por Ignacio Mieites

 
Share This
Suscríbase a nuestras novedades

Suscríbase a nuestras novedades

¿está interesado en nuestros contenidos de ERP? Suscríbase para nuestros newsletter y no deje de estar informado.

¡Listo, ya está suscripto!