Como evitar la exportación de datos en Microsoft CRM

Ayer preguntaban en los foros de geeks.ms si era posible evitar que los usuarios pudiesen exportar datos de Microsoft CRM. La verdad es que es una cuestión curiosa porque Microsoft CRM 3.0 está pensado para que los usuarios puedan trabajar con el CRM de las formas más diversas, es decir, está diseñado para facilitar la extracción de datos hacia otros programas y así poder explotarlos de las maneras más diversas (Exportar a Excel, Vistas filtradas, etc…) Pero si lo pensamos un poco, seguro que a todos se nos ocurren escenarios en los que tratar de evitar la exportación de datos puede ser de cierta utilidad, y más teniendo en cuenta la L.O.P.D. (ley de protección de datos vigente en España).


Bueno, ¿Y cómo lo hacemos? ¿Cómo impedimos que un usuario exporte datos? Pensemos primero que formas tiene un usuario para exportar datos. La primera, y más sencilla, es exportar una vista de datos del CRM a Excel, pero también es una de las más sencillas de evitar. Si revisamos los privilegios que hay disponibles en los roles de seguridad encontraremos Exportar a Excel, con no asignarle este privilegio al rol del usuario ya tenemos la solución.


Otra forma sencilla de sacar datos de Microsoft CRM son los informes. Los informes, además de poder imprimirse, dan la opción de exportarse a varios formatos (Excel, CSV, XML) con lo que son otra forma sencilla de obtener datos del CRM. La solución es la misma que en el caso anterior, revocar el privilegio de imprimir, con lo que desaparece la posibilidad de imprimir o exportar los informes en el CRM.


Siguiendo con el tema de los privilegios, tenemos también otros como: Desconectarse (permite llevarse datos al equipo local utilizando el cliente Outlook offline), Sincronizar con Outlook (permite sincronizar tareas y contactos), Libreta de direcciones de CRM (permite crear una libreta de direcciones en Outlook con contactos del CRM), Combinar Correspondencia (Correspondencia desde MS Word). Todos ellos permiten de alguna forma llegar a extraer cierta información de Microsoft CRM por lo que si nos ponemos estrictos deberíamos no dárselos a los roles que queramos limitar.



Bueno, parece que ya hemos complicado bastante la vida a los usuarios para exportar datos ¿o no? Pues si nuestros usuarios son un poco avanzados aún no lo hemos complicado lo suficiente ¿Qué pasa si el usuario accede directamente a Reporting Services sin usar el CRM? Pues que tiene la opción de imprimir y exportar todos los informes sobre los datos a los que tiene acceso. Vamos, que revocar el privilegio de Imprimir sólo es efectivo desde dentro del CRM. Y lo que es aún peor, ¿Qué pasa con las vistas filtradas del CRM en el SQL Server? Pues que los usuarios siguen pudiendo conectarse con cualquier aplicación que lo soporte (Excel, Acces, SPSS,…) a SQL Server y sacar de Microsoft CRM todos los datos a los que tienen acceso. ¿Cómo lo solucionamos? Una forma fácil, aunque un poco tediosa, es sacar a del grupo ReportingGroup, creado por el CRM al instalarse, a todos los usuarios que a los que no queramos permitirles la exportación de datos. De esta forma esos usuarios ya no podrán acceder a Reporting Services, no podrá ni siquiera ver los informes, ni acceder a las vistas filtradas de la base de datos del CRM.


Y finalmente, si nuestros usuarios son bastante avanzados y saben algo de desarrollo, tienen otra forma más. Porque pueden utilizar los servicios web de Microsoft CRM 3.0 para extraer información. Pero nuevamente podemos evitarlo configurando adecuadamente los permisos de acceso al directorio que contiene los servicios web del CRM. Para ello en el administrador de IIS localizamos la aplicación MSCRMServices dentro del sitio web del CRM, y ahí dentro buscamos la carpeta con nombre 2006, pulsamos el botón derecho y en la opción permisos ajustamos los permisos de seguridad.


Seguramente, se me está olvidando alguna forma más de extraer datos, o hay más trampas para conseguirlo. Ya sabéis que el único ordenador seguro es el que está apagado. Además a los usuarios siempre les quedará la extracción de datos por el método de captura de pantallas, aunque sea un coñazo funciona (gracias Cristian por recordarme este método). Pero por lo menos, tomando alguna de las medidas propuestas haremos más difícil la exportación de datos.


¿Qué os parece el tema de la exportación de datos?¿Se os ocurren más formas de exportar, o más medidas de seguridad?


Saludos,


Marco Amoedo

3 comentarios en “Como evitar la exportación de datos en Microsoft CRM”

  1. Gracias por el artículo, me resulta muy útil.
    En mi caso, además de limitar el acceso a ciertos usuarios, me interesaría la manera de realizar un tipo de auditoria para controlar cuándo se ha realizado la acción de extracción de datos, sobretodo para usuarios con permisos para ello. Quizás es algo que se ha explicado con anterioridad, pero no he sido capaz de encontrarlo. Gracias.

  2. Me gustaria que me expliquen como puedo hacer que mis usuarios solo puedan ver sus cuentas, oportunidades y reportes donde aparescan como propietarios o como asistentes. ademas he tratado de asignar el icono de informes a unos usuarios que no lo tienen cuando abren el crm pero nada, hice la prueba creando un nuevo usuario en el crm (este existe en el AD) y este si capta los privilegios del Rol de seguridad pero los anteriores no.. nose que hacer he incluso he abierto en otra maquinas sus sessiones pero nada, gracias Ojala tenga solucion
    Muchas Gracias saludos..

  3. Me gustaria saber como configurar, para que cuadno se instale el cliente CRM, se agregue una nueva libreta de direcciones CRM y se añade todos los contactos en la libreta de direciones que tiene el usuario por defecto

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *