SEGURANÇA NO ERP SAP METODOLOGIAS, GERENCIAMENTO E CASOS DE SUCESSO.

Transcrição

1 UNIVERSIDADE SÃO FRANCISCO Engenharia de Computação FABIO BURIOLI RAPHAEL SEGURANÇA NO ERP SAP METODOLOGIAS, GERENCIAMENTO E CASOS DE SUCESSO. Itatiba 2012

2 FABIO BURIOLI RAPHAEL R.A SEGURANÇA NO ERP SAP METODOLOGIAS, GERENCIAMENTO E CASOS DE SUCESSO. Monografia apresentada ao curso de Engenharia de Computação da Universidade São Francisco, como requisito parcial para a obtenção do título de Bacharel em Engenharia de Computação. Orientadora Profa. Ms. Vânia Franciscon Vieira Itatiba 2012

3 À minha Família: essencialmente Pai, Mãe e Parceira, razão de meu empenho, dedicação e motivação.

4 AGRADECIMENTOS Agradeço primeiramente a Deus, cuja generosidade me presenteou com saúde perfeita e pavimentou de maneira sólida a estrada para que eu pudesse alcançar esta importante etapa de minha formação. Ao meu pai, Sergio Antonio Raphael, que por todo meu desenvolvimento demonstrou a importância da educação fundamental e superior na sociedade e em nossas vidas, e viabilizou este meu sonho acadêmico. À minha mãe, Marcia Burioli, cujo inabalável amor, carinho e dedicação sempre vencem meu cansaço devido aos dias cheios e atribulados, e por toda vida me ensinou a ver o lado positivo e solucionável de todas as situações, por mais complexas e incertas que fossem. À minha parceira, Ana Letícia Bortolini, que de mãos dadas comigo há mais de 5 anos sempre soube ouvir, motivar, e principalmente amar em todos os nossos momentos, acreditando em minhas escolhas, e sendo o porto seguro que faz toda a diferença na estabilidade de meu potencial. Agradeço aos meus colegas de IBM, cuja maioria pôde agregar de forma positiva em minha formação profissional, e os quais têm muitas características que procuro espelhar. Aos líderes, exemplo de atitude, estratégia e planejamento, também agradeço por ajudarem em meu direcionamento de metas, acreditar no meu potencial, e tornar-me cada dia melhor em minha profissão. Agradeço à Universidade São Francisco, na qual depositei minha confiança, onde tive a oportunidade de aprender sendo rodeado de profissionais comprometidos, e fiz os grandes amigos que carrego agora por toda a vida. Finalmente, agradeço à minha orientadora e professora Vânia Franciscon Vieira, que mesmo em sua rotina agitada sempre me ofereceu sua total e comprometida atenção, e depositou sua confiança na qualidade de meu trabalho, me ajudando a encontrar os melhores caminhos com empenho, dedicação, e prestatividade. Meus sinceros agradecimentos a todos que direta ou indiretamente agregaram a este momento, pois suas contribuições possibilitaram a realização deste projeto.

5 Quando você é um carpinteiro a fazer um móvel bonito, não vai usar um pedaço de madeira ruim na parte de trás, mesmo que esteja colada à parede e ninguém a veja. Você saberá que está ali. Para dormir bem à noite, a estética e a qualidade têm de ser levadas até ao final. Steve Jobs

6 RESUMO A tecnologia permeia cada vez mais a inteligência das informações. Em tal contexto constituiu-se a idéia de ERP os sistemas relacionados à gestão de empresas. Neste cenário que podemos destacar o ERP SAP, atualmente líder no mercado mundial de sistemas de gestão empresarial, e podemos destacar seu excelente trabalho no que diz respeito à evolução da segurança disponível no sistema. A segurança do ERP não só é importante para a integridade do sistema e sua invulnerabilidade de dados, mas também exerce papel crucial em auditorias que visam a padronização dos sistemas dentro de normas internacionais. Neste contexto, propõe-se a apresentação de um estudo que possa apresentar ao público a dinâmica fundamental de funcionamento do ERP SAP, de modo que aspectos sobre sua segurança possam ser discutidos. Como tal, apresentam-se as melhores práticas e configurações em prol de atingir este objetivo. Ao apresentar-se os erros a serem evitados, evidencia-se também um modelo de implementação SAP efetiva e segura. Tão importante quanto, associo parte do sucesso na segurança de TI às metodologias ágeis, e que nível de influência elas devem exercer na instalação e suporte do ERP SAP. Desta forma, é proporcionada uma noção geral sobre as principais metodologias ágeis cujos conceitos podem permear uma implementação de sucesso. Fechando a sequência de entendimento do tema, apresenta-se quais são as medidas que devem ser adotadas em prol de manter um ambiente cujas condições ideais foram atingidas, e as conclusões e ganhos oriundos dos conceitos e conhecimentos aplicados. Palavras chave: SAP, Segurança da Informação, TI, Security, ERP, Metodologias.

7 ABSTRACT The technology increasingly pervades the intelligence of information. In this context that was constituted the idea of ERP - the Enterprise Requirements Planning systems. In this scenario we can highlight the SAP ERP, currently the global leader of enterprise management systems market, fully engaged in ongoing improvements in its application, and we can emphasise their excellent work regarding the evolution of security available in the system. The security of ERP is not only important for the integrity of the application and its data invulnerability, but also plays an important role in audits aimed at standardization of systems within international patterns. In this context, it is proposed to share a study that may present to the public the fundamental dynamics of SAP ERP functions, so its safety aspects can be discussed. As such, we present best practices and configurations towards achieving this goal.by presenting the errors to be avoided, it's also shared a model of SAP when it's implementation is safe and effective. Just as importantly, this study relates the success in IT security to agile methodologies, and what level of influence they should have in the installation and support of SAP ERP. Closing the sequence of understanding for the subject, it is presented what are the measures that should be adopted in favor of maintaining an ideal environment in which conditions were met, and the conclusions and gains from the concepts and applied knowledge. Key words: SAP, Information Technology, IT, Security Information, ERP, Methodologies.

8 LISTA DE ILUSTRAÇÕES FIGURA 1- Módulos integrados pelo ERP SAP R/ FIGURA 2 - Aspectos que garantem a segurança do ERP FIGURA 3 - Tríade Compliance/Riscos/Governança gerenciada em conjunto FIGURA 4 - Fundamentação da abordagem SOX FIGURA 5 Aspectos cobertos pela metodologia LEAN FIGURA 6 - Aspectos envolvidos pela implementação ITIL FIGURA 7 - Menu de Controle da ferramenta Virsa Compliance Calibrator... 52

9 LISTA DE ABREVIATURAS E SIGLAS CEO CIO COBIT CRM ERP EUA HP IBM ITIL RDI SAP SOD SOX TI Chief Executive Officer Chief Investment Officer Control Objectives for Information and Related Technology Customer Relationship Management Enterprise Resource Planing Estados Unidos da América Hewlett Packard International Business Machines Information Technology Infrastructure Library Retorno de Investimento Systeme, Anwendungen, Produkte in der Datenverarbeitung Segregation of Duties Sarbanes - Oxley Tecnologia da Informação

10 SUMÁRIO LISTA DE ABREVIATURAS E SIGLAS INTRODUÇÃO OBJETIVOS METODOLOGIA ENTERPRISE RESOURCE PLANNING DINÂMICA DOS SISTEMAS ERP ERP SAP - SURGIMENTO E EVOLUÇÃO FUNDAMENTOS DE SEGURANÇA EM TI SEGURANÇA EM SISTEMAS ERP SEGREGAÇÃO DE FUNÇÕES TREINAMENTO DOS USUÁRIOS ENGENHARIA SOCIAL USO DE APLICAÇÕES PERIFÉRICAS NO ERP IMPLEMENTAÇÃO SAP SEGURA/EFETIVA COMPLIANCE CONFORME A LEI SARBANES-OXLEY (SOX) CONTROLES DE SEGURANÇA ALINHADOS À SOX ASPECTOS DE UMA IMPLEMENTAÇÃO DE SUCESSO ESTUDO DE CASO: IMPLEMENTAÇÃO EFETIVA/SEGURA METODOLOGIAS ÁGEIS E SEU PAPEL NA SEGURANÇA DO SAP LEAN MANUFACTURING APLICADO EM TI PRINCÍPIOS DO LEAN APLICADO EM TI FLUXO SISTEMA DE DEMANDA (PULL) ÁREAS DE INFLUÊNCIA SUCESSO NA REDUÇÃO DE CUSTOS UTILIZAÇÃO INTENSA DE TRANSAÇÕES ONLINE TI VERDE DESAFIOS AO LEAN APLICADO EM TI IMPLEMENTAÇÃO ITIL V PONTOS DE ATENÇÃO NA IMPLEMENTAÇÃO ITIL BENEFÍCIOS DA IMPLEMENTAÇÃO ITIL... 48

11 9 SISTEMAS PERIFÉRICOS AUXILIARES VIRSA COMPLIANCE CALIBRATOR CASOS DE SUCESSO SHELL VOLKSWAGEN DO BRASIL CONCLUSÃO REFERÊNCIAS... 56

12 12 1 INTRODUÇÃO É gratificante verificar, na atualidade, como a tecnologia permeia cada vez mais a inteligência das informações. Neste contexto que, anos atrás, constituiu-se a idéia de ERP os sistemas relacionados à gestão de empresas. Estes surgiram com a missão de aperfeiçoar todo o sistema corporativo e torna-lo mais ágil, eficiente, auditável. Sobretudo, possuem a principal missão de tornar mais competitivas as empresas que o adotam, fornecendo inúmeras vantagens à corrida de participação no mercado. Ainda que sejam extremamente eficientes em todos estes aspectos, os sistemas ERP passam por constante aprimoramento feito pelos seus desenvolvedores, seja por uma necessidade de um cliente em específico, seja pela identificação de possíveis melhoras na abordagem padrão. Desta forma, cria-se também uma corrida entre as corporações que produzem, desenvolvem, e finalmente fornecem os sistemas ERP. E é neste cenário que podemos destacar o ERP SAP, atualmente líder no mercado mundial de sistemas de gestão empresarial, totalmente engajado em constantes melhorias em seu sistema. Dentro deste comprometimento da empresa SAP, podemos destacar seu excelente trabalho no que diz respeito à evolução da segurança disponível no sistema. Esta vertente não só é importante para a integridade do sistema e sua invulnerabilidade de dados, como também exerce papel crucial em auditorias que visam a padronização dos sistemas ERP dentro de normas internacionais. Mesmo assim, este tópico gera discussão perante as configurações ideais que devem ser adotadas no sistema, defronte o acúmulo por vezes excessivo de processos de negócio que devem ser criados e/ou ajustados para sua implementação. Indo além, também é frequente a discussão sobre quais sistemas e soluções periféricas podem ser acopladas ao funcionamento do ERP SAP em prol de uma segurança de sistema efetiva, atualizada, mas ao mesmo tempo limpa de processos excessivos que fadigam a agilidade da inteligência dos dados de um cliente.

13 13 2 OBJETIVOS Neste contexto, propõe-se a divulgação de um estudo que possa apresentar ao público a dinâmica fundamental para o funcionamento saudável do ERP SAP, de modo que aspectos sobre sua segurança possam ser discutidos. Em sequência, iremos discorrer sobre os artifícios mais atuais que devem ser aplicados no ERP SAP para uma implementação, manutenção e utilização segura do sistema, mencionando também os conceitos das principais metodologias ágeis (tais como Lean e ITIL, por exemplo) que podem ser aplicadas em prol da eficácia e saúde dos processos de negócio que vão permear a utilização de tal sistema de gerenciamento, de modo a evitar excessos e ao mesmo tempo agregar valor aos envolvidos.

14 14 3 METODOLOGIA Para que sejam apresentados resultados efetivos, um roteiro para o trabalho acadêmico foi traçado de modo que as informações apresentadas estabeleçam uma base para as conclusões desejadas, que por sua vez vão introduzir a novos temas até que seja atingido o alvo desta pesquisa acadêmica: a fundamentação de uma implementação segura utilizando SAP. Sendo que o trabalho acadêmico não deve ser restringido a públicos-alvo específicos, é interessante que a pesquisa se dê início em prol de viabilizar uma noção sobre o surgimento, dinâmica, e participação do ERP SAP no mercado. Tendo estabelecido o seu papel na inteligência de informação de empresas e corporações, apresentar-se-á os principais conceitos de segurança em TI, de modo a disparar o início do entendimento sobre a importância de um ERP seguro. Tendo proporcionado a fusão destes conceitos, obtém-se embasamento para se discorrer sobre as ameaças existentes à implementação e manutenção segura do SAP, que serão enumeradas, explicadas e fundamentadas, apontando as fases de projeto relevantes e momentos do suporte ao ambiente onde os maus procedimentos e estratégias podem dar lugar a prejuízos futuros na corporação contratante. Consecutivamente, planeja-se aproveitar este elo de explicação e raciocínio para que haja a pesquisa e apresentação de um modelo de implementação SAP efetiva e segura. Antes que o último assunto mencionado acima seja exaurido, planeja-se e é importante relacioná-lo com o conceito de metodologias ágeis, e que nível de influência elas devem exercer na instalação e suporte do ERP SAP. Desta forma, será proporcionada uma noção geral sobre as principais metodologias ágeis cujos conceitos podem permear uma implementação de sucesso, e detalhar de maneira mais minuciosa as cláusulas destas políticas que de fato vão influir não só nas boas práticas de utilização do sistema, mas na reciclagem e bom planejamento de processos de negócio para o cliente, que devem sempre visar funcionalidade armada de simplicidade. Havendo detalhado os principais pontos de estudo e atenção em prol da implementação e boas práticas de segurança no ERP SAP, será apresentada a importância de se manter um cenário oriundo desta boa implementação. Fundamentada esta importância, apresenta-se uma série de boas práticas de suporte e gerenciamento seguro do SAP já instalado numa corporação, gerando sustentabilidade e sucesso ao negócio do cliente.

15 15 4 ENTERPRISE RESOURCE PLANNING Sistemas ERP, sigla para Enterprise Resource Planning, integram informações relativas ao gerenciamento interno e externo através de uma organização como um todo, abrangendo finanças/contabilidade, fabricação, vendas e serviços, gestão de relacionamento com o cliente (entre muitas outras coisas), automatizando estas atividades com uma aplicação de software integrado. Desta forma, podemos entender que sua finalidade é facilitar o fluxo de informações entre todas as funções empresariais dentro dos limites da organização, e gerenciar as conexões com as partes interessadas externas. Os sistemas ERP podem ser executados em uma variedade considerável de hardwares e configurações de rede, normalmente empregando um banco de dados robusto como um repositório de informações. Segundo Júnior (2008), os sistemas ERP experimentaram um rápido crescimento na década de 1990, devido ao tão falado Bug do Milênio, e também pela introdução do Euro na economia mundial, que causou uma retração em suportes de sistemas legados. Como tal, muitas empresas aproveitaram estas oportunidades para substituir tais sistemas legados com aplicações ERP. As aplicações ERP inicialmente focaram na automação de funções de back office, que não afetam diretamente os clientes e o público em geral. Funções de front office, tais como Customer Relationship Management (CRM) que tratam diretamente com os clientes - ou e-business, tais como sistemas de e-commerce e Supplier Relationship Management (SRM) tornaram-se integradas mais tarde, quando a evolução da Internet finalmente simplificou a comunicação com as partes externas ao sistema. Na continuidade evolutiva sendo descrita, nota-se o surgimento do denominado "ERP II" no início do ano Tratava-se de um software baseado na web, que permitiu que ambos os funcionários e parceiros (como fornecedores e clientes) tivessem acesso ao sistema em tempo real. O papel do ERP II se expandiu a partir da otimização dos recursos e processamento das transações que pertenciam ao ERP tradicional, de modo a alavancar as informações que envolvem colaboração entre empresas, indo além de apenas conduzir e- commerce de compra e venda.

16 DINÂMICA DOS SISTEMAS ERP Para um entendimento sucinto sobre os sistemas ERP, podemos entendê-los como um grande banco de dados único com informações que interagem entre si. Dentro do fluxo de informações, um dado pode ser tratado e atravessar diversos estados, dependendo da fase em que se encontra. Ou seja: uma operação que se iniciou gerando dados e informações relacionados a uma ordem de vendas possui muita chance de se tornar um produto final alocado no estoque de uma empresa. Segundo Júnior (2008), ao desfazer-se a complexidade do acompanhamento de todo o processo de produção, venda e faturamento, a empresa tem mais subsídios para se planejar, diminuir gastos e repensar a cadeia de produção. Um bom exemplo de como o ERP revoluciona uma companhia é que com uma melhor administração da produção, um investimento (tal como uma nova infra-estrutura logística) pode ser repensado ou simplesmente abandonado. Neste caso, ao controlar e entender melhor todas as etapas que levam a um produto final, a companhia pode chegar ao ponto de produzir de forma mais inteligente, rápida e melhor, o que, em outras palavras, reduz o tempo que o produto fica parado no estoque. Com este entendimento, podemos comprovar o quão é palpável a mudança e a diferença que os sistemas ERP trazem às corporações que o implementam. Destacando-se pela confiabilidade de dados, trazem diminuição de retrabalho por conta de funcionar sob monitoramento em tempo real. Importante mencionar, estes cenários ideais de implementação só conseguem ser atingidos se há um comprometimento expressivo do corpo de funcionários envolvido na utilização do sistema. Estes devem realizar um trabalho contínuo de atualização na cadeia de dados que alimenta os módulos do ERP, pois do contrário a empresa não poderá interagir. Desta forma, podemos compreender o quão a dinâmica dos sistemas ERP possuem aplicabilidades múltiplas. Um exemplo clássico, proposto por Linkies (2010), cita uma empresa que por alguma razão, talvez uma mudança nas normas de segurança, precise modificar aspectos da fabricação de um de seus produtos. Com o ERP, todas as áreas corporativas são informadas e se preparam de forma integrada para o evento, das compras à produção, passando pelo almoxarifado e chegando até mesmo à área de marketing, que pode assim ter informações para mudar algo nas campanhas publicitárias de seus produtos. E tudo realizado em muito menos tempo do que seria possível sem a presença do sistema.

17 17 Ao sumarizar as principais vantagens relacionadas à aplicação corporativa dos sistemas ERP, nota-se a eliminação do uso de interfaces manuais, redução de custos, otimização do fluxo da informação dentro de uma referida organização, otimização dos processos relacionados à tomada de decisões, eliminação de atividades redundantes num referido processo, redução de limites de tempo de resposta ao mercado, redução de incertezas relacionadas ao Lead Time, incorporação de melhores práticas (já embutidas na programação geral do ERP) nos processos de uma referida empresa, redução do tempo dos processos gerenciais, e diminuição dos custos de estoque. Importante frisar, tais conquistas face à implementação só podem ser desfrutadas se for verificado sinergia na implantação que visa o sucesso. Segundo Júnior (2008), os fatores mais importantes para o bom-andamento de uma suposta adoção de ERP relaciona-se a envolvimento total dos usuários da equipe, direção de companhia que apoia o processo, definição clara de necessidades para implementação, planejamento adequado, marcos intermediários, equipe competente, comprometimento entre as partes, visão e objetivos claros, equipe dedicada, infraestrutura adequada, constante qualificação da equipe usuária, e expectativas realistas. Este último item é muito importante, pois de maneira frequente as empresas criam expectativas surrealistas relacionadas à gestão ERP, julgando erroneamente que todo o funcionamento e fluxos da companhia iriam melhorar de forma instantânea. Errado: sistemas ERP não resolvem problemas relacionados a procedimentos propriamente ditos, e não trará resultados se os processos não estiverem claros, factíveis e seguidos conforme definido. 4.2 ERP SAP - SURGIMENTO E EVOLUÇÃO Ainda antes da evolução dos sistemas ERP ocorrerem conforme dito anteriormente e chegarem ao patamar em discussão, a empresa SAP foi lançada, sob o nome de Systems Applications and Products in Data Processing. Fundada por cinco membros, sendo eles KlausTschira, ClausWellenreuther, Hans-Werner Hector, Hasso Plattner e Dietmar Hopp, iniciou seus negócios na Alemanha, onde tinha o objetivo claro de desenvolver um software que permitiria a integração entre negócios em tempo real. O objetivo foi alcançado. Em cerca de um ano, a SAP lançou o sistema que entrou para a história sob o nome de R/1. Sendo um sistema de contabilidade financeira pronto, foi

18 18 o alicerce para os aprimoramentos que vieram em seguida. O subsequente R/2 acabou por vir ao mercado no fim dos anos 70, porventura da evolução relacionada aos bancos de dados IBM, utilizados no sistema. Foi com esta continuidade evolutiva que, ao final da década de 80, o SAP R/2 já lidava com moedas internacionais, logicamente tendo o sistema já traduzido para vários idiomas. Já o conceito cliente-servidor foi introduzido na metodologia SAP em meados dos anos 90, sendo batizado de SAP R/3. Conforme afirmado por Linkies (2010), o sistema manteve seu alto nível de estabilidade, visto não somente pela objetividade de sua interface gráfica, mas também pela capacidade de ser executado nos computadores de diferentes fornecedores, por exemplo. O sucesso da aplicação deste conceito cliente-servidor foi tão grande, que até hoje podemos verificar que este tipo de arquitetura é o padrão nos projetos de software que adentram o mercado. Adicionalmente, é válido mencionar que nesta mesma década a SAP já contava com uma média de mil clientes a mais, tendo efetuado quase dez mil implementações pelo mundo todo. Nos degraus evolutivos, é o sistema R/3 (atualmente em sua versão 6.0) que é apontado como o estado da arte entre os sistemas ERP, e terá sua configuração de parâmetros de segurança abordados neste estudo acadêmico. Fonte: Linkies (2010) FIGURA 1- Módulos integrados pelo ERP SAP R/3

19 19 5 FUNDAMENTOS DE SEGURANÇA EM TI Sendo um assunto cada vez mais discutido dentro das esferas da tecnologia, e também um dos conceitos básicos ao entendimento completo deste trabalho acadêmico, é válido que sejam visitados os fundamentos da segurança em TI, antes mesmo de moldá-la às necessidades do ERP SAP. Por mais que o SAP seja uma ferramenta extremamente robusta, muitas das bases e alicerces para sua implementação - e principalmente manutenção - segura estão alocadas nas boas práticas que remetem aos fundamentos de segurança em TI. Ou seja: antes de despender-se tempo investindo em configurações agressivas direcionadas à segurança da informação, deve-se garantir que as práticas mais básicas tal como uma simples política de troca de senhas a ser respeitada pelos usuários devem ser compreendidas para um cenário e comprometimento ideal para com a segurança da tecnologia. Segundo Meireles (2004), vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato, é um dos maiores patrimônios de uma organização moderna, sendo vital para quaisquer níveis hierárquicos e dentro de qualquer instituição que deseja manter-se competitiva no mercado. Considerada um ativo importantíssimo para a realização do negócio, a informação deve ser protegida e gerenciada. Nas últimas décadas, as maneiras com a qual informação e comunicação se manifestam na tecnologia têm evoluído de forma rápida, melhorando a rapidez e eficiência nas tomadas de decisão das organizações. Devido a este fato, as chances de uma empresa não usar sistemas de informação tornou-se praticamente nula. Neste contexto a importância de se utilizar mecanismos de segurança e de armazenamento das informações é vital para a sobrevivência e competitividade destas organizações. No passado, a questão segurança da informação era muito mais simples, pois os arquivos contendo inúmeros papéis podiam ser trancados fisicamente. Porém, com a chegada das tecnologias da informação e comunicação, a questão ficou bem mais complexa: hoje a maioria dos computadores conecta-se a internet e consequentemente a internet conecta-se a eles. Além disto, sabemos que dados em formato digital são portáteis, e este fato fez com que estes ativos se tornassem atrativos para ladrões. Como se não bastasse, existem inúmeras situações de insegurança que podem afetar os sistemas de informação como incêndios, alagamentos, problemas elétricos, poeira, fraudes, uso inadequado dos sistemas, engenharia

20 20 social, guerras, sequestros, etc. Desta forma, podemos dizer que não existe segurança absoluta, e torna-se necessário agirmos no sentido de descobrir quais são os pontos vulneráveis e a partir daí avaliar os riscos e impactos, rapidamente providenciando para que a segurança da informação seja eficaz. O que vemos na prática é que, infelizmente, muitas empresas não dão o devido valor a esta questão, e por muitas vezes o preço torna-se muito alto. Conforme Meirelles (2004), o melhor caminho é reduzir ao máximo quaisquer riscos às informações, seguindo um trajeto no sentido único de manter a integridade e a disponibilidade dos sistemas de informação. Para se implantar uma eficaz segurança da informação dentro de uma organização devemos ficar atentos para algumas questões, tais como uma boa análise de riscos, a definição da Política de Segurança, e por fim um plano de contingência. A análise de riscos basicamente visa a identificação dos pontos de riscos aos que a informação está exposta, identificando desta maneira quais os pontos que necessitam de maior empenho em proteção. Segundo uma boa definição de Linkies (2010), pode-se dizer que a política de segurança da informação é a formalização explícita de quais ações serão realizadas em um sentido único de garantir a segurança e disponibilidade dos dados e sistemas. Esta política é de extrema importância, uma vez que descreve as regras necessárias para o uso seguro dos sistemas de informação. Os planos de contingência também possuem papel fundamental, pois descrevem o que deve ser feito em caso de problemas com as informações. Nota-se que normalmente as pessoas são o elo mais frágil quando o assunto é segurança da informação. As soluções técnicas não contemplam totalmente sua segurança, e desta forma torna-se necessário cuidar com muita cautela para que os conceitos pertinentes à segurança sejam compreendidos e seguidos por todos dentro da organização, inclusive sem distinção de níveis hierárquicos. Uma vez identificados os riscos aos quais as informações estão expostas, deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Os sistemas ERP, que nos moldes corporativos atuais detém a maior massa crítica de informações sensíveis a negócio, devem previsivelmente atravessar por estes processos de cuidado descritos. Como tal, a sequência lógica de raciocínio e construção de entendimento neste trabalho acadêmico irá direcionar-se a focar em tais sistemas ERP, de modo a estabelecerem-se suas premissas para segurança, possíveis ameaças, e boas práticas para proteção.

21 21 6 SEGURANÇA EM SISTEMAS ERP Quando uma empresa atribui sua inteligência a um sistema de gestão ERP, verifica-se sem dúvida um grande avanço para as companhias que buscam evoluir no uso da tecnologia da informação e crescer de forma sustentável. Como requerem investimentos consideráveis por parte das empresas, é natural que o foco dos gestores de TI ao acompanhar o processo de implementação seja o de ter o sistema funcionando o mais rápido possível, gerando menores custos e informações que tragam retorno para o negócio. Por esse motivo, é comum encontrar empresas que acabam deixando de lado um fator crítico para toda a implantação, e que pode ter consequências terríveis caso não seja avaliado com a devida atenção: a segurança da informação. Segundo Linkies (2010), é inegável que a implementação de um ERP vai a fundo nos processos de negócios de uma empresa, que são muitas vezes revistos e uma série de novas funcionalidades e conexões são estabelecidas. Com tantas mudanças, é natural que algumas portas sejam abertas para a entrada de vírus e malwares. Caso não esteja devidamente protegida, a empresa pode enfrentar as consequências terríveis trazidas por estes males, que vão desde a perda de informações vitais até o roubo de dados confidenciais que podem levar, consequentemente, à perda de faturamento e de credibilidade da marca envolvida. Casos constantes de invasão de hackers a grandes corporações comprovam a veracidade deste cenário. Além de ser muitas vezes negligenciada pela área de TI da empresa, a falta de foco em segurança das consultorias contratadas para a implantação de sistemas ERP tornam o problema ainda mais grave. A maioria delas conta com uma série de metodologias, mas que visam sempre a implementação em si e a obtenção do retorno financeiro desejado pelo cliente. Os recursos de proteção que são essenciais para manter a rede 100% segura após a entrada do software geralmente não fazem parte do checklist da maioria dos profissionais. Por isso, na hora de avaliar o investimento em um ERP, é fundamental que a empresa leve em consideração também a infraestrutura de hardware e software necessária para a segurança das informações corporativas, incluindo a integração do antivírus com o novo sistema e quaisquer outros aplicativos e periféricos que se façam necessários. A alta disponibilidade e tratamento adequado do tráfego de dados também faz parte do conjunto de segurança da informação que deve ser levado em consideração. Contar com uma

22 22 infraestrutura redundante de acesso à Internet, que permita priorizar o tráfego mais importante, que é o de acesso ao ERP, é fundamental para que ele possa dar o retorno efetivo na implantação. Com um rol tão extenso de medidas que devem ser tomadas em prol de uma implementação saudável de ERP, iremos ajustar o foco do estudo à configuração e disposição que tal sistema deve obter para defender-se das possíveis ameaças. Para tal, devemos localizálas de modo a poder discuti-las com nível maior de minúcia, para que mais tarde haja a possibilidade de entender como é buscado e mantido um cenário ideal de segurança de todos os aspectos que circundam a utilização SAP, tal como exemplificado na Figura 2. Fonte: Linkies (2010) FIGURA 2 - Aspectos que garantem a segurança do ERP 6.1 SEGREGAÇÃO DE FUNÇÕES A automatização das atividades de controles, tal como ocorre com o uso de sistemas ERP, trouxe às organizações novos desafios na gestão de riscos, uma vez que a concessão inadequada de acesso ao sistema pode levar concentração de poder aos usuários, elevando os riscos operacionais. Válido lembrar, os custos gerados pelas fraudes empresariais representam uma ameaça para a estabilidade financeira e imagem das empresas em diversos setores. Com o intuito de preservação de seu patrimônio, elas têm buscado meios mais eficazes para

23 23 analisar esse risco e de prevenir, detectar e investigar esse problema. Assim, os processos de tratamento e análise, prevenção e detecção de fraudes tanto internas quanto externas, são necessários tanto para evitar, antecipar os riscos de fraudes ou constatar a sua existência em operações internas e/ou externas. Segundo Linkies (2010), a segregação de funções consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário detenha poderes e atribuições em desacordo com este princípio de controle interno. Além disso, proíbe o usuário de, exercendo certa atividade, executar outra atividade que ao mesmo tempo implique em risco operacional para o negócio. Uma hierarquia organizacional é criada e reflete a estrutura dos papéis desempenhados pelos colaboradores dentro da organização. Com uma gestão de identidades e acesso eficaz, é possível administrar as funções de concessão e negação de acesso às informações, aos sistemas e aos equipamentos críticos de uma empresa. A gestão rígida e efetiva do acesso com base em práticas de controle e segregação de funções possibilita acesso seguro e rápido de funcionários autorizados e, ao mesmo tempo, restringe a entrada de intrusos ou funcionários não autorizados. Mas, para que os controles funcionem de maneira adequada, é extremamente importante que as pessoas tenham treinamentos corretos nos sistemas de informação e conscientização nos temas de segurança da informação. 6.2 TREINAMENTO DOS USUÁRIOS De nada adianta discutirmos metodologias e investimentos ideais em segurança da informação nos sistemas ERP, se não é lembrado e frisado que são os usuários, responsáveis pela utilização diária da aplicação, que são grandes responsáveis pelo sucesso oriundo da manutenção segura das informações com as quais lidam. Neste contexto, Magalhães (2007) observa pertinentemente que é conveniente que todos os funcionários da organização e, onde for relevante, prestadores de serviços recebam treinamento apropriado e atualizações regulares sobre as políticas e procedimentos organizacionais. Isto inclui requisitos de segurança, responsabilidades legais na utilização de um sistema ERP, e até mesmo treinamento sobre o uso correto das metodologias de processamento da informação como, por exemplo, procedimentos de acesso e fluxos de

24 24 processo dentro do ERP que será utilizado, antes que seja fornecido qualquer acesso aos serviços ou informações. O treinamento dos usuários finais é uma atividade vital da implantação. As pessoas que estão à frente da implantação, sejam elas parte integrante da organização a ser implantado o ERP ou sejam os consultores dos usuários, precisam certificar-se que os usuários finais estejam plenamente aptos a operar tal sistema, e isso se faz através dos treinamentos. Cícero (2008) fala que o treinamento pode envolver apenas atividades como entrada de dados, ou pode envolver todos os aspectos do uso adequado de um novo sistema. 6.3 ENGENHARIA SOCIAL Muitas empresas estão investindo na modernização de seus sistemas ERP, e deixam de lado o fator humano. A engenharia social explora essa vulnerabilidade. Os principais alvos são as grandes corporações porque - segundo pesquisa realizada nos Estados Unidos em 2002 pela revista Information Security - os investimentos em segurança não acompanham o crescimento das empresas. Os ataques de engenharia social não possuem fórmula nem método definido. Eles podem ter aspectos físicos e psicológicos. No físico, exploram o local de trabalho, vasculham lixeiras, e por telefone se passam por outra pessoa. No psicológico, exploram o lado sentimental das pessoas. Considerando que, na atualidade, os sistemas ERP detém uma das maiores massas de dados críticos aos negócio, tornam-se facilmente alvos de pessoas má intencionadas, que buscam informações ou senhas para acessá-las. No Brasil ainda não há uma legislação específica que puna estes tipos de crimes; então, além da conscientização e treinamentos constantes, as empresas devem possuir um plano de contingência para eventuais ataques e assim garantir a continuidade dos negócios. Para amenizar estes riscos, Linkies (2010) recomenda que as empresas criem políticas de segurança centralizadas e bem divulgadas, para que todos os seus colaboradores saibam como proteger as informações que estão em seu poder mediante a concessões de acesso oriundas do sistema ERP. Para o ensinamento de boas práticas, as intranets podem ser um recurso valioso para esta divulgação, assim como boletins periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de senha e treinamento. Neste quesito, Tenório (2007) realça que o maior risco é de os funcionários tornarem-se complacentes e relaxarem na segurança; por isso a importância da insistência para aderirem.

25 USO DE APLICAÇÕES PERIFÉRICAS NO ERP Sistemas ERP, que são "amarrados" em uma plataforma de banco de dados e muitas vezes contêm várias interfaces para outros aplicativos, que também auxiliam na execução de processos de negócios sensíveis, tais como financeiro, vendas, produção, despesas, faturamento e folha de pagamento, portanto os ataques estrategicamente direcionados a estes periféricos são gravemente prejudiciais à segurança, e por consequência financeiramente. Segundo Fernandes (2008), eles estão se tornando alvos porque os invasores estão percebendo que as aplicações não são mais uma caixa preta, e que contém a informação comercial mais sensível. Como tal, o senso de lógica de um criminoso virtual irá induzí-lo a um ataque que não precisa quebrar os servidores ERP mais robustos, já que muitas vezes há acúmulo de informações comerciais sensíveis nos próprios aplicativos de interface periféricos. Empresas pensam que, especificando a segregação de funções entre os usuários desses aplicativos - tal como busca-se na utilização dos ERP - estão protegendo-os de uma violação. No entanto, quase nenhuma das empresas nota que precisa-se proteger os componentes tecnológicos destas plataformas em si, que podem levar atacantes anônimos e remotos a invadirem os sistemas e invalidarem todos os investimentos em segurança de uma companhia empresarial.

26 26 7 IMPLEMENTAÇÃO SAP SEGURA/EFETIVA Até mesmo os gestores já bem treinados em implementações de SAP podem se deparar com problemas sérios e inesperados. Um caso famoso é o da empresa HP, nos EUA. A empresa, que mantinha uma unidade de consultoria para SAP, teve uma falha de implementação do ERP da mesma fabricante que custou uma queda de 400 milhões de dólares no faturamento de um terceiro trimestre. De acordo com um registros do site inglês Register.co.uk, a falha obrigou funcionários da HP a etiquetarem manualmente remessas de equipamentos em quantidades absurdas. Além disso, más configurações dos parâmetros de segurança no sistema obrigaram executivos de alto escalão a dedicar tempo para aprovar ordens de urgência de 50 dólares. Sem sistema operante, essa era a única forma. Como apontado por Linkies (2010), não importa quão bom o corpo de consultores envolvidos na implementação sejam: projetos envolvendo a incorporação de SAP a uma organização sempre será algo difícil, ainda mais se busca altos e efetivos padrões de segurança. O alinhamento das necessidades do cliente, do fornecedor de software e do integrador que faz a implementação da ferramenta caracterizar uma tríade complexa, cuja natureza dinâmica requer que todos os envolvidos, principalmente os clientes, monitorem com muito cuidado e respondam de imediato a qualquer problema que ocorra. Outra tríade importante que deve também ser sempre mantida é a que gerencia Governança, riscos e Compliance das companhias como algo único (Figura 3), para que ERPs funcionem corretamente e com maturidade. Fonte: Linkies (2010) FIGURA 3 - Tríade Compliance/Riscos/Governança gerenciada em conjunto.