Parte central de todo sistema de información es almacenar la data de la operación, administración o gestión en general del negocio al que apoya. Al ser un producto humano, estos sistemas no son infalibles ni cubren todos los casos posibles de negocio que ocurren. En consecuencia, mientras son complementados o reparados según sea el caso, es común la práctica de prestar el servicio en las unidades de informática de “actualizar algún dato”, “corregir algún dato”, o en general acceder por puertas traseras (backdoors) a modificar la data, bien sea con instrucciones de manipulación de datos directas a la base de datos o por cualquier otra facilidad alternativa.

Cuando se manipula la data obviando todo criterio razonable de riesgo, seguridad, auditabilidad, el negocio continúa, sin embargo, esa intervención deja consecuencias de las que es muy complicado, cuando no imposible, realizarle un seguimiento apropiado.

Una intervención en la data almacenada en bases de datos de una organización no representará mayor riesgo cuando se hace a través de una funcionalidad controlada, sin embargo, los sistemas cuentan con más de una puerta trasera que permiten intervenciones no controladas y éstas pueden salirse de control lo cual pone en riesgo la información del negocio o en caso de información sensible, como en instituciones gubernamentales, o bancarias puede ser fuente de delitos o, asumiendo la buena fe de los participantes en el proceso, de pérdida de dinero, tiempo o cualquiera que sea el activo producido por el negocio.

Aprovechando las características del BPM, donde toda solicitud iniciada deja una traza que permite hacer seguimiento, puede ser auditada y alimenta un expediente electrónico, hemos desarrollado un sistema basado en BPM que permite, de forma segura, ordenar y controlar el uso de estos “backdoors”.

Este sistema basado en BPM, se compone de dos procesos; el primero, de configuración donde se definen instrucciones que delimitan los accesos, determinando el uso de las puertas traseras, las acciones que pueden ser realizadas a través de ellas, los usuarios que tienen permitido acceder. El segundo proceso, de seguimiento y ejecución de la actividad iniciada: qué hizo, quién la hizo, cuándo la hizo.

Con este sencillo proceso la gerencia de sistemas podrá proteger la data que es un vital activo de información de la organización.