Cuestiones de seguridad generales a tener en cuenta

– ¿Hay dueños de cybers que fueron estafados por ser confiados?.

– Sí, y a más de uno le pasó. De hecho una de los principales razones por la cual el sistema Flulpy se vende, son dueños que encontraron fraudes por parte de sus empleados y quieren bloquear las fugas de dinero.

– ¿Si tengo empleados, se puede evitar al 100% el riesgo de ser estafado?. Hay dos posibles respuestas:

Si les pagas un buen sueldo (el 120% del típico sueldo de empleados de comercio y al día), jubilación, obra social, vacaciones pagas, le pagas la ART (seguro contra riesgo de trabajo), le reconoces faltas pagas por salud, antigüedad, le tratas con respeto, y le reconoces sus logros y su esfuerzo. Sí, por lo general a un empleado que es tratado así, no te tocará ni un centavo de la caja, ni del capital instalado, ni de la mercadería a vender, estará atento a los clientes, atento a que no haya hurtos, y hasta defenderá el negocio (no se dejará asaltar, cuando asaltan solo de palabra).

Si no cumples con los requisitos anteriores, porque se supone que debes ganar dinero como dueño, la respuesta es NO!, pero con una buena solución de control como lo encontrado en ese website, las fugas de dinero son mínimas, y por lo general se reducen a algún faltante de golosinas del kiosco, impresiones que se hacen pasar como arruinadas y que no las cobró, etc.

Seguridad general

Las PC permiten mucha flexibilidad, y el Windows es mucho más flexible, sobre todo si solo se trabaja con la cuenta de Administrador de Windows para que los clientes puedan hacer cualquier cosa.

Si bien, la idea es que tengan el control total de la PC, sin limitaciones desde una perspectiva de buen comportamiento, no hay que permitir que puedan destruir el Ciber-Control Cliente por obvias razones y sobre todo cuando se tiene empleados no tan fieles (porque deberemos evitar que nos puedan alquilar PCs sin control de tiempo y quedarse con lo cobrado).

Entonces tengamos estos puntos importantes en cuanto a la seguridad que deberemos realizar:

• Que la BIOS solamente inicie desde el disco rígido, es decir, quitar toda la restante secuencia de booteo (incluyendo booteo desde LAN, USB, etc.). De esta forma se evita que puedan ejecutar un destructor del deepfreeze o congelador que usemos y/o el Ciber-Control.
• Que la BIOS tenga un password de administración secreto / también establecer un password de usuario, para que no puedan cambiar la configuración ni tampoco verla.
• Que no puedan realizar físicamente el CLEAR-CMOS (que los empleados no puedan sacarle la tapa a alguna CPU), recuerde que un armado del cyber de forma fortificada, no solo es para evitar los robos a mano armada, sino contra empleados infieles. Recuerde que empleados infieles tienen 8 horas para *trabajar* y pensar en como estafarte.
• Recuerde revisar anualmente con tester, la vida útil de las baterías del CMOS, porque podrían aprovechar un reseteo por batería agotada en su provecho.
• Debes desactivar el AUTORUN de todos los dispositivos, sean DVD / USB / MEMORYCARD-READER. Esto es muy importante, diría imprescindible, porque con un poco de conocimiento y buscando información en foros, podrían preparar un PEN-DRIVE o CD/DVD que ejecute un mata-procesos externo automatizado para destruir al CyberControl, pero si usted desactiva el AUTORUN (ejecución automática cuando se inserta una nueva unidad de disco extraible), no podrán hackear nada, ya que por defecto tendrán que hacer uso del escritorio manualmente, y el mismo estará bloqueado. Cabe destacar que si destruyen el Ciber-Control Cliente, antes de que se les termine el tiempo a consumir (la estafa de alquilar durante un tiempo mínimo, para habilitar la PC y luego destruir el Ciber-Control y con la complicidad de empleados o simplemente haciéndose el distraido) el servidor tiene una batería de alertas que pondrán a todos en conocimiento, tanto al dueño del cyber, como a los empleados. Por lo tanto CUIDADO empleados, que la infidelidad deja evidencias SIEMPRE.
• Use las reglas de filtrado del filtro anti porno para atacar y evitar que abran el panel de control, por sobre todas las cosas.

Cuando se manejan empleados y/o familiares que hacen de empleados, el sistema FlulpyCrea® es el ideal a adoptar, es muy superior en seguridad contable anti-fraude y registral que cualquier otro sistema, pero las malas costumbres (como no supervisar regularmente o en eventos sorpresa, el exceso de confianza, dejar que todo se maneje por sí solo por vagancia) hacen que el sistema a la larga pueda ser ineficaz para prevenir fraudes. Por el contrario, si el sistema fuera usado correctamente por el dueño, no habría forma de que lo defrauden.

A continuación algunos consejos sobre seguridad:

• Solo el verdadero dueño, debe tener acceso a la cuenta admin de sistema. Si son varios dueños, se debe crear una cuenta admin de sistema para cada dueño (y no, compartir la misma cuenta admin por todos los dueños), en cada caso, cada dueño debe mantener en secreto su password (y no decirlo por ninguna razón).
• No se le puede dar a un empleado o familiar acceso a la cuenta admin de sistema, si un familiar debe trabajar de empleado, se le dará una cuenta STAFF de empleado normal.
• Los empleados deben tener cuentas STAFF solo de Operador, nunca de Gerente.
• Si un empleado o familiar es de extrema confianza, puedes hacerlo Gerente, pero nunca convertirlo en admin de sistema.
• Sepa que la diferencia entre ser Operador o Gerente es que el Gerente puede registrar devoluciones o anulaciones de venta, y por lo tanto registrar devoluciones de dinero facturado y así achicar su saldo total de caja. Todas estas devoluciones o anulaciones se ven en el ADMIN LOG, por lo tanto es una sana costumbre revisar regularmente o en eventos sorpresa el admin log. Las devoluciones se ven en líneas de color AMARILLO. Pida un periodo extenso, botón “Este mes” o “El mes pasado”.
  Use el campo “Filtro, ver solo…”, escriba ahí palabras claves como:
  Remueve: Muestra todas las borraduras de consumos EXTRAS.
  Devuelve: Muestra las devoluciones de ventas.
  Debitó: (respete el acento). Muestra las devoluciones de dinero efectivo al cliente.
  Acredita: Muestra los retiros de saldo de caja, concepto hacia alguna cuenta contable.
• Asegúrese que toda cuenta contable creada, solo pueda ser usada por tesoreros, salvo necesidades especiales permitirlo a gerentes u operadores.
• Pida informes contables por periodos extensos; por ejemplo, un balance (“Sumarizar movimientos similares perspectiva movimientos de caja” y “Presentar balance“), para ver un balance general y los conceptos que se usaron en él. Si algo le llama la atención, use el campo “Filtro, ver solo…“, y “Presentar en detalle cada movimiento individual“.
• También se debe verificar que no se hayan hechos cierres de caja a medio turno, sean totales o parciales, con el fin de que cuando llegue el dueño o un gerente tengan un saldo total de caja menor.Una vez más esto se ve en el ADMIN LOG: Use el campo “Filtro, ver solo…”, escriba ahí palabras claves como:
  Cierra.
• Como dueño o tesorero, siempre puede pedir un informe contable tipo (perspectiva movimientos de caja) con balance, y no basarse en el saldo total de caja que la cuenta dice tener al momento de cerrarla. Es mas seguro así, porque no importa si el empleado hizo varios cierres de caja, en la contabilidad siempre aparecerán todas las ventas. Un error común en pedir un informe así, es si el turno del empleado atravesó por varias fechas (es decir, traspasó la marca de las 0hrs), en tal caso se deberá tener especial atención al periodo (fecha y hora) desde y hasta.
• Recuerde que siempre, la mayor cantidad de fraudes se cometen entre familiares, porque tienen la ilusión aparente de que:
  1) Que por ser pariente no lo van a controlar.
  2) Que si lo agarran hurtando, no habrá denuncia policial y por ende no habrá mayores consecuencias porque todo queda en familia y que de última solo perderán el puesto laboral, el cual de todos modos ya no lo valoran porque están cansados de la rutina.
• Recuerde que el servidor se queja en el ADMIN LOG de toda manipulación intencional del servidor, se puede dar en el caso de instalaciones cpu-no-dedicadas (donde el servidor está instalado en la PC usada por el cajero o que el empleado tenga el password de la cuenta admin de sistema), siempre existe la posibilidad de que alguien intente hacer desaparecer archivos, pero toda esa línea de fraudes para hacer desaparecer registros contables, siempre termina siendo informado en el ADMIN LOG, por ejemplo, que el admin log informe fuera de hora (a medio turno) cosas como:EN LÍNEAS AMARILLAS:
  Archivo contable diario de la fecha [mm-dd-aaaa] no encontrado, se lo crea ahora mismo. Archivo estadístico de la fecha [mm-dd-aaaa] no encontrado…
  Los fraudes de este tipo suelen servir a medias, porque borrar archivos no modifica el saldo total de caja, y siempre tendrá que cerrar la caja en algún momento. Además toda manipulación o desaparición siempre tiene efectos secundarios muy notorios y visibles cuando el dueño cumple su función de supervisión, habrá avisos de alerta, silencios de información, bloqueos por irregularidades, etc.
• Es más, si hacen desaparecer el admin log del día, eso también ya es un indicio de fraude muy notorio, siempre que el dueño controle regularmente (regularmente no significa diariamente, puede ser una vez a la semana).
• Sepan, que bajo ninguna circunstancia es posible que un admin log, archivo contable, estadístico, etc. DESAPAREZCA porque sí, que siempre hay una causal intencional o por des-manejos. Y en todo caso deben aplicarse sanciones correctivas. Que el software no tiene Bugs ni nada de eso, que toda queja de que pasó solo, es infundada. Y en todo caso es evidencia de fraude.

Por eso el sistema FlulpyCrea® está diseñado para funcionar en una CPU servidora dedicada (sin teclado, mouse, monitor y fuera del alcance físico del empleado) para asegurar así el máximo de seguridad anti-fraude (Ejemplo; amurar la CPU con dos L de soporte en una pared a la altura del techo). Esto garantiza el buen funcionamiento e inviolabilidad del servidor aún cuando el dueño solo vaya al cyber una vez por semana a levantar la recaudación y supervisar.