O eterno dilema das empresas que implementaram o sistema integrado SAP
Integração total. Esta característica fundamental do sistema SAP pode se transformar em um grande problema para as empresas que fazem sua implantação com o objetivo de obter um grau maior de funcionalidade sem considerar cuidadosamente os aspectos relacionados ao controle interno e segurança de suas operações.
Uma breve análise do caso clássico do Ano 2000 nos mostra que muitas empresas tomaram a decisão de implantar o sistema SAP como uma forma de resolver seus problemas relacionados ao “bug do milênio”. Milhões de dólares foram investidos, projetos complexos que em outras circunstâncias levariam um período superior a dezoito meses, foram concluídos em prazos significativamente menores – seis meses ou menos. O principal objetivo foi garantir a funcionalidade do sistema e a certeza da continuidade operacional da empresa.
Neste cenário o conceito de controle interno e a questão da segurança foram deixados à parte, para serem tratados posteriormente, o que na verdade nunca aconteceria, pois uma vez alcançada a continuidade da operação, outras prioridades surgiriam.
Na verdade, o caso do Ano 2000 não se trata de uma exceção, e sim de uma regra no que diz respeito à questão “funcionalidade versus segurança”. A maior parte das empresas que implantaram o sistema SAP possui inúmeros problemas relacionados, à segurança de seus ambientes, que vão desde uma inadequada estrutura de segregação de funções, até casos de acesso indevido a funções críticas de manutenção dos parâmetros básicos do sistema e alteração de programas e tabelas de dados diretamente no ambiente de produção. Outros casos são desconhecidos pela maioria dos gerentes de TI, Security Officers, e até mesmo administradores Basis.
Atualmente, muitas empresas possuem uma estratégia informal de segurança que deposita elevado grau de confiança no desconhecimento por parte dos usuários, das permissões de acesso que realmente possuem e desta forma, a segurança do ambiente SAP R/3 das empresas não recebe a atenção e os investimentos necessários.
Muitas empresas utilizam os templates da SAP em suas implantações, realizando ora customizações em programas, ora alterações em objetos de autorização e perfis de acesso. No entanto, se esquecem que estes templates nada são além de modelos que permitem uma instalação rápida (foco na funcionalidade operacional) e procuram se adequar a uma ampla gama de tipos de negócio, podendo ser utilizadas tanto como base para a implantação do SAP R/3 em uma indústria farmacêutica quanto em uma montadora de automóveis. Estes modelos não privilegiam a segurança, mas somente a funcionalidade do sistema.
Um sistema SAP deve, desde a sua concepção, estar de acordo com as melhores práticas de segurança e controle, de forma a garantir a exatidão das informações por ele processadas através de uma adequada parametrização funcional, adequada estrutura de segregação de funções, controle de acesso eficiente, adequado tratamento aos usuários críticos do ambiente SAP (SAP*, DDIC, RFC_IDOC, e etc.), e correta parametrização dos sistemas de transporte entre os ambientes de desenvolvimento, testes e produção (adequados controles de mudança), entre outros aspectos.
Na seqüência relacionamos alguns dos aspectos, dentre outros, que deveriam ser considerados na análise do ambiente de segurança e controle pós-implantação:
- Quem desenhou o modelo de segurança? Quanto tempo e recursos foram investidos nesta etapa?
- Os process owners, o pessoal de desenvolvimento e de segurança de informações foram envolvidos nas etapas preliminares de desenho de segurança do SAP?
- O desenho do modelo de segurança considerou proativamente a questão da segregação de funções?
- Os auditores internos e/ou externos foram envolvidos na etapa de desenho do modelo de segurança e de segregação de funções?
- Caso negativo, existem controles de monitoramento nos processos de negócio que permitam identificar atividades não autorizadas (um usuário pode comprar e aprovar pagamentos)?
- Se o desenho do modelo de segurança considerou proativamente a questão de segregação de funções, a que nível de detalhe isto foi avaliado (cargo, posição, perfil, autorização, objeto de autorização, valor de campo)? Uma avaliação com um maior nível de detalhes aumenta as chances de evitar combinações de acessos que não reflitam uma adequada segregação de funções;
- Os perfis de acesso estão adequadamente construídos, de acordo com o modelo operacional da companhia, visando segregar funções conflitantes, e concedendo apenas acessos necessários para a execução das atividades de cada colaborador? Existe atualização da documentação dos perfis a cada alteração executada? Existe uma matriz de segregação de funções construida sob medida para o negócio da empresa, à disposição do administrador de segurança responsável pela construção / alteração dos perfis?
Após obter um adequado grau de funcionalidade do ambiente SAP, alguns aspectos deveriam ser tratados com prioridade a fim de que, além de garantir um ambiente estável e funcional, o gestor de TI e sua equipe possam garantir aos órgãos reguladores, aos acionistas, à alta administração e aos seus clientes um ambiente que maximize o retorno sobre o investimento, a confidencialidade das informações da companhia, e uma operação eficiente e eficaz.
[Crédito da Imagem: SAP – ShutterStock]