Últimamente abundan las noticias sobre hackers, estafadores, ransomware y tecnología, en las que la seguridad siempre está a la orden del día. La protección de los datos de los empleados es una cuestión muy importante para los que nos dedicamos a la gestión del capital humano y las nóminas. Las leyes y normativas varían según el país e incluyen la Ley POPI, el RGPD y la HIPAA como ejemplos, si bien también existe el mero requisito de sentido común de mantener el derecho a la privacidad de los empleados.
Muchas veces, la vulnerabilidad de los datos de los empleados se debe a un error humano, como en este conocido ejemplo de hace unos años: Empresa dedicada a la elaboración de nóminas se disculpa por haber publicado de manera accidental datos de la seguridad social. En otras ocasiones es de carácter malintencionado, donde la motivación es el ciberataque a una organización para robar las identidades de los empleados.
Al margen de la intención, garantizar la seguridad de los datos críticos de RR. HH. y de nóminas es una necesidad. Para aquellas empresas que utilizan SAP® o SAP SuccessFactors, presentamos algunos puntos clave que deben tenerse en cuenta.
Tanto si utiliza SAP como SuccessFactors, sus datos pueden residir en varios entornos. Con frecuencia, los clientes necesitan datos válidos en instancias que no son de producción o en clientes para realizar pruebas, soporte o formación. Esto constituye un área de vulnerabilidad, ya que los controles existentes en los entornos de no producción pueden ser distintos a los de producción. Los clientes suelen actualizar los datos de un entorno a otro, lo que puede incluir datos de empleados. En estos casos, se requiere un mecanismo seguro para el traslado sin riesgo de esos datos y la anonimización adecuada de los mismos en entornos híbridos de SAP o SAP SuccessFactors. Para obtener más información y estar seguro de que sus datos críticos están protegidos y utilizan una solución certificada por SAP, visite Data Sync Manager (DSM) para HCM.
Es fácil identificar la ubicación principal que almacena muchos de los datos básicos de los empleados. Por ejemplo, sabemos que el campo de género se almacena en el infotipo 0002 de información personal en SAP y en el perfil de empleado en SuccessFactors Employee Central. No obstante, también tenemos que considerar todos los lugares a los que se propagan los datos, incluidos los informes, las interfaces y los archivos de cola de impresión, y asegurarnos de que los datos también están protegidos. Es fundamental conocer todos estos lugares de contacto. Una forma de garantizar la protección de los datos es asegurarse de que las soluciones de terceros que se utilizan están certificadas por SAP, ya que solo aquellas que cuentan con las certificaciones adecuadas respetan las autorizaciones de SAP y SuccessFactors. En el caso de informes, interfaces y documentos, la solución líder con esta certificación crítica de SAP es Query Manager con Document Builder. Para obtener más información, visite Query Manager.
Garantizar el cumplimiento de cualquier normativa no es una actividad puntual, sino un evento recurrente que requiere una revisión y actualización continuas. En lo que respecta a SAP ECC, esto incluye no únicamente el acceso a los datos de empleados, sino el acceso para desarrollar o ejecutar ABAP (donde se puede escribir código para evaluar datos de tablas o clústeres) y el acceso a la base de datos. En este sentido, conozco a muchos empleadores que han hecho un enorme esfuerzo por mantener los datos maestros bloqueados a nivel de código de transacción/infotopo/usuario, ignorando la disponibilidad de esos datos sensibles para cualquier persona con capacidad para revisar datos, ya sea mediante código, acceso a tablas personalizadas (SQ01), colas de impresión o a la base de datos Basis (Select *...). Es más, los datos también se envían a los módulos de finanzas con sus propios conjuntos de autorizaciones que requieren revisión. Conviene tener en cuenta que cualquier cantidad de dinero pagada queda registrada en algún lugar e incluso un informe de centro de costes podría divulgar información sensible crítica que podría hacer que los datos personales de un empleado fueran vulnerables.
En el caso de SAP HCM, los objetos de autorización son la clave de la seguridad de RR .HH. Son los que deciden lo que se puede hacer en un determinado infotipo. El acceso debe controlarse y revisarse con regularidad, pero también hay que tener en cuenta la segregación de funciones para el procesamiento de las nóminas. Para ocuparse de estas cuestiones así como evaluar, actualizar y mantener los roles y las autorizaciones de forma económica e intuitiva, y cumplir con la normativa de privacidad de datos, consulte Soterion Access Risk Manager. Visite Software de cumplimiento de Soterion para obtener más información al respecto.