De un vistazo
Una asignación de derechos nula o demasiado generosa en el ERP obstaculiza el crecimiento debido a los riesgos de seguridad y cumplimiento. En cambio, un modelo de roles bien pensado con un acceso estrictamente controlable protege los datos, optimiza los procesos y refuerza el control. Además, una comprobación continua de las autorizaciones crea la gobernanza necesaria para permitir el escalado sin lagunas de seguridad.
Si gestionas una solución ERP, eres responsable de la seguridad de los datos y los procesos. Por tanto, tu empresa debe abordar la cuestión de la asignación de derechos en el sistema ERP cuanto antes. Esto se debe a que los derechos de acceso basados en roles son al menos tan importantes para proteger los datos sensibles como los cortafuegos o los procedimientos de encriptación.
Hay dos cuestiones que te interesarán especialmente:
- ¿Qué funciones hay en la empresa?
- ¿Qué derechos requiere cada función?
En este artículo encontrarás las respuestas a estas preguntas y consejos importantes para un concepto práctico de autorización.
¿Por qué es tan importante la cesión de derechos en la ERP?
Una solución ERP reúne todos los datos relevantes de tu empresa. Si todos los departamentos tienen acceso al sistema, se garantiza un flujo fluido de información. Esto significa que todos los empleados tienen acceso a la misma base de datos, lo que evita los silos de datos y acelera considerablemente muchos procesos. Hasta aquí, todo bien.
Pero imagina que toda la plantilla -desde la dirección hasta los becarios- tuviera acceso a todos los datos del sistema ERP en todo momento. Las consecuencias serían inimaginables:
Tu empresa no sólo se vería afectada por graves problemas de seguridad por el acceso no autorizado a los datos. También infringirían el Reglamento General de Protección de Datos (RGPD).
Por estas razones, es extremadamente importante definir los derechos de acceso en el software ERP de forma correcta y precisa. El requisito previo para asignar derechos es un concepto de rol coherente, que idealmente debería desarrollarse antes de implantar el sistema.
La asignación de derechos basada en funciones tiene muchas ventajas:
- Protección de la información sensible contra el acceso no autorizado, el robo y la manipulación de datos
- Mejor cumplimiento mediante la adhesión a los requisitos legales, como el GDPR
- Flujos de trabajo optimizados y mayor productividad, ya que los empleados sólo ven las funciones y datos relevantes, lo que mejora la usabilidad del software
- Menor tasa de errores y menos solicitudes de asistencia, ya que se evitan las entradas de datos incorrectos o los cambios involuntarios
- Más transparencia y trazabilidad mediante responsabilidades claras
- Ahorro de costes mediante procesos más eficaces, menos incidentes de seguridad y menores costes de licencia
Los derechos de acceso basados en funciones son al menos tan importantes para la protección de datos sensibles como los cortafuegos o los procedimientos de encriptación.
Las 3 funciones estándar en el sistema ERP
Durante la preparación del proyecto ya deberías tener una idea de cómo optimizar la distribución de funciones en el sistema. Esto se debe a que, de todos modos, durante esta fase examinarás tus procesos. Averigua qué persona es adecuada para cada función y hasta qué punto te gustaría subdividir la distribución de funciones.
Hoy en día, la mayoría de las empresas están organizadas jerárquicamente. Normalmente, hay una dirección, niveles intermedios de dirección (por ejemplo, jefes de departamento) y empleados en los respectivos departamentos especializados. Como la asignación de autorizaciones suele basarse en esta jerarquía, la estructura mencionada también debe mapearse en el sistema ERP.
La mayoría de los sistemas ERP ya ofrecen funciones estándar predefinidas. Por ejemplo:
- Usuario estándar
Para los usuarios estándar, el llamado principio mínimo -también conocido como »principio del menor privilegio»- ha demostrado su eficacia. Los usuarios sólo pueden acceder a los datos y funciones que son relevantes para su área de responsabilidad individual. Los administradores del sistema establecen un filtro de datos para que las áreas bloqueadas aparezcan en gris y no se pueda hacer clic en ellas.
- Usuario clave
Los usuarios clave suelen pertenecer al nivel de mandos intermedios y tienen derechos de acceso más amplios que los usuarios estándar. Gracias a las autorizaciones y responsabilidades ampliadas, pueden ver y editar todos los registros de datos de su departamento. De este modo, también se puede garantizar un principio de doble control al introducir datos críticos, por ejemplo, si sólo el gestor está autorizado a confirmar dicha introducción de datos.
- Usuario avanzado
Los usuarios avanzados son los administradores del sistema ERP. Tienen más obligaciones y plenos derechos de acceso a todos los registros de datos y funciones del sistema, incluso entre departamentos.
Los 4 derechos estándar de los usuarios de ERP
Puedes asignar derechos individuales a las funciones individuales que definas en el sistema. La mayoría de los sistemas ERP son capaces de organizar esta asignación de derechos de forma muy granular, a menudo hasta el nivel de campo.
Los cuatro derechos estándar son los siguientes
- Crea
- Ver (Leer)
- Cambio (Actualización)
- Borrar (Eliminar)
También se denominan derechos CRUD, según sus letras iniciales. En el nivel más bajo (Lectura), los usuarios están muy restringidos. La mayoría de las funciones y registros de datos del sistema permanecen cerrados para ellos. En los niveles superiores, se añaden nuevos derechos y funciones del sistema, en función del papel de los empleados en la empresa.
Un ejemplo de compra ilustra los derechos de acceso basados en roles:
- Los usuarios estándar pueden ver y editar pedidos, pero no pueden crear nuevos proveedores.
- Los usuarios clave también pueden crear proveedores y modificar las condiciones de compra.
- Como administradores del sistema, los usuarios avanzados tienen acceso a toda la gestión de derechos y a la configuración del sistema.
| Papel | Crea | Ver (Leer) | Cambio (Actualización) | Borrar (Eliminar) |
| Usuario estándar | ❌ | ✅ | ✅ (limitado) | ❌ |
| Usuario clave | ✅ | ✅ | ✅ | ✅ (parcial) |
| Usuario avanzado | ✅ | ✅ | ✅ | ✅ |
Asignación diferenciada de derechos dentro de los departamentos
Sin embargo, las tres funciones estándar sólo satisfacen las necesidades del día a día en muy pocas organizaciones. Es aconsejable afinar más la asignación de derechos dentro de los departamentos . Los becarios, por ejemplo, deberían tener menos derechos que los compañeros experimentados que llevan varios años en la empresa. Lo mismo se aplica a los becarios, los aprendices y los trabajadores temporales y de agencias de trabajo temporal. Por tanto, un sistema ERP moderno puede utilizarse para dividir aún más las funciones según sea necesario.
Aquí también hay que tener en cuenta los equipos dinámicos y el personal externo de los proyectos. Sobre todo en las grandes empresas, es habitual que el personal cambie con frecuencia y que los empleados sólo estén destinados temporalmente. Los derechos de acceso deben asignarse rápidamente a las nuevas personas y retirarse inmediatamente después de que se vayan.
10 consejos para un concepto de autorización práctico
La asignación de autorizaciones en un sistema ERP presenta numerosos retos que requieren una planificación cuidadosa y ajustes periódicos. Los siguientes consejos te allanarán el camino hacia un concepto de autorización coherente:
1. considera los requisitos específicos del departamento
Cada departamento tiene sus propios requisitos de acceso. Mientras que contabilidad necesita datos financieros sensibles, los equipos de ventas suelen acceder a la información de los clientes. Para satisfacer las necesidades individuales, es esencial una gestión de roles y derechos estandarizada pero flexible.
| Departamento | Tipos de datos (ejemplo) | Derechos de acceso |
| Contabilidad | Facturas, balances | Acceso completo a los datos financieros |
| Distribución | Datos de clientes, ofertas | Acceso a datos CRM |
| Compras | Datos de proveedores, pedidos | Acceso restringido al DMS |
| Recursos Humanos | Datos de los empleados | Acceso al módulo RRHH, sin datos CRM |
2. comprueba regularmente las autorizaciones
Los nuevos empleados, los nuevos proyectos o los requisitos cambiantes de los proyectos hacen necesario comprobar y ajustar regularmente las autorizaciones. Para garantizar que las entradas y salidas se asignan correctamente, se recomienda una sincronización continua entre el sistema de RRHH y el sistema ERP.
3. establecer derechos temporales para proyectos o personal externo
Los empleados que trabajan en proyectos temporales y los especialistas externos normalmente sólo necesitan acceso de corta duración a determinadas áreas. Es importante revocar los derechos de acceso inmediatamente después de finalizar el proyecto para evitar usos indebidos.
4. confiar en la asignación automatizada de derechos
Asignar derechos manualmente alberga el riesgo de que las autorizaciones se concedan inadvertidamente de forma demasiado generosa o demasiado estricta. Los flujos de trabajo automatizados y las funciones predefinidas ayudan a minimizar este riesgo.
5. considerar posibles emergencias y escaladas
En situaciones críticas, un usuario puede necesitar acceso inmediato a determinados datos. Por tanto, debes definir procesos para la asignación rápida de derechos de emergencia en una fase temprana.
6. integrar otros sistemas
Los derechos del sistema ERP deben armonizarse con otros sistemas, como un CRM o un DMS, para evitar duplicidades y lagunas. Los modelos de roles estandarizados facilitan la administración y mejoran la seguridad informática.
7. piensa en los periodos de vacaciones y en los casos de enfermedad
Si un compañero está temporalmente fuera de la oficina, existe el riesgo de que los procesos se retrasen por falta de autorización. Por tanto, recuerda establecer funciones de suplencia. Por ejemplo, si el jefe de ventas está ausente, el departamento puede seguir finalizando los pedidos.
8. reducir el riesgo de seguridad mediante el acceso remoto
La gestión de los derechos de acceso en entornos de trabajo híbridos es una cuestión delicada. Por tanto, asegúrate de que el acceso a los datos sólo sea posible mediante acceso VPN o modelos de seguridad de confianza cero.
9. documenta la cesión de derechos con la mayor claridad posible
Las auditorías internas y externas pueden poner a prueba el concepto de autorización. Pero no si registras por escrito la asignación de autorizaciones. Entonces podrás demostrar en un abrir y cerrar de ojos a qué persona se le han concedido qué derechos y por qué motivos.
10. no des a una persona demasiado control
Si las personas tienen demasiadas tareas y autorizaciones, aumenta el riesgo de fraude. Por tanto, es esencial que garantices una separación razonable de funciones a la hora de asignar autorizaciones y que supervises esto de forma continua.
Conclusión: Tanto como sea necesario, tan poco como sea posible
En una empresa, todos los departamentos tienen acceso al sistema ERP para crear la transparencia necesaria. Sin embargo, los jefes de proyecto deben asegurarse de que sólo los empleados pertinentes tengan acceso a los datos sensibles. Por ello, es necesario planificar minuciosamente el sistema basándose en las divisiones existentes en la empresa y en las autorizaciones necesarias.
Una solución ERP ofrece la posibilidad de definir detalladamente en el software los derechos de acceso basados en roles. Los ajustes de derechos correspondientes definen qué usuarios están autorizados a ver, editar o liberar determinados datos.
Cómo organices exactamente tu sistema individual de derechos de acceso basado en funciones depende, por supuesto, enteramente de ti. Desgraciadamente, no existe una solución única. Un análisis detallado de tus procesos te proporcionará información sobre todos los flujos de trabajo y dependencias de tu organización.
Whitepaper sobre la implantación de ERP
Puedes averiguar qué otros aspectos debes tener en cuenta como parte de tu proyecto ERP en este Whitepaper.
