Quais os problemas gerados por falha na segurança da informação SAP?

Se você trabalha para uma empresa que usa um sistema ERP (Enterprise Resource Planning), é provável que esteja familiarizado com o SAP. Mas já parou para pensar na segurança da informação SAP?

O SAP é o ERP escolhido pelas principais empresas de todo o mundo. E por uma boa razão: o software lida com destreza com todos os aspectos da gestão de um negócio, desde o gerenciamento da cadeia de suprimentos até os recursos humanos, finanças e ainda vai além.

No entanto, apesar dos seus inúmeros benefícios, o SAP também pode ser um ponto de vulnerabilidade para os dados da empresa — o que é ainda mais crítico considerando a sensibilidade dos dados armazenados na ferramenta. 

No artigo de hoje, explicamos quais os problemas gerados por falhas na segurança da informação SAP e o que pode ser feito para mitigá-los!

Segurança da informação SAP: quais os riscos para a empresa?

Quando se fala sobre segurança da informação SAP, é comum associar imediatamente às ameaças externas que podem afetar o sistema. No entanto, o risco pode estar onde menos se espera: dentro da própria empresa.

É comum que as empresas acreditem que seus controles internos são mais robustos do que realmente são. Uma pesquisa realizada com empresas que utilizam o sistema SAP revelou que apenas 25% dos entrevistados entendiam a real finalidade dos objetos de autorização SAP. 

E você, sabe a importância do controle de autorização dentro dos sistemas SAP?

O controle de acesso é um dos principais vetores para garantir a integridade da segurança da informação SAP. É ele que garante que apenas pessoas autorizadas tenham acesso aos recursos relacionados à cada função interna.

Em um mundo em plena transformação digital, em que cada dia mais dependemos do acesso a sistemas de gestão empresarial para realizar as atividades internas, é necessário que o nível de controle de acesso aos recursos cresça proporcionalmente à digitalização, pois uma má gestão das permissões pode abrir portas para práticas internas inadequadas, sejam intencionais ou não.

Para entender melhor o que estamos falando, pense no seguinte: em cada empresa, existe uma estrutura organizacional onde as funções de negócios de todos os tipos de funcionários são descritas.

Cada função empresarial está associada a certas ações: criar ordens de pagamento, aprovar ordens de pagamento, criar fornecedor, excluir usuário etc.

Para que seja realizada dentro do ERP da empresa, cada ação deve ser associada a uma transação específica no sistema SAP.

No momento da implantação do sistema, por exemplo, sua empresa provavelmente criou funções técnicas no SAP, mapeou funções de negócios e definiu ações para cada função e transação. Em seguida, as funções técnicas foram atribuídas às contas de usuário no SAP para que cada usuário tivesse uma única função.

Parece muito simples, certo? Mas, na vida real, existem muitos problemas que podem ocorrer. O principal é manter o controle de autorizações após cada mudança interna. 

Veja mais >> Transformação digital com SAP na nuvem

Controle de autorizações SAP: a segregação de funções

Proteger informações confidenciais é uma das principais preocupações de todas as organizações, que também são orientadas por regulamentações que exigem a proteção de determinados dados. Todos os tipos de dados são armazenados em diferentes módulos do sistema SAP de uma empresa, o que os tornam os ativos mais importantes a serem protegidos.

Contudo, antes de pensar nos riscos externos, existem muitas brechas no uso do software dentro da empresa que podem colocar as informações em risco ou deixar a organização vulnerável às fraudes e aos escândalos que  podem afetar sua reputação. Essas brechas incluem:

• Segurança da informação SAP ineficaz causando uma má engenharia social;
• Hierarquia imprecisa e mau arquitetada dentro do SAP;
• Aplicações periféricas sem suporte necessário;
• Pendências de permissão a cada etapa.

Hoje, com praticamente todos os aspectos da contabilidade e finanças corporativas ocorrendo no SAP, eliminar essas lacunas é, em grande parte, uma questão de controles e regras de acesso à conta de cada usuário.

O controle de acesso tem como objetivo gerenciar os direitos de acesso do usuário ao sistema para garantir a segurança da informação SAP.

Segregação de funções

Lembra quando falamos que apenas pessoas autorizadas devem ter acesso aos recursos relacionadas à sua função? Isso é feito através da Segregação de Funções (ou SoD, do inglês Segregation of Duties).

A Segregação de Funções é um fator importante ao lidar com diferentes responsabilidades e perfis de trabalho em uma empresa.

Em uma organização, existem várias funções, que são desempenhadas com um conjunto de funções / responsabilidades. A segregação significa que essas funções são atribuídas de tal forma que nenhum indivíduo deve ter direitos de acesso ponta a ponta sobre qualquer função.

Em outras palavras, ela garante que uma única pessoa não tenha acesso ao sistema para controlar todas as fases de um processo ou transação de negócios: desde a autorização até a custódia ou manutenção de registros.

Nesse sentido, um indivíduo não deve supervisionar mais de um destes três componentes de transações: autorizar transações (aprovação), registrar transações (contabilidade) e lidar com o ativo relacionado (custódia).

Por exemplo, uma pessoa que pode aprovar ordens de compra não deve ser responsável pelo processamento de pagamentos (contas a pagar). E é exatamente isso que a Segregação de Funções evita.

Como aplicar a segregação de funções na sua empresa

Existem muitas maneiras de planejar e implementar a Segregação de Funções. Antigamente, era tudo no papel. Agora, a segregação de funções é executada por meio de permissões de acesso vinculadas às funções do usuário em sistemas SAP. Se o profissional de contas a pagar não deve autorizar um cheque, por exemplo, sua função tornará impossível acessar a parte de autorização de cheque da solução ERP.

Isso parece muito simples, mas pode ficar complicado muito rapidamente. Em organizações modernas, você pode ter dezenas de funções em vários locais e unidades de negócios.

Mesmo que uma empresa tenha uma estrutura organizacional clara e todas as transações sejam atribuídas adequadamente aos usuários, não há garantia de que todos seguirão essas regras posteriormente e que a segurança da informação SAP será mantida.

A Segregação de Funções deve verificar se os usuários podem executar transações críticas para evitar fraudes financeiras ou de informações.

Portanto, a empresa deve criar uma estrutura organizacional (hierarquia) e, em seguida, configurar um modelo. Isso permite identificar usuários com transações críticas de que eles não precisam ou os usuários que não têm uma combinação de duas ou mais transações críticas de que precisam.

A segurança da informação SAP é uma tarefa que precisa ser levada a sério por todos na organização e requer liderança clara e com visão de futuro. Quando as empresas abrem seus olhos para os riscos e suas mentes para as possíveis soluções, elas têm uma chance muito maior de enfrentar qualquer tentativa de violação de segurança.

Para isso, as empresas líderes de mercado contam com consultorias focadas em segurança da informação SAP para dar suporte ao mapeamento de gaps, construção de hierarquia assertiva e otimização dos processos para segurança e agilidade quanto ao uso ideal do sistema SAP dentro dos departamentos internos.

Para saber mais, entre em contato conosco e converse com um dos nossos consultores!