TI CorporativaSegurança da InformaçãoSAP: Funcionalidade ou Segurança?

SAP: Funcionalidade ou Segurança?

-

Publicidade

O eterno dilema das empresas que implementaram o sistema integrado SAP

A chave para implementação de compliance e gestão de riscos de acesso não autorizado.
A chave para implementação de compliance e gestão de riscos de acesso não autorizado.

Integração total.  Esta característica fundamental do sistema SAP pode se transformar em um grande problema para as empresas que fazem sua implantação com o objetivo de obter um grau maior de funcionalidade sem considerar cuidadosamente os aspectos relacionados ao controle interno e segurança de suas operações.

Uma breve análise do caso clássico do Ano 2000 nos mostra que muitas empresas tomaram a decisão de implantar o sistema SAP como uma forma de resolver seus problemas relacionados ao “bug do milênio”. Milhões de dólares foram investidos, projetos complexos que em outras circunstâncias levariam um período superior a dezoito meses, foram concluídos em prazos significativamente menores – seis meses ou menos. O principal objetivo foi garantir a funcionalidade do sistema e a certeza da continuidade operacional da empresa.

Neste cenário o conceito de controle interno e a questão da segurança foram deixados à parte, para serem tratados posteriormente, o que na verdade nunca aconteceria, pois uma vez alcançada a continuidade da operação, outras prioridades surgiriam.

Na verdade, o caso do Ano 2000 não se trata de uma exceção, e sim de uma regra no que diz respeito à questão “funcionalidade versus segurança”. A maior parte das empresas que implantaram o sistema SAP possui inúmeros problemas relacionados, à segurança de seus ambientes, que vão desde uma inadequada estrutura de segregação de funções, até casos de acesso indevido a funções críticas de manutenção dos parâmetros básicos do sistema e alteração de programas e tabelas de dados diretamente no ambiente de produção. Outros casos são desconhecidos pela maioria dos gerentes de TI, Security Officers, e até mesmo administradores Basis.

Atualmente, muitas empresas possuem uma estratégia informal de segurança que deposita elevado grau de confiança no desconhecimento por parte dos usuários, das permissões de acesso que realmente possuem e desta forma, a segurança do ambiente SAP R/3 das empresas não recebe a atenção e os investimentos necessários.

Muitas empresas utilizam os templates da SAP em suas implantações, realizando ora customizações em programas, ora alterações em objetos de autorização e perfis de acesso. No entanto, se esquecem que estes templates nada são além de modelos que permitem uma instalação rápida (foco na funcionalidade operacional) e procuram se adequar a uma ampla gama de tipos de negócio, podendo ser utilizadas tanto como base para a implantação do SAP R/3 em uma indústria farmacêutica quanto em uma montadora de automóveis.  Estes modelos não privilegiam a segurança, mas somente a funcionalidade do sistema.

Um sistema SAP deve, desde a sua concepção, estar de acordo com as melhores práticas de segurança e controle, de forma a garantir a exatidão das informações por ele processadas através de uma adequada parametrização funcional, adequada estrutura de segregação de funções, controle de acesso eficiente, adequado tratamento aos usuários críticos do ambiente SAP (SAP*, DDIC, RFC_IDOC, e etc.), e correta parametrização dos sistemas de transporte entre os ambientes de desenvolvimento, testes e produção (adequados controles de mudança), entre outros aspectos.

Na seqüência relacionamos alguns dos aspectos, dentre outros, que deveriam ser considerados na análise do ambiente de segurança e controle pós-implantação:

  • Quem desenhou o modelo de segurança? Quanto tempo e recursos foram investidos nesta etapa?
  • Os process owners, o pessoal de desenvolvimento e de segurança de informações foram envolvidos nas etapas preliminares de desenho de segurança do SAP?
  • O desenho do modelo de segurança considerou proativamente a questão da segregação de funções?
  • Os auditores internos e/ou externos foram envolvidos na etapa de desenho do modelo de segurança e de segregação de funções?
  • Caso negativo, existem controles de monitoramento nos processos de negócio que permitam identificar atividades não autorizadas (um usuário pode comprar e aprovar pagamentos)?
  • Se o desenho do modelo de segurança considerou proativamente a questão de segregação de funções, a que nível de detalhe isto foi avaliado (cargo, posição, perfil, autorização, objeto de autorização, valor de campo)? Uma avaliação com um maior nível de detalhes aumenta as chances de evitar combinações de acessos que não reflitam uma adequada segregação de funções;
  • Os perfis de acesso estão adequadamente construídos, de acordo com o modelo operacional da companhia, visando segregar funções conflitantes, e concedendo apenas acessos necessários para a execução das atividades de cada colaborador? Existe atualização da documentação dos perfis a cada alteração executada? Existe uma matriz de segregação de funções construida sob medida para o negócio da empresa, à disposição do administrador de segurança responsável pela construção / alteração dos perfis?

Após obter um adequado grau de funcionalidade do ambiente SAP, alguns aspectos deveriam ser tratados com prioridade a fim de que, além de garantir um ambiente estável e funcional, o gestor de TI e sua equipe possam garantir aos órgãos reguladores, aos acionistas, à alta administração e aos seus clientes um ambiente que maximize o retorno sobre o investimento, a confidencialidade das informações da companhia, e uma operação eficiente e eficaz.

[Crédito da Imagem: SAP – ShutterStock]

André Rangelhttp://www.linkedin.com/in/andrerangel
André Rangel é sócio da HSCE.Sua experiência ajuda os clientes a implantar um processo de gestão eficaz, controle e proteção de ativos de software, otimizando o retorno sobre o investimento e geririndo os riscos associados ao não cumprimento dos contratos e acordos de licença e violação de propriedade intelectual. Formado pela EBAPE-FGV – Escola de Administração Pública e Privada da Fundação Getúlio Vargas.André pode ser contatado por e-mail em alr@hsce.com.br, no Twitter em @andrelrangel, no LinkedIn, em: http://www.linkedin.com/in/andrerangel ou no nosso site http://www.hsce.com.br

Latest news

Gerenciador de senhas: saiba como fortalecer a segurança de TI da sua empresa em 2024

Um gerenciador de senhas é uma ferramenta projetada para armazenar, organizar e gerenciar senhas de forma segura. Mas podemos mostrar que ele vai muito além disso!

Software para MSPs: indo além do preço ao procurar pelas ferramentas certas

Confira 5 dicas essenciais para escolher as melhores plataformas para compor o monitoramento e segurança da infraestrutura de TI dos seus clientes

Rápido, seguro e nativo: Chrome chega ao Windows no Snapdragon

"Projetamos o navegador Chrome para ser rápido, seguro e fácil de usar em desktops e dispositivos móveis, e estamos sempre procurando maneiras de levar essa experiência a mais pessoas", disse Hiroshi Lockheimer, Senior Vice President, Google.

Convergir segurança física e TI garante maior proteção para instalações, redes e negócios

Hoje, com o aumento das violações de dados em todo o mundo e as regulamentações de privacidade evoluindo rapidamente, é mais importante do que nunca que segurança física e TI trabalhem juntas para proteger instalações e infraestrutura de rede.
Publicidade

Evoluindo de modelos LLM para modelos LAM

Os modelos LAMs marcam um avanço fundamental na inteligência artificial, transcendendo as capacidades convencionais de geração de texto dos LLMs. Ao contrário dos LLMs que respondem com texto, os LAMs captam a intenção por trás da linguagem humana, decifrando objetivos complexos. Eles então traduzem esses objetivos em ações do mundo real, como por exemplo, filtrar e-mails com base em suas tarefas agendadas.

O impacto da IA generativa nas memórias RAM e SSDs: Um olhar sobre o futuro do hardware

Algoritmos de IA otimizados podem reduzir o uso de RAM ao aplicar técnicas como computação distribuída e processamento eficiente de dados, garantindo uma melhor utilização da memória disponível. Da mesma forma, um uso eficiente dos SSDs pode minimizar o impacto das operações de entrada/saída (I/O) no desempenho.

Must read

Gerenciador de senhas: saiba como fortalecer a segurança de TI da sua empresa em 2024

Um gerenciador de senhas é uma ferramenta projetada para armazenar, organizar e gerenciar senhas de forma segura. Mas podemos mostrar que ele vai muito além disso!

Software para MSPs: indo além do preço ao procurar pelas ferramentas certas

Confira 5 dicas essenciais para escolher as melhores plataformas para compor o monitoramento e segurança da infraestrutura de TI dos seus clientes
- Advertisement -

You might also likeRELATED
Recommended to you