SER Blog Casos de éxito y Soluciones

Conceptos de autorización: nadie los quiere pero todos los necesitan

Mediante los conceptos de autorización, las empresas pueden controlar y decidir quién tiene acceso a los datos y documentos. De esta manera, se garantiza que la información esté protegida en todo momento y que los procesos se realicen de acuerdo con la normativa. En este artículo te explicamos por qué necesitas conceptos de autorización, cómo puedes configurarlos y de qué manera importarlos a sistemas de terceros.

¿Qué es un concepto de autorización?

Un concepto de autorización se puede definir como la suma de todas las reglas de autorización de toda la empresa. O, en otras palabras, un concepto de autorización determina en qué circunstancias puede ver un empleado una información concreta.

Por regla general, los conceptos de autorización se almacenan en aplicaciones digitales. Si, según el concepto de autorización, el empleado está autorizado a ver la información, este puede acceder a la carpeta correspondiente, mientras que el sistema rechaza las solicitudes no autorizadas.

¿Por qué necesitan las empresas un concepto de autorización?

Los conceptos de autorización tienen como objetivo gestionar eficazmente los derechos de acceso. No todos los empleados tienen acceso a todos los documentos, y existen buenas razones para ello, como descubrirás a continuación:

Reducir los volúmenes de información excesivamente elevados

Un concepto de autorización puede ayudarte a reducir la sobrecarga de información. Las grandes cantidades de datos dificultan que los empleados encuentren la información adecuada. Cuando estos volúmenes excesivos de información crecen sin parar, la búsqueda de los recursos adecuados se vuelve todavía más lenta, sobre todo cuando los empleados no saben cómo aprovechar dicha información.

Mediante el concepto de autorización, el empleado de RR. HH., por ejemplo, no verá el documento en cuestión, sino que accederá únicamente a la información que necesita para hacer su trabajo. De este modo, el personal se puede centrar únicamente en lo que es relevante.

Ejemplo: Si un empleado de RR. HH. ve un documento con datos sobre las ventas, podría interpretar las cifras de manera incorrecta y concluir que la empresa va mal, lo que puede generar inseguridad entre los trabajadores. Sin embargo, las cifras de ventas forman parte de un proceso inacabado, ya que las cuentas anuales todavía no están cerradas y aún no se han incluido muchos acuerdos que podrían acabar generando unos resultados positivos.

Proteger la privacidad de los datos 

Otro punto importante de los conceptos de autorización es que no todo el mundo en la empresa puede (o debe) verlo todo. Las nóminas, por ejemplo, se consideran datos personales y, por lo tanto, deben tratarse de forma confidencial. Las empresas están obligadas a hacerlo de este modo de acuerdo con el RGPD. Además de a las nóminas, esto mismo aplica a muchos otros datos de empleados y clientes.

De este modo, los conceptos de autorización designan a los trabajadores que pueden ver información personal, es decir, aquellos que la necesitan para sus actividades laborales. Esta limitación del acceso permite garantizar la seguridad de los datos.

Salvaguardar los acuerdos de confidencialidad

Los requisitos de seguridad de los datos son todavía más exigentes cuando se trata de datos de terceros. Tu empresa recibirá información confidencial de manera habitual al trabajar con organizaciones externas. Los acuerdos de confidencialidad exigen que la empresa ponga especial cuidado en proteger este contenido, y los conceptos de autorización rastrean estos acuerdos internamente.

Proteger los secretos comerciales

Los recursos que más influyen en el éxito comercial de una empresa también requieren altos niveles de protección. De este modo, los conceptos de autorización protegen los secretos empresariales ante los empleados y, principalmente, la competencia. Esto significa que solo un grupo selecto de personas puede acceder a esta información confidencial.

Doxis SmartBridge for SAP SuccessFactors

Efficient HR management with Doxis & SAP SuccessFactors

Read now

¿Cómo se organizan los conceptos de autorización?

Los conceptos de autorización están relacionados con la persona a la que afectan, con un rol determinado o con un documento/información concreto.

Relacionados con una persona específica

Los conceptos de autorización relacionados con una persona determinan a qué empleado se le permite acceder a una información determinada. Como las autorizaciones se crean individualmente para cada empleado, la gestión de este proceso resulta compleja. Siempre que cambia algo relacionado con el empleado, debes actualizar el concepto de autorización correspondiente. Esto ocurre, por ejemplo, cuando un empleado deja la empresa, se incorpora, cambia de puesto o asume nuevas responsabilidades o tareas.

Por este motivo, el concepto de autorización basado en una persona solo se recomienda para empresas pequeñas con pocos empleados, ya que en estos escenarios el esfuerzo administrativo que supone todavía resulta manejable.

Relacionados con un rol

Los conceptos de autorización relacionados con un rol son menos complejos. En lugar de crear un concepto de autorización para cada empleado, son los roles los que tienen conceptos de autorización asignados. Estos conceptos definen las autorizaciones de acceso que corresponden a cada función y a las áreas de responsabilidad pertinentes. Una vez creados, se transfieren automáticamente a los nuevos empleados que se incorporan a la empresa o cambian de rol o departamento.

Relacionados con documentos o información

Como alternativa, puedes crear conceptos de autorización basados en documentos o información, es decir, independientemente de las personas. Existen varias opciones para este supuesto:

A nivel de carpeta: decide a qué carpetas pueden acceder los empleados. Por ejemplo, solo los empleados de RR. HH. y el propio trabajador afectado pueden ver la carpeta de empleado correspondiente.

A nivel de subcarpeta: decide qué subcarpetas pueden ver los empleados y cuáles no. Por ejemplo, un empleado de RR. HH. puede tener permiso para abrir las carpetas de proveedores y entrar en la subcarpeta de datos maestros, pero no en la de facturas.

A nivel de tipo de documento: decide qué tipos de documento pueden ver los empleados en las subcarpetas de la carpeta correspondiente. Por ejemplo, un reclutador puede acceder a los datos maestros de un empleado, pero no a la información sobre sus bajas médicas o sus solicitudes de vacaciones.

Guía paso a paso sobre los conceptos de autorización 

Una vez que hayas decidido cómo quieres organizar el concepto de autorización, llega el momento de crearlo.

Paso 1: haz una lista con cada carpeta, subcarpeta y tipos de documento que contienen

En este primer paso, haz una lista de todas las carpetas para las que quieres crear un concepto de autorización. Divide cada carpeta en varias subcarpetas. A continuación, rellénalas con todos los documentos relacionados con la carpeta en cuestión.

Por ejemplo, puedes crear una eFile de empleado basándote en lo siguiente:

Datos maestros

Formularios de información personal

Candidatura

Contrato de trabajo

Contrato de trabajo

Horario laboral

Certificados de baja médica

Registros horarios

Solicitudes de vacaciones

Permisos y excedencias

Certificados y formación

Certificados de formación continua

Certificados

Entrevistas

Revisiones anuales

Negociaciones salariales

Entrevista de salida

Registros salariales

Nómina

Paso 2: haz un listado de los roles y las personas con derecho de acceso

En el siguiente paso, toca definir el concepto de roles. Para ello, haz una lista de todos los roles y personas que tienen derechos de acceso. Un ejemplo del departamento de RR. HH. sería el siguiente:

CPO/CHRO

Vicepresidente de RR. HH.

Gestor de RR. HH.

Gestor de nóminas

Generalista de RR. HH.

Formador/Desarrollador de personal

Analista de RR. HH.

Reclutador

El empleado con su propia eFile de empleado

Paso 3: asigna autorizaciones para cada rol

El siguiente paso es asignar los derechos de acceso. Tú decides los accesos de los que dispone cada rol, por ejemplo:

el CPO/CHRO, el vicepresidente de RR. HH. y el gestor de RR. HH. tienen acceso a todo.

El gestor de nóminas solo puede acceder a los resultados de las negociaciones salariales y a las nóminas.

El reclutador puede acceder a la carpeta de empleado hasta que se haya formalizado el contrato de trabajo.

Y así sucesivamente.

Lo mejor de este enfoque es que no hay opciones correctas o incorrectas al crear un concepto de autorización. Cada empresa crea su concepto de autorización de forma totalmente individual, en función de sus propias necesidades.

Conceptos de autorización en el ECM 

La implementación de conceptos de autorización en herramientas digitales te aporta múltiples beneficios. Puedes modificar los conceptos directamente en el software. Las autorizaciones para documentos específicos se conservan, por ejemplo, incluso cuando el documento pasa del sistema de carpetas al archivo.

Como sistema de gestión del contenido empresarial (sistema ECM), Doxis es altamente personalizable y configurable, lo que te permite crear conceptos de autorización muy complejos. De hecho, las autorizaciones que hayas creado se trasladan a los sistemas de terceros si los integras en el sistema ECM mediante interfaces o viceversa, lo que significa que tu concepto de autorización se aplica automáticamente a todo el entorno de sistemas.

Conceptos de autorización entre Doxis y SAP SuccessFactors

Doxis también dispone de una interfaz con SAP SuccessFactors. Mediante la integración del sistema, SAP acepta todos los conceptos de autorización de Doxis. En otras palabras, Doxis transfiere todos los conceptos de autorización para que surtan efecto automáticamente en SAP SuccessFactors. Si el concepto de autorización en Doxis indica que un empleado no puede ver las nóminas, tampoco podrá acceder a ellas en SAP SuccessFactors.

¿La IA también cumple los conceptos de autorización?

Que la inteligencia artificial (IA) también se atenga a los conceptos de autorización depende de dos cuestiones:

¿Cómo se integra la IA en el sistema?

¿Comparte el programa de IA un conjunto de datos con el sistema ECM?

En Doxis, el programa de IA Doxi acata los conceptos y normas de autorización almacenados. Cuando lanzas un prompt, Doxi accede primero al conjunto de datos de Doxis. Solo entonces reenvía la petición a un modelo lingüístico.

Por ejemplo, si un empleado solicita datos confidenciales que no se corresponden con sus derechos de acceso, no obtendrá esta información de Doxi. Doxi únicamente responde con la información a la que un empleado está autorizado a acceder. Es decir, Doxi basa su respuesta en los conceptos de autorización almacenados, lo que significa que no hay riesgos asociados al uso de la IA.

Proteger la información con conceptos de autorización entre sistemas

Con los conceptos de autorización, las organizaciones pueden proteger sus datos y reducir la sobrecarga de información. Cuando se utilizan correctamente, estos conceptos aumentan la productividad, refuerzan la seguridad y facilitan el acceso rápido a la información. Los sistemas ECM garantizan el cumplimiento de los derechos de acceso en todos los sistemas, de modo que una vez que las autorizaciones se almacenan en Doxis, estas están disponibles a través de las interfaces en todos los sistemas de terceros, lo que te permite gestionarlas eficazmente.

Preguntas frecuentes sobre los conceptos de autorización

¿Qué debe contener un concepto de autorización?

Un concepto de autorización está relacionado con una persona, un rol o una información concretos. Parte del concepto es quién tiene acceso a qué información y hasta qué punto.

¿Se pueden importar autorizaciones a otros sistemas?

Puedes transferir autorizaciones de Doxis a varios sistemas utilizando interfaces. Una vez implementadas, estas autorizaciones están activas en todos los sistemas conectados. Independientemente del sistema seleccionado, los usuarios solo ven los datos para los que tienen derechos de acceso.

¿Por qué es importante el concepto de autorización?

Un concepto de autorización garantiza que datos como los secretos comerciales o la información personal estén protegidos de acuerdo con normativas legales como el RGPD. Los conceptos de autorización también reducen la sobrecarga de información, y aseguran que los usuarios solo vean los datos relevantes y accesibles para ellos.