Seguridad de la información y ERP
Cada vez que toco el tema de la seguridad de la información en las pymes tengo la tentación de mirar para todos los lados por si acaso alguien está está vigilando.
No nos damos cuenta de que las amenazas y los riesgos son cada vez más sutiles y que la pérdida o el robo o el uso indebido de datos se produce, muchas veces, sin darnos apenas cuenta.
Mañana es el Día Internacional de la Seguridad de la Información y aprovecho para volver a poner sobre la mesa virtual y figurada -claro- un tema que no deja indiferentes a nadie.
Las pymes, que tradicionalmente han pensado que no eran un objetivo claro de los ladrones de información, poco a poco, van tomando conciencia de que, hoy, por hoy, ninguna organización está a salvo en este sentido.
Pensemos también, sin ser siempre tan alarmistas, que muchas de las situaciones de riesgo que viven las pymes en relación a la protección de la información, no tienen que ver tanto con ataques sino, simplemente con “despistes” que pueden salir -eso, sí- muy caros.
Por eso, en este post, me gustaría hacer un recorrido por las medidas que están al alcance de todos para proteger y salvaguardar uno de los activos más importantes con los que cuentan las organizaciones: los datos.
Tan es así que, gran parte de la tecnología emergente en los últimos años y otra parte sustancial de la que se desarrollará en el futuro, tienen como base estratégica, eso, los datos: su recopilación, su almacenamiento, su análisis, su interpretación, su explotación, etc.
Seguridad de la información
Está claro que, cuando hablamos de seguridad de la información, cualquier precaución es poca. Por mucho que, todavía nos encontremos con organizaciones en las que cuesta implementar o normalizar incluso las “precauciones” más elementales.
Es decir, esas que, tanto en el ámbito doméstico como en el profesional, ya sean pequeñas empresas, medianas o grandes corporaciones, todos, deberíamos tener perfectamente interiorizadas. Hablo, por ejemplo, de realizar backups automáticos -si hablamos de soluciones en la Nube, a cargo del proveedor-, o de tener un adecuado uso de las contraseñas.
Afortunadamente, estos casos son cada vez menos, también, en parte, por el importante trabajo llevado a cabo por los fabricantes y desarrolladores de software que incluyen ya en sus aplicativos, importantes medidas de control para salvaguardar la información.
Sin ir más lejos, cuando hablamos de soluciones ERP, hablamos de soluciones muy orientadas a evitar o, cuanto menos, minimizar cualquier error humano o acción premeditada que pueda poner en riesgo la seguridad de los datos que manejan.
De este modo, la manipulación de datos, el acceso a informes o estadísticas sensibles o la ejecución de copias no autorizadas, resulta complicado que pueda quedar impune, utilizando un ERP innovador y consistente.
Sistemática de Backup y contraseñas
Como decíamos, si el ERP está alojado en la Nube de un tercero, es muy probable que sea el propio proveedor el que, automáticamente lleve a cabo las copias de seguridad. En caso de utilizar un aplicativo in house, las empresas deben sistematizar sus procesos de backup, algo que no todas las pymes hacen, por desidia, por despreocupación o, simplemente, porque no son conscientes de su importancia.
Automatizar el proceso evita la pérdida de tiempo y tener la sensación de tener que hacer las copias de seguridad, entendiendo este, como un proceso añadido a las funciones cotidianas.
Automatizarlo hace que no se olvide y, que se aborde la tarea cuando los aplicativos no están siendo utilizados y, por tanto, sin interceder en el desempeño ordinario de la actividad corporativa.
Por otro lado, y, aunque parezca una obviedad es importante buscar contraseñas que sean difíciles de descifrar. Recuerda que existen programas que, automáticamente, van probando con diferentes password para intentar entrar en lo ajeno.
Por eso, como digo, buscar contraseñas difíciles es importante. Más aún, no compartirlas, ni anotarlas en un papel para no olvidarlas, ni enviar correos electrónicos con las contraseñas o claves de acceso.
Además, si vamos cambiando progresivamente los password cada cierto tiempo, estaremos poniendo barreras de protección adicionales. En este sentido, se puede configurar el ERP para establecer los períodos de vigencia de las contraseñas, obligando así, a los usuarios, a cambiarlas sin que puedan repetir claves anteriores.
Perfiles de usuarios, accesos y roles
Establecer un sistema de roles proporciona grandes ventajas. Desde ocultar determinados valores o restringir el acceso a determinados registros, hasta establecer alertas personalizadas -por ejemplo, solo para los administradores para que realicen determinadas tareas-.
Permitir el acceso a información sensible -financiera o comercial, por ejemplo- solo a aquellos usuarios que realmente la necesiten para el desempeño de sus funciones protege de su uso indebido en otros entornos de la organización que no requieren datos de este tipo para su trabajo.
Los sistemas ERP actuales permiten establecer diferentes parametrizaciones para facilitar o impedir determinadas acciones (altas, bajas, consultas, modificaciones, …)
La opción de personalizar los menús también suma protección a la información. Es decir que, si hablamos de un software modular, cualquier usuario del entorno comercial no tenga por qué poder acceder a los datos que maneja el módulo financiero o contable.
Es evidente que el intercambio fluido de información marca las pautas de las nuevas metodologías de trabajo en plena era digital, pero esa fluidez no tiene por qué ir en detrimento de la salvaguarda de la información. Más bien al contrario.
Es decir que, cuantas más medidas de seguridad adopten los aplicativos ERP, más y mejor información se podrá intercambiar entre los equipos. Eso sí, manteniendo siempre el control sobre el quien, el qué, el cómo, el cuándo, el dónde y el para qué.
En definitiva
Creo que los fabricantes ponen al mismo nivel la funcionalidad y la usabilidad de sus aplicativos que la seguridad.
Por eso, en el diseño inicial de estas soluciones apuestan tanto por el desarrollo de dispositivos que permitan agilizar, automatizar y, en general, mejorar la eficiencia de los procesos corporativos, como por incorporar todas las medidas de seguridad posibles para proteger la información con la que trabajan.
También, por supuesto, para cumplimentar todos los requisitos legales establecidos por la normativa vigente.
Ahora bien, como decía al principio, el error humano también puede provocar grandes catástrofes. Por eso, insisto mucho en el tema de la formación y la concienciación.
Es importante transmitir la idea de que todos los que forman parte de la organización -con independencia del área o nivel jerárquico- deben adoptar las medidas de seguridad recomendadas.
Es más, hay que avanzar hasta la situación ideal, esa en la que no haga falta insistir porque todos hayan interiorizado el hecho de que la seguridad de la información debe ser consustancial al desarrollo mismo del negocio.