Segurança dos sistemas de ERP: fundamental para o sucesso dos negócios

Os sistemas ERP são hoje o coração das operações das empresas, sendo fundamentais para a tomada de decisão, como fonte de informação para análises e alinhamento estratégico do negócio. Por isso, sua integridade, segurança e disponibilidade são de grande importância.

Os grandes sistemas de gestão ERP chegaram há vários anos para possibilitar principalmente a expansão das empresas e suas operações, promovendo mudanças que hoje se tornam fundamentais para a gestão dos negócios, permitindo a geração de indicadores atualizados da operação; padronização de processos, sistemas e métodos; utilização de linguagem única e melhoria da eficiência operacional, entre outros aspectos positivos.

A complexidade crescente da gestão dos negócios, o aumento do volume transacional e o surgimento de novos requisitos regulatórios levaram ao aumento considerável do número de atores (usuários) envolvidos nos processos e na crescente necessidade de segmentação das atividades.

Com isso percebemos o aumento contínuo das ameaças sobre estas grandes bases de informação, que hoje suportam não somente a gestão de diversos recursos e pessoas, mas também integram-se a plataformas transacionais – como os conhecidos e críticos sistemas de Billing.

Neste cenário, as tradicionais rotinas de avaliação e revisão de segregação de perfis de usuários, conhecidas também como SoD, são essenciais, mas não suficientes para manter o sistema ERP em plena saúde e segurança, pois não garantem a efetividade de controles e a segurança destes sistemas.

A presença de vulnerabilidades nos sistemas de ERP passíveis de exploração por agentes mal intencionados colocam as empresas em posição de extrema fragilidade, aumentando sua exposição a riscos, principalmente de fraudes.

Em seu relatório de 2014, a ACFE (Association of Certified Fraud Examiners) indica que 5% do faturamento anual das empresas é perdido devido a fraudes. Se considerarmos a receita mundial de 2013, chegamos ao valor de 3 trilhões de dólares, sendo que na média cada fraude representa 145 mil dólares, e que 22% das fraudes cometidas superam 1 milhão de dólares e perduram na média por 18 meses.

Para a América Latina e Caribe, o relatório aponta uma perda média por fraude de 250 mil dólares em 40% dos casos analisados, valor 73% maior que a média mundial. Já as fraudes relacionadas ao sistema de Billing representam 22% do total, têm perda média de 100 mil dólares, e sua duração é de 24 meses.

Além das perdas financeiras diretas, há todo um conjunto de perdas intangíveis relacionadas ao vazamento de informações que também deve pautar a gestão de riscos operacionais. O vazamento de informações afeta diretamente a competitividade, a reputação, a capacidade de atração de investidores, além de comprometer a entrega de resultados para acionistas.

Para o sistema ou o ERP propriamente dito, é fundamental continuamente:

• Avaliar o código-fonte, passível de vulnerabilidades raramente descobertas
• Validar os perfis e seus processos de suporte
• Mapear os usuários privilegiados e administradores
• Avaliar as práticas de manutenção do ambiente
• Avaliar os parâmetros em transações, seus controles e limites atribuídos
• Construir indicadores para gestão
• Testar a qualidade das senhas

Com relação às Interfaces de conexão, cada vez mais presentes e com maior importância para integração de plataformas, a exemplo do cloud computing, há todo um tratamento voltado para gerenciar seus riscos, pois estas interfaces conectam-se a ambientes internos e externos e são alvos crescentes de ataques para vazamento de informações ou obtenção de acessos indevidos.

Diante destas orientações de proteção e prevenção, é importante considerar frameworks de mercado tais como a ISO 27000, aplicados para gestão de Segurança da Informação, ou a ISO 31.000, utilizada para a gestão de riscos, o modelo COSO, e melhores práticas em auditoria e controles internos, SOx e ITGC, entre outros.

A segurança dos sistemas ERP é tema importante para a proteção contínua e eficiente dos negócios, e não deve ser tratada de forma isolada. Para elevar seu nível de segurança é importante aprimorar também processos, controles e cultura, e principalmente perenizar os procedimentos estabelecidos para manutenção do nível de segurança alcançado.

Fonte: ICTS Protiviti – PortalERP
Marco Antônio Ribeiro
Executivo da ICTS Protiviti