Embed Size (px)
Citation preview
UNIVERSIDADE SÃO FRANCISCO
Engenharia de Computação
FABIO BURIOLI RAPHAEL
SEGURANÇA NO ERP SAP – METODOLOGIAS,
GERENCIAMENTO E CASOS DE SUCESSO.
Itatiba
2012
FABIO BURIOLI RAPHAEL – R.A. 002200700094
SEGURANÇA NO ERP SAP – METODOLOGIAS,
GERENCIAMENTO E CASOS DE SUCESSO.
Monografia apresentada ao curso de Engenharia
de Computação da Universidade São Francisco,
como requisito parcial para a obtenção do título
de Bacharel em Engenharia de Computação.
Orientadora Profa. Ms. Vânia Franciscon Vieira
Itatiba
2012
À minha Família: essencialmente Pai, Mãe e Parceira,
razão de meu empenho, dedicação e motivação.
AGRADECIMENTOS
Agradeço primeiramente a Deus, cuja generosidade me presenteou com saúde perfeita
e pavimentou de maneira sólida a estrada para que eu pudesse alcançar esta importante etapa
de minha formação. Ao meu pai, Sergio Antonio Raphael, que por todo meu desenvolvimento
demonstrou a importância da educação – fundamental e superior – na sociedade e em nossas
vidas, e viabilizou este meu sonho acadêmico. À minha mãe, Marcia Burioli, cujo inabalável
amor, carinho e dedicação sempre vencem meu cansaço devido aos dias cheios e atribulados,
e por toda vida me ensinou a ver o lado positivo e solucionável de todas as situações, por mais
complexas e incertas que fossem. À minha parceira, Ana Letícia Bortolini, que de mãos dadas
comigo há mais de 5 anos sempre soube ouvir, motivar, e principalmente amar em todos os
nossos momentos, acreditando em minhas escolhas, e sendo o porto seguro que faz toda a
diferença na estabilidade de meu potencial.
Agradeço aos meus colegas de IBM, cuja maioria pôde agregar de forma positiva em
minha formação profissional, e os quais têm muitas características que procuro espelhar. Aos
líderes, exemplo de atitude, estratégia e planejamento, também agradeço por ajudarem em
meu direcionamento de metas, acreditar no meu potencial, e tornar-me cada dia melhor em
minha profissão.
Agradeço à Universidade São Francisco, na qual depositei minha confiança, onde tive
a oportunidade de aprender sendo rodeado de profissionais comprometidos, e fiz os grandes
amigos que carrego agora por toda a vida.
Finalmente, agradeço à minha orientadora e professora Vânia Franciscon Vieira, que
mesmo em sua rotina agitada sempre me ofereceu sua total e comprometida atenção, e
depositou sua confiança na qualidade de meu trabalho, me ajudando a encontrar os melhores
caminhos com empenho, dedicação, e prestatividade.
Meus sinceros agradecimentos a todos que direta ou indiretamente agregaram a este
momento, pois suas contribuições possibilitaram a realização deste projeto.
“Quando você é um carpinteiro a fazer um móvel
bonito, não vai usar um pedaço de madeira ruim
na parte de trás, mesmo que esteja colada à
parede e ninguém a veja. Você saberá que está
ali. Para dormir bem à noite, a estética e a
qualidade têm de ser levadas até ao final.”
Steve Jobs
RESUMO
A tecnologia permeia cada vez mais a inteligência das informações. Em tal contexto
constituiu-se a idéia de ERP – os sistemas relacionados à gestão de empresas. Neste cenário
que podemos destacar o ERP SAP, atualmente líder no mercado mundial de sistemas de
gestão empresarial, e podemos destacar seu excelente trabalho no que diz respeito à evolução
da segurança disponível no sistema. A segurança do ERP não só é importante para a
integridade do sistema e sua invulnerabilidade de dados, mas também exerce papel crucial em
auditorias que visam a padronização dos sistemas dentro de normas internacionais. Neste
contexto, propõe-se a apresentação de um estudo que possa apresentar ao público a dinâmica
fundamental de funcionamento do ERP SAP, de modo que aspectos sobre sua segurança
possam ser discutidos. Como tal, apresentam-se as melhores práticas e configurações em prol
de atingir este objetivo. Ao apresentar-se os erros a serem evitados, evidencia-se também um
modelo de implementação SAP efetiva e segura. Tão importante quanto, associo parte do
sucesso na segurança de TI às metodologias ágeis, e que nível de influência elas devem
exercer na instalação e suporte do ERP SAP. Desta forma, é proporcionada uma noção geral
sobre as principais metodologias ágeis cujos conceitos podem permear uma implementação de
sucesso. Fechando a sequência de entendimento do tema, apresenta-se quais são as medidas
que devem ser adotadas em prol de manter um ambiente cujas condições ideais foram
atingidas, e as conclusões e ganhos oriundos dos conceitos e conhecimentos aplicados.
Palavras chave: SAP, Segurança da Informação, TI, Security, ERP, Metodologias.
ABSTRACT
The technology increasingly pervades the intelligence of information. In this context
that was constituted the idea of ERP - the Enterprise Requirements Planning systems. In this
scenario we can highlight the SAP ERP, currently the global leader of enterprise
management systems market, fully engaged in ongoing improvements in its application, and
we can emphasise their excellent work regarding the evolution of security available in the
system. The security of ERP is not only important for the integrity of the application and its
data invulnerability, but also plays an important role in audits aimed at standardization of
systems within international patterns. In this context, it is proposed to share a study that may
present to the public the fundamental dynamics of SAP ERP functions, so its safety aspects
can be discussed. As such, we present best practices and configurations towards achieving
this goal.By presenting the errors to be avoided, it's also shared a model of SAP when it's
implementation is safe and effective. Just as importantly, this study relates the success in IT
security to agile methodologies, and what level of influence they should have in the
installation and support of SAP ERP. Closing the sequence of understanding for the subject, it
is presented what are the measures that should be adopted in favor of maintaining an ideal
environment in which conditions were met, and the conclusions and gains from the concepts
and applied knowledge.
Key words: SAP, Information Technology, IT, Security Information, ERP, Methodologies.
LISTA DE ILUSTRAÇÕES
FIGURA 1- Módulos integrados pelo ERP SAP R/3 ................................................... 18
FIGURA 2 - Aspectos que garantem a segurança do ERP ........................................... 22
FIGURA 3 - Tríade Compliance/Riscos/Governança gerenciada em conjunto. .......... 26
FIGURA 4 - Fundamentação da abordagem SOX ....................................................... 30
FIGURA 5 – Aspectos cobertos pela metodologia LEAN ........................................... 39
FIGURA 6 - Aspectos envolvidos pela implementação ITIL ...................................... 45
FIGURA 7 - Menu de Controle da ferramenta Virsa Compliance Calibrator .............. 52
LISTA DE ABREVIATURAS E SIGLAS
CEO
CIO
COBIT
CRM
Chief Executive Officer
Chief Investment Officer
Control Objectives for Information and Related Technology
Customer Relationship Management
ERP
EUA
HP
Enterprise Resource Planing
Estados Unidos da América
Hewlett Packard
IBM
ITIL
RDI
International Business Machines
Information Technology Infrastructure Library
Retorno de Investimento
SAP
SOD
SOX
Systeme, Anwendungen, Produkte in der Datenverarbeitung
Segregation of Duties
Sarbanes - Oxley
TI Tecnologia da Informação
SUMÁRIO
LISTA DE ABREVIATURAS E SIGLAS ..................................................................................... 9
1 INTRODUÇÃO ........................................................................................................................ 12
2 OBJETIVOS ............................................................................................................................. 13
3 METODOLOGIA ..................................................................................................................... 14
4 ENTERPRISE RESOURCE PLANNING ............................................................................... 15
4.1 DINÂMICA DOS SISTEMAS ERP ...................................................................................... 16
4.2 ERP SAP - SURGIMENTO E EVOLUÇÃO ........................................................................ 17
5 FUNDAMENTOS DE SEGURANÇA EM TI ......................................................................... 19
6 SEGURANÇA EM SISTEMAS ERP ...................................................................................... 21
6.1 SEGREGAÇÃO DE FUNÇÕES ............................................................................................ 22
6.2 TREINAMENTO DOS USUÁRIOS ..................................................................................... 23
6.3 ENGENHARIA SOCIAL ...................................................................................................... 24
6.4 USO DE APLICAÇÕES PERIFÉRICAS NO ERP ............................................................... 25
7 IMPLEMENTAÇÃO SAP SEGURA/EFETIVA ..................................................................... 26
7.1 COMPLIANCE CONFORME A LEI SARBANES-OXLEY (SOX) ................................... 29
7.1.1 CONTROLES DE SEGURANÇA ALINHADOS À SOX ................................................. 31
7.2 ASPECTOS DE UMA IMPLEMENTAÇÃO DE SUCESSO ............................................... 33
7.3 ESTUDO DE CASO: IMPLEMENTAÇÃO EFETIVA/SEGURA ....................................... 35
8 METODOLOGIAS ÁGEIS E SEU PAPEL NA SEGURANÇA DO SAP ............................. 38
8.1 LEAN MANUFACTURING APLICADO EM TI ................................................................ 38
8.1.1 PRINCÍPIOS DO LEAN APLICADO EM TI .................................................................... 39
8.1.1.1 FLUXO ............................................................................................................................ 39
8.1.1.2 SISTEMA DE DEMANDA (PULL) .............................................................................. 40
8.1.2 ÁREAS DE INFLUÊNCIA ................................................................................................. 41
8.1.2.1 SUCESSO NA REDUÇÃO DE CUSTOS ...................................................................... 41
8.1.2.2 UTILIZAÇÃO INTENSA DE TRANSAÇÕES ONLINE ............................................. 41
8.1.2.3 TI VERDE ....................................................................................................................... 42
8.1.3 DESAFIOS AO LEAN APLICADO EM TI ....................................................................... 42
8.2 IMPLEMENTAÇÃO ITIL V3 ............................................................................................... 44
8.2.1 PONTOS DE ATENÇÃO NA IMPLEMENTAÇÃO ITIL ................................................. 46
8.2.2 BENEFÍCIOS DA IMPLEMENTAÇÃO ITIL .................................................................... 48
9 SISTEMAS PERIFÉRICOS AUXILIARES ............................................................................ 51
9.1 VIRSA COMPLIANCE CALIBRATOR .............................................................................. 51
10 CASOS DE SUCESSO ............................................................................................................. 53
10.1 SHELL .................................................................................................................................... 53
10.2 VOLKSWAGEN DO BRASIL .............................................................................................. 54
11 CONCLUSÃO .......................................................................................................................... 55
REFERÊNCIAS ............................................................................................................................ 56
12
1 INTRODUÇÃO
É gratificante verificar, na atualidade, como a tecnologia permeia cada vez mais a
inteligência das informações. Neste contexto que, anos atrás, constituiu-se a idéia de ERP – os
sistemas relacionados à gestão de empresas. Estes surgiram com a missão de aperfeiçoar todo
o sistema corporativo e torna-lo mais ágil, eficiente, auditável. Sobretudo, possuem a
principal missão de tornar mais competitivas as empresas que o adotam, fornecendo inúmeras
vantagens à corrida de participação no mercado.
Ainda que sejam extremamente eficientes em todos estes aspectos, os sistemas ERP
passam por constante aprimoramento feito pelos seus desenvolvedores, seja por uma
necessidade de um cliente em específico, seja pela identificação de possíveis melhoras na
abordagem padrão. Desta forma, cria-se também uma corrida entre as corporações que
produzem, desenvolvem, e finalmente fornecem os sistemas ERP. E é neste cenário que
podemos destacar o ERP SAP, atualmente líder no mercado mundial de sistemas de gestão
empresarial, totalmente engajado em constantes melhorias em seu sistema.
Dentro deste comprometimento da empresa SAP, podemos destacar seu excelente
trabalho no que diz respeito à evolução da segurança disponível no sistema. Esta vertente não
só é importante para a integridade do sistema e sua invulnerabilidade de dados, como também
exerce papel crucial em auditorias que visam a padronização dos sistemas ERP dentro de
normas internacionais. Mesmo assim, este tópico gera discussão perante as configurações
ideais que devem ser adotadas no sistema, defronte o acúmulo por vezes excessivo de
processos de negócio que devem ser criados e/ou ajustados para sua implementação. Indo
além, também é frequente a discussão sobre quais sistemas e soluções periféricas podem ser
“acopladas” ao funcionamento do ERP SAP em prol de uma segurança de sistema efetiva,
atualizada, mas ao mesmo tempo “limpa” de processos excessivos que fadigam a agilidade da
inteligência dos dados de um cliente.
13
2 OBJETIVOS
Neste contexto, propõe-se a divulgação de um estudo que possa apresentar ao público
a dinâmica fundamental para o funcionamento saudável do ERP SAP, de modo que aspectos
sobre sua segurança possam ser discutidos. Em sequência, iremos discorrer sobre os artifícios
mais atuais que devem ser aplicados no ERP SAP para uma implementação, manutenção e
utilização segura do sistema, mencionando também os conceitos das principais metodologias
ágeis (tais como Lean e ITIL, por exemplo) que podem ser aplicadas em prol da eficácia e
saúde dos processos de negócio que vão permear a utilização de tal sistema de gerenciamento,
de modo a evitar excessos e ao mesmo tempo agregar valor aos envolvidos.
14
3 METODOLOGIA
Para que sejam apresentados resultados efetivos, um roteiro para o trabalho acadêmico
foi traçado de modo que as informações apresentadas estabeleçam uma base para as
conclusões desejadas, que por sua vez vão introduzir a novos temas até que seja atingido o
alvo desta pesquisa acadêmica: a fundamentação de uma implementação segura utilizando
SAP.
Sendo que o trabalho acadêmico não deve ser restringido a públicos-alvo específicos,
é interessante que a pesquisa se dê início em prol de viabilizar uma noção sobre o surgimento,
dinâmica, e participação do ERP SAP no mercado. Tendo estabelecido o seu papel na
inteligência de informação de empresas e corporações, apresentar-se-á os principais conceitos
de segurança em TI, de modo a disparar o início do entendimento sobre a importância de um
ERP seguro.
Tendo proporcionado a fusão destes conceitos, obtém-se embasamento para se
discorrer sobre as ameaças existentes à implementação e manutenção segura do SAP, que
serão enumeradas, explicadas e fundamentadas, apontando as fases de projeto relevantes e
momentos do suporte ao ambiente onde os maus procedimentos e estratégias podem dar lugar
a prejuízos futuros na corporação contratante. Consecutivamente, planeja-se aproveitar este
elo de explicação e raciocínio para que haja a pesquisa e apresentação de um modelo de
implementação SAP efetiva e segura.
Antes que o último assunto mencionado acima seja exaurido, planeja-se e é importante
relacioná-lo com o conceito de metodologias ágeis, e que nível de influência elas devem
exercer na instalação e suporte do ERP SAP. Desta forma, será proporcionada uma noção
geral sobre as principais metodologias ágeis cujos conceitos podem permear uma
implementação de sucesso, e detalhar de maneira mais minuciosa as cláusulas destas políticas
que de fato vão influir não só nas boas práticas de utilização do sistema, mas na reciclagem e
bom planejamento de processos de negócio para o cliente, que devem sempre visar
funcionalidade armada de simplicidade.
Havendo detalhado os principais pontos de estudo e atenção em prol da
implementação e boas práticas de segurança no ERP SAP, será apresentada a importância de
se manter um cenário oriundo desta boa implementação. Fundamentada esta importância,
apresenta-se uma série de boas práticas de suporte e gerenciamento seguro do SAP já
instalado numa corporação, gerando sustentabilidade e sucesso ao negócio do cliente.
15
4 ENTERPRISE RESOURCE PLANNING
Sistemas ERP, sigla para “Enterprise Resource Planning”, integram informações
relativas ao gerenciamento interno e externo através de uma organização como um todo,
abrangendo finanças/contabilidade, fabricação, vendas e serviços, gestão de relacionamento
com o cliente (entre muitas outras coisas), automatizando estas atividades com uma aplicação
de software integrado. Desta forma, podemos entender que sua finalidade é facilitar o fluxo de
informações entre todas as funções empresariais dentro dos limites da organização, e
gerenciar as conexões com as partes interessadas externas. Os sistemas ERP podem ser
executados em uma variedade considerável de hardwares e configurações de rede,
normalmente empregando um banco de dados robusto como um repositório de informações.
Segundo Júnior (2008), os sistemas ERP experimentaram um rápido crescimento na
década de 1990, devido ao tão falado “Bug do Milênio”, e também pela introdução do Euro
na economia mundial, que causou uma retração em suportes de sistemas legados. Como tal,
muitas empresas aproveitaram estas oportunidades para substituir tais sistemas legados com
aplicações ERP.
As aplicações ERP inicialmente focaram na automação de funções de “back office”,
que não afetam diretamente os clientes e o público em geral. Funções de “front office”, tais
como Customer Relationship Management (CRM) – que tratam diretamente com os clientes -
ou e-business, tais como sistemas de e-commerce e Supplier Relationship Management
(SRM) tornaram-se integradas mais tarde , quando a evolução da Internet finalmente
simplificou a comunicação com as partes externas ao sistema.
Na continuidade evolutiva sendo descrita, nota-se o surgimento do denominado "ERP
II" no início do ano 2000. Tratava-se de um software baseado na web, que permitiu que
ambos os funcionários e parceiros (como fornecedores e clientes) tivessem acesso ao sistema
em tempo real. O papel do ERP II se expandiu a partir da otimização dos recursos e
processamento das transações que pertenciam ao ERP tradicional, de modo a alavancar as
informações que envolvem colaboração entre empresas, indo além de apenas conduzir e-
commerce de compra e venda.
16
4.1 DINÂMICA DOS SISTEMAS ERP
Para um entendimento sucinto sobre os sistemas ERP, podemos entendê-los como um
grande banco de dados único com informações que interagem entre si. Dentro do fluxo de
informações, um dado pode ser tratado e atravessar diversos estados, dependendo da fase em
que se encontra. Ou seja: uma operação que se iniciou gerando dados e informações
relacionados a uma ordem de vendas possui muita chance de se tornar um produto final
alocado no estoque de uma empresa.
Segundo Júnior (2008), ao desfazer-se a complexidade do acompanhamento de todo o
processo de produção, venda e faturamento, a empresa tem mais subsídios para se planejar,
diminuir gastos e repensar a cadeia de produção. Um bom exemplo de como o ERP
revoluciona uma companhia é que com uma melhor administração da produção, um
investimento (tal como uma nova infra-estrutura logística) pode ser repensado ou
simplesmente abandonado. Neste caso, ao controlar e entender melhor todas as etapas que
levam a um produto final, a companhia pode chegar ao ponto de produzir de forma mais
inteligente, rápida e melhor, o que, em outras palavras, reduz o tempo que o produto fica
parado no estoque.
Com este entendimento, podemos comprovar o quão é palpável a mudança e a
diferença que os sistemas ERP trazem às corporações que o implementam. Destacando-se
pela confiabilidade de dados, trazem diminuição de retrabalho por conta de funcionar sob
monitoramento em tempo real. Importante mencionar, estes cenários ideais de implementação
só conseguem ser atingidos se há um comprometimento expressivo do corpo de funcionários
envolvido na utilização do sistema. Estes devem realizar um trabalho contínuo de atualização
na cadeia de dados que alimenta os módulos do ERP, pois do contrário a empresa não poderá
interagir.
Desta forma, podemos compreender o quão a dinâmica dos sistemas ERP possuem
aplicabilidades múltiplas. Um exemplo clássico, proposto por Linkies (2010), cita uma
empresa que por alguma razão, talvez uma mudança nas normas de segurança, precise
modificar aspectos da fabricação de um de seus produtos. Com o ERP, todas as áreas
corporativas são informadas e se preparam de forma integrada para o evento, das compras à
produção, passando pelo almoxarifado e chegando até mesmo à área de marketing, que pode
assim ter informações para mudar algo nas campanhas publicitárias de seus produtos. E tudo
realizado em muito menos tempo do que seria possível sem a presença do sistema.
17
Ao sumarizar as principais vantagens relacionadas à aplicação corporativa dos
sistemas ERP, nota-se a eliminação do uso de interfaces manuais, redução de custos,
otimização do fluxo da informação dentro de uma referida organização, otimização dos
processos relacionados à tomada de decisões, eliminação de atividades redundantes num
referido processo, redução de limites de tempo de resposta ao mercado, redução de incertezas
relacionadas ao Lead Time, incorporação de melhores práticas (já embutidas na programação
geral do ERP) nos processos de uma referida empresa, redução do tempo dos processos
gerenciais, e diminuição dos custos de estoque.
Importante frisar, tais conquistas face à implementação só podem ser desfrutadas se
for verificado sinergia na implantação que visa o sucesso. Segundo Júnior (2008), os fatores
mais importantes para o bom-andamento de uma suposta adoção de ERP relaciona-se a
envolvimento total dos usuários da equipe, direção de companhia que apoia o processo,
definição clara de necessidades para implementação, planejamento adequado, marcos
intermediários, equipe competente, comprometimento entre as partes, visão e objetivos claros,
equipe dedicada, infraestrutura adequada, constante qualificação da equipe usuária, e
expectativas realistas.
Este último item é muito importante, pois de maneira frequente as empresas criam
expectativas surrealistas relacionadas à gestão ERP, julgando erroneamente que todo o
funcionamento e fluxos da companhia iriam melhorar de forma instantânea. Errado: sistemas
ERP não resolvem problemas relacionados a procedimentos propriamente ditos, e não trará
resultados se os processos não estiverem claros, factíveis e seguidos conforme definido.
4.2 ERP SAP - SURGIMENTO E EVOLUÇÃO
Ainda antes da evolução dos sistemas ERP ocorrerem conforme dito anteriormente e
chegarem ao patamar em discussão, a empresa SAP foi lançada, sob o nome de “Systems
Applications and Products in Data Processing”. Fundada por cinco membros, sendo eles
KlausTschira, ClausWellenreuther, Hans-Werner Hector, Hasso Plattner e Dietmar Hopp,
iniciou seus negócios na Alemanha, onde tinha o objetivo claro de desenvolver um software
que permitiria a integração entre negócios em tempo real.
O objetivo foi alcançado. Em cerca de um ano, a SAP lançou o sistema que entrou
para a história sob o nome de “R/1”. Sendo um sistema de contabilidade financeira pronto, foi
18
o alicerce para os aprimoramentos que vieram em seguida. O subsequente “R/2” acabou por
vir ao mercado no fim dos anos 70, porventura da evolução relacionada aos bancos de dados
IBM, utilizados no sistema. Foi com esta continuidade evolutiva que, ao final da década de
80, o SAP R/2 já lidava com moedas internacionais, logicamente tendo o sistema já traduzido
para vários idiomas.
Já o conceito cliente-servidor foi introduzido na metodologia SAP em meados dos
anos 90, sendo batizado de SAP “R/3”. Conforme afirmado por Linkies (2010), o sistema
manteve seu alto nível de estabilidade, visto não somente pela objetividade de sua interface
gráfica, mas também pela capacidade de ser executado nos computadores de diferentes
fornecedores, por exemplo. O sucesso da aplicação deste conceito cliente-servidor foi tão
grande, que até hoje podemos verificar que este tipo de arquitetura é o padrão nos projetos de
software que adentram o mercado. Adicionalmente, é válido mencionar que nesta mesma
década a SAP já contava com uma média de mil clientes a mais, tendo efetuado quase dez mil
implementações pelo mundo todo. Nos degraus evolutivos, é o sistema R/3 (atualmente em
sua versão 6.0) que é apontado como o “estado da arte” entre os sistemas ERP, e terá sua
configuração de parâmetros de segurança abordados neste estudo acadêmico.
Fonte: Linkies (2010)
FIGURA 1- Módulos integrados pelo ERP SAP R/3
19
5 FUNDAMENTOS DE SEGURANÇA EM TI
Sendo um assunto cada vez mais discutido dentro das esferas da tecnologia, e também
um dos conceitos básicos ao entendimento completo deste trabalho acadêmico, é válido que
sejam visitados os fundamentos da segurança em TI, antes mesmo de moldá-la às
necessidades do ERP SAP. Por mais que o SAP seja uma ferramenta extremamente robusta,
muitas das bases e alicerces para sua implementação - e principalmente manutenção - segura
estão alocadas nas boas práticas que remetem aos fundamentos de segurança em TI. Ou seja:
antes de despender-se tempo investindo em configurações agressivas direcionadas à
segurança da informação, deve-se garantir que as práticas mais básicas – tal como uma
simples política de troca de senhas a ser respeitada pelos usuários – devem ser compreendidas
para um cenário e comprometimento ideal para com a segurança da tecnologia.
Segundo Meireles (2004), vivemos em um mundo globalizado, com o espaço
geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação,
independente do seu formato, é um dos maiores patrimônios de uma organização moderna,
sendo vital para quaisquer níveis hierárquicos e dentro de qualquer instituição que deseja
manter-se competitiva no mercado. Considerada um ativo importantíssimo para a realização
do negócio, a informação deve ser protegida e gerenciada.
Nas últimas décadas, as maneiras com a qual informação e comunicação se
manifestam na tecnologia têm evoluído de forma rápida, melhorando a rapidez e eficiência
nas tomadas de decisão das organizações. Devido a este fato, as chances de uma empresa não
usar sistemas de informação tornou-se praticamente nula. Neste contexto a importância de se
utilizar mecanismos de segurança e de armazenamento das informações é vital para a
sobrevivência e competitividade destas organizações.
No passado, a questão segurança da informação era muito mais simples, pois os
arquivos contendo inúmeros papéis podiam ser trancados fisicamente. Porém, com a chegada
das tecnologias da informação e comunicação, a questão ficou bem mais complexa: hoje a
maioria dos computadores conecta-se a internet e consequentemente a internet conecta-se a
eles. Além disto, sabemos que dados em formato digital são portáteis, e este fato fez com que
estes ativos se tornassem atrativos para ladrões. Como se não bastasse, existem inúmeras
situações de insegurança que podem afetar os sistemas de informação como incêndios,
alagamentos, problemas elétricos, poeira, fraudes, uso inadequado dos sistemas, engenharia
20
social, guerras, sequestros, etc. Desta forma, podemos dizer que não existe segurança
absoluta, e torna-se necessário agirmos no sentido de descobrir quais são os pontos
vulneráveis e a partir daí avaliar os riscos e impactos, rapidamente providenciando para que a
segurança da informação seja eficaz.
O que vemos na prática é que, infelizmente, muitas empresas não dão o devido valor a
esta questão, e por muitas vezes o preço torna-se muito alto. Conforme Meirelles (2004), o
melhor caminho é reduzir ao máximo quaisquer riscos às informações, seguindo um trajeto no
sentido único de manter a integridade e a disponibilidade dos sistemas de informação. Para se
implantar uma eficaz segurança da informação dentro de uma organização devemos ficar
atentos para algumas questões, tais como uma boa análise de riscos, a definição da Política de
Segurança, e por fim um plano de contingência.
A análise de riscos basicamente visa a identificação dos pontos de riscos aos que a
informação está exposta, identificando desta maneira quais os pontos que necessitam de maior
empenho em proteção. Segundo uma boa definição de Linkies (2010), pode-se dizer que a
política de segurança da informação é a formalização explícita de quais ações serão realizadas
em um sentido único de garantir a segurança e disponibilidade dos dados e sistemas. Esta
política é de extrema importância, uma vez que descreve as regras necessárias para o uso
seguro dos sistemas de informação. Os planos de contingência também possuem papel
fundamental, pois descrevem o que deve ser feito em caso de problemas com as informações.
Nota-se que normalmente as pessoas são o elo mais frágil quando o assunto é
segurança da informação. As soluções técnicas não contemplam totalmente sua segurança, e
desta forma torna-se necessário cuidar com muita cautela para que os conceitos pertinentes à
segurança sejam compreendidos e seguidos por todos dentro da organização, inclusive sem
distinção de níveis hierárquicos.
Uma vez identificados os riscos aos quais as informações estão expostas, deve-se
imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um
nível aceitável de segurança. Os sistemas ERP, que nos moldes corporativos atuais detém a
maior massa crítica de informações sensíveis a negócio, devem previsivelmente atravessar por
estes processos de cuidado descritos. Como tal, a sequência lógica de raciocínio e construção
de entendimento neste trabalho acadêmico irá direcionar-se a focar em tais sistemas ERP, de
modo a estabelecerem-se suas premissas para segurança, possíveis ameaças, e boas práticas
para proteção.
21
6 SEGURANÇA EM SISTEMAS ERP
Quando uma empresa atribui sua inteligência a um sistema de gestão ERP, verifica-se
sem dúvida um grande avanço para as companhias que buscam evoluir no uso da tecnologia
da informação e crescer de forma sustentável. Como requerem investimentos consideráveis
por parte das empresas, é natural que o foco dos gestores de TI ao acompanhar o processo de
implementação seja o de ter o sistema funcionando o mais rápido possível, gerando menores
custos e informações que tragam retorno para o negócio. Por esse motivo, é comum encontrar
empresas que acabam deixando de lado um fator crítico para toda a implantação, e que pode
ter consequências terríveis caso não seja avaliado com a devida atenção: a segurança da
informação.
Segundo Linkies (2010), é inegável que a implementação de um ERP vai a fundo nos
processos de negócios de uma empresa, que são muitas vezes revistos e uma série de novas
funcionalidades e conexões são estabelecidas. Com tantas mudanças, é natural que algumas
“portas” sejam abertas para a entrada de vírus e malwares. Caso não esteja devidamente
protegida, a empresa pode enfrentar as consequências terríveis trazidas por estes males, que
vão desde a perda de informações vitais até o roubo de dados confidenciais que podem levar,
consequentemente, à perda de faturamento e de credibilidade da marca envolvida. Casos
constantes de invasão de hackers a grandes corporações comprovam a veracidade deste
cenário.
Além de ser muitas vezes negligenciada pela área de TI da empresa, a falta de foco em
segurança das consultorias contratadas para a implantação de sistemas ERP tornam o
problema ainda mais grave. A maioria delas conta com uma série de metodologias, mas que
visam sempre a implementação em si e a obtenção do retorno financeiro desejado pelo cliente.
Os recursos de proteção que são essenciais para manter a rede 100% segura após a entrada do
software geralmente não fazem parte do “checklist” da maioria dos profissionais. Por isso, na
hora de avaliar o investimento em um ERP, é fundamental que a empresa leve em
consideração também a infraestrutura de hardware e software necessária para a segurança das
informações corporativas, incluindo a integração do antivírus com o novo sistema e quaisquer
outros aplicativos e periféricos que se façam necessários.
A alta disponibilidade e tratamento adequado do tráfego de dados também faz parte do
conjunto de segurança da informação que deve ser levado em consideração. Contar com uma
22
infraestrutura redundante de acesso à Internet, que permita priorizar o tráfego mais
importante, que é o de acesso ao ERP, é fundamental para que ele possa dar o retorno efetivo
na implantação.
Com um rol tão extenso de medidas que devem ser tomadas em prol de uma
implementação saudável de ERP, iremos ajustar o foco do estudo à configuração e disposição
que tal sistema deve obter para defender-se das possíveis ameaças. Para tal, devemos localizá-
las de modo a poder discuti-las com nível maior de minúcia, para que mais tarde haja a
possibilidade de entender como é buscado e mantido um cenário ideal de segurança de todos
os aspectos que circundam a utilização SAP, tal como exemplificado na Figura 2.
Fonte: Linkies (2010)
FIGURA 2 - Aspectos que garantem a segurança do ERP
6.1 SEGREGAÇÃO DE FUNÇÕES
A automatização das atividades de controles, tal como ocorre com o uso de sistemas
ERP, trouxe às organizações novos desafios na gestão de riscos, uma vez que a concessão
inadequada de acesso ao sistema pode levar concentração de poder aos usuários, elevando os
riscos operacionais. Válido lembrar, os custos gerados pelas fraudes empresariais representam
uma ameaça para a estabilidade financeira e imagem das empresas em diversos setores. Com
o intuito de preservação de seu patrimônio, elas têm buscado meios mais eficazes para
23
analisar esse risco e de prevenir, detectar e investigar esse problema. Assim, os processos de
tratamento e análise, prevenção e detecção de fraudes tanto internas quanto externas, são
necessários tanto para evitar, antecipar os riscos de fraudes ou constatar a sua existência em
operações internas e/ou externas.
Segundo Linkies (2010), a segregação de funções consiste na separação entre as
funções de autorização, aprovação de operações, execução, controle e contabilização, de tal
maneira que nenhum funcionário detenha poderes e atribuições em desacordo com este
princípio de controle interno. Além disso, proíbe o usuário de, exercendo certa atividade,
executar outra atividade que ao mesmo tempo implique em risco operacional para o negócio.
Uma hierarquia organizacional é criada e reflete a estrutura dos papéis desempenhados pelos
colaboradores dentro da organização.
Com uma gestão de identidades e acesso eficaz, é possível administrar as funções de
concessão e negação de acesso às informações, aos sistemas e aos equipamentos críticos de
uma empresa. A gestão rígida e efetiva do acesso com base em práticas de controle e
segregação de funções possibilita acesso seguro e rápido de funcionários autorizados e, ao
mesmo tempo, restringe a entrada de intrusos ou funcionários não autorizados. Mas, para que
os controles funcionem de maneira adequada, é extremamente importante que as pessoas
tenham treinamentos corretos nos sistemas de informação e conscientização nos temas de
segurança da informação.
6.2 TREINAMENTO DOS USUÁRIOS
De nada adianta discutirmos metodologias e investimentos ideais em segurança da
informação nos sistemas ERP, se não é lembrado e frisado que são os usuários, responsáveis
pela utilização diária da aplicação, que são grandes responsáveis pelo sucesso oriundo da
manutenção segura das informações com as quais lidam.
Neste contexto, Magalhães (2007) observa pertinentemente que é conveniente que
todos os funcionários da organização e, onde for relevante, prestadores de serviços recebam
treinamento apropriado e atualizações regulares sobre as políticas e procedimentos
organizacionais. Isto inclui requisitos de segurança, responsabilidades legais na utilização de
um sistema ERP, e até mesmo treinamento sobre o uso correto das metodologias de
processamento da informação como, por exemplo, procedimentos de acesso e fluxos de
24
processo dentro do ERP que será utilizado, antes que seja fornecido qualquer acesso aos
serviços ou informações.
O treinamento dos usuários finais é uma atividade vital da implantação. As pessoas
que estão à frente da implantação, sejam elas parte integrante da organização a ser implantado
o ERP ou sejam os consultores dos usuários, precisam certificar-se que os usuários finais
estejam plenamente aptos a operar tal sistema, e isso se faz através dos treinamentos. Cícero
(2008) fala que “o treinamento pode envolver apenas atividades como entrada de dados, ou
pode envolver todos os aspectos do uso adequado de um novo sistema”.
6.3 ENGENHARIA SOCIAL
Muitas empresas estão investindo na modernização de seus sistemas ERP, e deixam de
lado o fator humano. A engenharia social explora essa vulnerabilidade. Os principais alvos
são as grandes corporações porque - segundo pesquisa realizada nos Estados Unidos em 2002
pela revista Information Security - os investimentos em segurança não acompanham o
crescimento das empresas. Os ataques de engenharia social não possuem fórmula nem método
definido. Eles podem ter aspectos físicos e psicológicos. No físico, exploram o local de
trabalho, vasculham lixeiras, e por telefone se passam por outra pessoa. No psicológico,
exploram o lado sentimental das pessoas. Considerando que, na atualidade, os sistemas ERP
detém uma das maiores massas de dados críticos aos negócio, tornam-se facilmente alvos de
pessoas má intencionadas, que buscam informações ou senhas para acessá-las. No Brasil
ainda não há uma legislação específica que puna estes tipos de crimes; então, além da
conscientização e treinamentos constantes, as empresas devem possuir um plano de
contingência para eventuais ataques e assim garantir a continuidade dos negócios.
Para amenizar estes riscos, Linkies (2010) recomenda que as empresas criem políticas
de segurança centralizadas e bem divulgadas, para que todos os seus colaboradores saibam
como proteger as informações que estão em seu poder mediante a concessões de acesso
oriundas do sistema ERP. Para o ensinamento de boas práticas, as intranets podem ser um
recurso valioso para esta divulgação, assim como boletins periódicos on-line, lembretes no
correio eletrônico, requisitos de mudança de senha e treinamento. Neste quesito, Tenório
(2007) realça que o maior risco é de os funcionários tornarem-se complacentes e relaxarem na
segurança; por isso a importância da insistência para aderirem.
25
6.4 USO DE APLICAÇÕES PERIFÉRICAS NO ERP
Sistemas ERP, que são "amarrados" em uma plataforma de banco de dados e muitas
vezes contêm várias interfaces para outros aplicativos, que também auxiliam na execução de
processos de negócios sensíveis, tais como financeiro, vendas, produção, despesas,
faturamento e folha de pagamento, portanto os ataques estrategicamente direcionados a estes
periféricos são gravemente prejudiciais à segurança, e por consequência financeiramente.
Segundo Fernandes (2008), eles estão se tornando alvos porque os invasores estão
percebendo que as aplicações não são mais uma caixa preta, e que contém a informação
comercial mais sensível. Como tal, o senso de lógica de um criminoso virtual irá induzí-lo a
um ataque que não precisa quebrar os servidores ERP mais robustos, já que muitas vezes há
acúmulo de informações comerciais sensíveis nos próprios aplicativos de interface periféricos.
Empresas pensam que, especificando a segregação de funções entre os usuários desses
aplicativos - tal como busca-se na utilização dos ERP - estão protegendo-os de uma violação.
No entanto, quase nenhuma das empresas nota que precisa-se proteger os componentes
tecnológicos destas plataformas em si, que podem levar atacantes anônimos e remotos a
invadirem os sistemas e invalidarem todos os investimentos em segurança de uma companhia
empresarial.
26
7 IMPLEMENTAÇÃO SAP SEGURA/EFETIVA
Até mesmo os gestores já bem treinados em implementações de SAP podem se
deparar com problemas sérios e inesperados. Um caso famoso é o da empresa HP, nos EUA.
A empresa, que mantinha uma unidade de consultoria para SAP, teve uma falha de
implementação do ERP da mesma fabricante que custou uma queda de 400 milhões de
dólares no faturamento de um terceiro trimestre. De acordo com um registros do site inglês
Register.co.uk, a falha obrigou funcionários da HP a etiquetarem manualmente remessas de
equipamentos em quantidades absurdas. Além disso, más configurações dos parâmetros de
segurança no sistema obrigaram executivos de alto escalão a dedicar tempo para aprovar
ordens de urgência de 50 dólares. Sem sistema operante, essa era a única forma.
Como apontado por Linkies (2010), não importa quão bom o corpo de consultores
envolvidos na implementação sejam: projetos envolvendo a incorporação de SAP a uma
organização sempre será algo difícil, ainda mais se busca altos e efetivos padrões de
segurança. O alinhamento das necessidades do cliente, do fornecedor de software e do
integrador que faz a implementação da ferramenta caracterizar uma tríade complexa, cuja
natureza dinâmica requer que todos os envolvidos, principalmente os clientes, monitorem com
muito cuidado e respondam de imediato a qualquer problema que ocorra. Outra tríade
importante que deve também ser sempre mantida é a que gerencia Governança, riscos e
Compliance das companhias como algo único (Figura 3), para que ERPs funcionem
corretamente e com maturidade.
Fonte: Linkies (2010)
FIGURA 3 - Tríade Compliance/Riscos/Governança gerenciada em conjunto.
27
Analistas e consultores possuem consenso sobre alguns pontos fundamentais para não
ter problemas, e poderem protagonizar uma implementação SAP que se dá seguindo
parâmetros seguros e entregará uma solução efetiva para otimização de uma organização:
Definir completamente o projeto: É necessário entender o que a área de negócios
precisa fazer antes, durante e depois dos projetos. Dentre as atividades que
precedem um projeto de migrações para novos sistemas está a documentação de
processos de negócios e limpeza de dados. As falhas em fornecer dados limpos
podem ser custosas. Em 2008, as ruas de Los Angeles foram tomadas por protestos
na falha em um projeto de folhas de pagamentos que levaram a problemas nos
salários de alguns professores. Alguns receberam mais, outros menos e alguns
simplesmente não foram pagos. Foi apurado, posteriormente, que um banco de
dados sujo e bagunçado tornou impossível coletar exatamente as informações
sobre salários após uma migração para dinamização ERP. Segundo analistas, isso
não aconteceria se os responsáveis tivessem respondido a todas as questões
essenciais antes do início do projeto.
Escolher o fornecedor com cuidado: Linkies (2010) recomenda que as companhias
que não possuam experiência com esses projetos contratem consultores sem
qualquer vínculo com fornecedores ou potenciais integradores. Esse tipo de
profissional vai observar a empresa e aconselhar as melhores soluções, além de
facilitar o diálogo entre cliente, integradores e fornecedores.
Escolher o integrador com mais cuidado ainda: Normalmente, o integrador é quem
trás o fornecedor para o cenário de negócio em uma empresa, então o conselho
anterior é ainda mais crítico na escolha do integrador. Deve-se haver uma
entrevista minuciosa com a equipe sênior envolvida no trabalho, análise de
currículos dos participantes no processo e a obtenção da certeza de que o projeto
estará contando com profissionais experientes no segmento de implementação
SAP.
Formar uma equipe consistente para supervisionar o projeto – Linkies (2010)
afirma que essa equipe deve incluir o CEO, o CIO, os líderes das linhas de
28
negócios afetadas, o líder de gestão de projetos (que pode ser um conselheiro
externo), e qualquer stakeholder diretamente envolvido. Segundo Ross
Wainwright, vice-presidente de serviços profissionais da SAP América do Norte, a
integração de executivos de negócios na equipe é crucial para o sucesso. “A
implementação de um ERP é um processo de negócios, não de TI”, assinala.
As principais práticas sugeridas pela SAP na condução de projetos tem foco na equipe.
A chave é ter autoridade em duas áreas importantes: rejeição (ou aprovação) de requisitos
para definição de escopo, e contatos constantes com integrador para esclarecer e resolver
atrasos, problemas na condução do projetos e problemas de orçamento. Sem essas
autoridades, a falha é eminente.
Gerenciar o projeto ativamente: Projetos SAP são quase sempre longos. Nesse
contexto, não é raro que o gestor tenha lapsos de atenção sobre eles, que podem
comprometer a segurança do que está sendo construído. Desta forma, é importante
manter em mente o fato de que o sucesso reside nos detalhes, razão pela qual os
membros das equipes devem dar constantes atualizações sobre os progressos e os
problemas do projeto. Se um problema sério surge, os membros da equipe de
supervisão devem intervir e tomar decisões. A equipe inteira deve se encontrar ao
menos uma vez, segundo Tenório (2007). Para Linkies (2010), todas as linhas do
projeto devem estar claras e bem compreendidas, pois isso facilita a agilidade nas
correções.
Entender o impacto sobre os negócios: Os projetos ERP têm profundos impactos
em muitas das atividades internas da companhia. É por isso que o efeito de grandes
projetos devem ser entendidos e planejados desde o começo. De acordo
especialistas do ramo de desenvolvimento organizacional, a Gestão de mudanças é
uma prática fundamental que deve acompanhar a implementação do ERP desde o
início até o final, especialmente quando lembra-se do aspecto de segurança da
informação. Uma falha na gestão de mudanças pode fazer com que os usuários
resistam ao novo software ou o utilizem minimamente, colocando em risco os
dados sensíveis de sua organização. Desta forma, os benefícios do projeto são
severamente reduzidos, até mesmo quando há um sucesso técnico.
29
Cuidar bem das metodologias de treinamento: Uma das formas mais fáceis de
levar o projeto ao fracasso, comprometer sua segurança ou diminuir o retorno
sobre o investimento é oferecer treino insuficiente para os usuários do novo SAP
que está por ser utilizado numa organização. No modelo mais comum de
treinamento, o integrador escreve uma documentação das várias partes
personalizadas do pacote e então instruir uma equipe de treinamento, que vai
repassar o conhecimento para os usuários. Mesmo assim, especialistas no ramo de
treinamento de SAP alertam que mesmo este modelo tende ao fracasso se a equipe
de treinamento do cliente não for boa.
De tudo, é preferível um modelo no qual a equipe de treinamento participe ativamente
de sessões de briefing com os integradores, com tempo para que os instrutores possam
praticar e aperfeiçoar sua experiência de treinamento. Considerando que a efetividade final na
segurança do SAP depende drasticamente do uso que o funcionário dá ao software, o conselho
é não economizar nessa área, para evitarem as perdas por brechas descecessárias.
7.1 COMPLIANCE CONFORME A LEI SARBANES-OXLEY (SOX)
Sistemas SAP declaradamente seguros devem estar de acordo e sujeitos às auditorias
oriundas das políticas impostas pela lei de Sarbanes-Oxley, mais comumente conhecida como
SOX. Foi assinada em 30 de julho de 2002, pelo presidente Bush, como parte da Reforma da
Contabilidade Pública e proteção dos investidores nos EUA. O ato, elaborado pelo senador
Paul Sarbanes e deputado Michael Oxley, foi criado em resposta a uma série de grandes
escândalos corporativos e contábeis que envolvem uma lista de empresas importantes,
incluindo a Enron e a WorldCom. O ato foi projetado para reforçar a responsabilidade
corporativa e concedeu aos governos um maior controle regulatório, alongou o prazo de
prescrição, e impôs maior punição criminal e compensatória sobre os executivos e empresas
que não cumprirem.
A Lei Sarbanes-Oxley contém mais de 1.000 seções, consolidadas em 11 títulos, e que
vão desde responsabilidades adicionais aos conselhos de administração até as definições de
sanções penais. Um detalhe completo do ato, incluindo breves definições, é de mais de 60
30
páginas. Algumas das disposições entraram em vigor imediatamente, em 2002. Outras
disposições entraram em vigor durante o período de 2003 a 2004, e algumas destas
disposições foram prorrogadas até 2005 e 2006.
Pode-se ajustar o foco para as políticas de SOX que exercem influência direta na
implementação, suporte e auditorias de um ambiente SAP. Em suma análise, já é evidente que
a lei criou padrões claros e restritos que devem ser aplicados aos reportes financeiros das
companhias. Segundo a lei, os executivos são responsáveis pelo estabelecimento de
procedimentos de controle interno para garantir a precisão dos relatórios financeiros, e
violações estão sujeitas a sanções penais, que incluem multas e prisão. A seção 404 das
políticas de SOX determinam uma avaliação anual por um auditor independente da eficácia
dos procedimentos de uma empresa pública, e departamentos corporativos de TI são
geralmente encarregados da gestão destas auditorias.
Fonte: Linkies (2010)
FIGURA 4 - Fundamentação da abordagem SOX
Em prol de um entendimento funcional e enxuto sobre os aspectos destas auditorias,
abrindo espaço para possíveis exemplos no âmbito de implementações de ERP SAP, Linkies
(2010) destaca três preocupações chaves impostas pelas leis de SOX, e que são cobradas dos
mantenedores de sistemas de integração:
Garantir que os sistemas que guardam dados financeiros podem ser acessados
somente pelos funcionários cuja função requer tal prática.
Aos que possuem o acesso, limitá-los de modo que seus privilégios no sistema
permitam somente as atividades fundamentais para exercerem seus trabalhos.
31
Manter um log de todas as atividades ocorrendo no sistema passível de auditoria,
em prol de garantir que os controles de SOX estão de fato funcionando, e sempre
trabalhando para monitorar e rastrear comportamentos suspeitos.
Mesmo que o acesso a aplicativos corporativos de contabilidade e de negócios possa
ser bem gerido, muitas auditorias SOX estão revelando que as organizações de TI estão em
risco por causa do nível de acesso concedido aos usuários de Linux e UNIX em que essas
aplicações estão em execução. Segundo Fernandes (2008), antes das políticas de SOX, muitas
organizações de TI achavam mais fácil compartilhar suas senhas críticas e de acesso às raízes
do sistema com operadores terceirizados, administradores de banco de dados ou
desenvolvedores de aplicativos que necessitavam de acesso. O compartilhamento destas
contas de superusuário significa não somente que as empresas não podem provar exatamente
quem estava acessando um sistema auditado, mas também reconheceram que estes indivíduos
tinham o poder de realizar atos maliciosos, tais como alteração de dados ou inserir contas
ocultas.
7.1.1 CONTROLES DE SEGURANÇA ALINHADOS À SOX
Segundo Meirelles (2004), não é incomum os departamentos de TI das empresas não
terem conhecimento das melhores práticas de segurança específicas para o SAP, e não terem o
conhecimento de negócios necessário para realizar uma análise de segregação de funções.
Como resultado, potenciais problemas no SAP podem facilmente passar despercebidos. Os
departamentos de TI podem exigir dias em vez de horas para responder a pedidos de novas
contas de usuário, conceder novos direitos para as contas existentes, ou permitir que a mesma
pessoa possa autorizar, desenvolver e programar transportes e alterações de configuração para
o ambiente de produção. Estes aspectos devem ser encarados com a devida cautela.
Geralmente, problemas de segurança muitas vezes começam durante a própria
implementação do SAP. Neste âmbito, Júnior (2008) propõe três razões principais:
Processos de gestão são muitas vezes subestimados pela administração durante a
implementação: Atividades de implementação de software normalmente são
32
estressantes para as organizações que carecem de recursos para realizá-las. Onde
há SAP envolvido, a pressão de experiência para muitas empresas é crescente
durante todas as fases que antecedem e sucedem o go-live, resultando em uma
abordagem de implementação que não sabe estabelecer prioridades e compromete
sua segurança.
Há uma falta de conhecimento institucional do SAP e de perícia sobre os controles
de TI que ele dispõe: Em muitos projetos SAP, consultores são contratados na fase
de execução, mas não são mantidos para suportar a aplicação. Devido ao alto custo
de contratação de consultores (por exemplo, a contratação de um consultor de
segurança nos EUA varia de $6.000 a $11.000 por semana nos Estados Unidos), a
equipe de TI e donos de processos de negócios em muitas empresas devem se
preparar com antecedência para trabalhar com consultores contratados
posteriormente que deverão compensar a sua falta de experiência. Eles também
devem trabalhar de forma eficaz e eficiente, para evitar os custos de
implementação exorbitantes.
Fracos processos de administração de TI criam problemas na segregação de
funções no SAP da empresa, e reduzem a confiabilidade e precisão dos relatórios
do SAP e seus controles automatizados: O pessoal de TI e usuários-chave por
muitas vezes recebem amplos direitos no ambiente de produção durante a fase de
implementação. Embora esses direitos precisem ser revogados uma vez que o
aplicativo atingir seu go-live, eles geralmente são mantidos até que uma auditoria
de segurança os revele. Pior, a equipe de TI pode por vezes não perceber que
transações críticas foram incorporadas a uma função de funcionário. Outros
problemas são devido à falta de recursos internos. Por exemplo, muitas empresas
não têm a segregação de funções que existem em empresas de grande porte, entre a
equipe de administração SAP e o grupo de segurança em TI, devido aos recursos
da empresa serem limitados. E, mesmo existindo ferramentas que podem
monitorar os controles e segregação de funções, muitas organizações não são
capazes de aproveitá-las devido ao alto custo de compra, implementação e gastos
de manutenção.
33
Infelizmente, essas questões são muitas vezes o começo de problemas adicionais. Por
exemplo, as lacunas de segurança podem existir devido a uma dependência excessiva em
controles tradicionais e manuais, bem como a falta de experiência e infra-estrutura necessária
para suportar um ambiente pós-implementação do SAP. Controles tradicionais de
gerenciamento podem se tornar ineficientes e ineficazes conforme uma organização cresce,
adquire outras empresas, e aumenta seu volume de transações SAP com dependência de
controles automatizados. Além disso, os testes de controles existentes poderia falhar devido à
falta de documentação e dependência informal controles de TI (ou seja, procedimentos
operacionais não padronizados que não podem ser verificados). Finalmente, os custos de
auditoria interna e externa podem aumentar. Isto é porque a implementação de uma nova
aplicação sempre coloca pressão sobre existentes funções de auditoria interna, enquanto as
taxas de auditoria externa aumentam, porque as empresas de auditoria precisariam usar suas
próprias equipes focadas no SAP. Nestes exemplos de cenário negativo, até mesmo uma mão
de obra terceirizada teria seu custo aumentado.
7.2 ASPECTOS DE UMA IMPLEMENTAÇÃO DE SUCESSO
O surgimento de problemas de segurança e controle no SAP, mesmo os menores em
uma lista de deficiência, podem resultar em aumento de trabalho para os auditores internos,
para a equipe de TI, e gerentes seniores, tal que se esforçam para lidar com opiniões de
deficiências por parte do comitê de auditoria. No entanto, Linkies (2010) nos evidencia que
mesmo que a lista de problemas de muitas empresas sejam relativamente extensas, os
auditores podem fornecer recomendações para melhorar a eficácia da segurança do ambiente.
Para obter ótimos resultados, alinhando a eficácia do ambiente com requisitos de adequação
ao artigo 404 de SOX, os auditores internos podem aconselhar que as empresas que utilizam
SAP devem:
Considerar a gestão e supervisão do processo de SAP internamente para alcançar a
eficiência e alinhamento com a abordagem top-down descrita no documento de
Auditoria dos EUA, o "Public Company Accounting Oversight Board da Standard
No. 5". - Esta norma traz uma abordagem baseada no risco e dependência de
controles de maior nível. No entanto, apenas os funcionários internos que têm forte
34
conhecimento da organização podem avaliar com precisão como o SAP se
relaciona com os aspectos de controle administrativo de um negócio.
Empregar consultores externos com experiência SAP e Sarbanes-Oxley para
realizar testes independentes que auditores externos possam usar. - Esses
consultores devem ser contratados para trabalhar durante toda a duração do
projeto, em vez de um período breve.
Atribuir a propriedade dos controles de segurança para os gestores do
departamento de TI. Em muitas empresas o pessoal do departamento de TI da SAP
têm a maior familiaridade com os controles de segurança em particular. Além
disso, pode-se entender o SAP como uma vertente dos Hardwares e rede da
empresa, o que ressalta a segurança dos dados de dentro do ERP como algo que os
gerentes de TI obteram boa posição para cuidar dos controles.
Reduzir os custos, iniciando o processo de auditoria de TI no início do ano fiscal,
com a obtenção de orientação e compartilhamento de resultados intermediários
com os auditores externos. Muitas empresas realizam a maior parte de seus
esforços de auditoria de TI durante o último trimestre do ano. A realização da
auditoria de TI mais cedo pode ajudar a reduzir custos atrelados ao SAP, sejam de
implementação ou segurança, e abrir espaço para melhorias.
Considerar a formação de pessoal para auditoria interna durante a fase do projeto
de implementação e testes do SAP. Mesmo se consultores externos forem conduzir
e realizar testes, a capacidade do pessoal da empresa para realizar auditorias
próprias no SAP é útil para entender e manter o ambiente de controle de segurança
em uma base contínua.
Manter tais recomendações em mente permite que os auditores apontem áreas de
melhoria durante uma referida implementação SAP. Pode-se ainda exemplificar um estudo de
caso onde tais recomendações são abrangentes e podem ser incorporadas como parte do
projeto para realçar e adequar-se às normas de SOX, conforme é evidenciado no item a seguir.
35
7.3 ESTUDO DE CASO: IMPLEMENTAÇÃO EFETIVA/SEGURA
Mario Linkies e Frank Off (2010), nos propõem um estudo de caso que envolve uma
amostra de projeto de implementação certificada por SOX para SAP, visando uma divisão de
uma empresa que compra produtos acabados e vende produtos através de vários canais,
incluindo pequenas e grandes lojas de varejo, de nível médio, distribuidores até catálogos
impressos e online. A divisão tem uma receita anual total de cerca de $100 milhões de
dólares. O cenário de implementação foi desenvolvido pela equipe de auditoria interna após
uma auditoria anterior ter encontrado um grande número de deficiências de controles de
segurança relacionados ao SAP, o que levou horas para que o departamento de TI e auditores
externos/internos terminassem o trabalho. Subsequentemente, foram necessários três quartis
para alinhar os processos da empresa às práticas de SOX, os quais são descritos a seguir para
entendimento.
Primeiro Quartil: Definir a abordagem do projeto de implementação e suporte
externo garantido.
O projeto de implementação SOX para SAP começa durante o primeiro trimestre
do exercício (Q1), com revisão pelo diretor de auditoria interna, que também
deverá ser o responsável pela função de auditoria da empresa de TI. Durante a
auditoria, o diretor avalia relatórios de auditoria externa anteriores, sobre a divisão
dos controles do SAP. Embora por vezes não sejam notadas fraquezas materiais ou
deficiências significativas, auditores externos estão sempre em busca de
pormenores que também podem comprometer as políticas. Muitas empresas, por
anos consecutivos, somente remediam riscos já conhecidos à segurança do sistema,
algo que cedo ou tarde sempre irá gerar atritos no ambiente de auditoria externa.
Baseado nas auditorias, o diretor deve tomar as ações que irão resolver os gaps nos
controles de acesso do SAP, e reduzir os custos relacionados às auditorias
externas. É válido lembrar que em cenários que o administrador SAP Basis se
afaste da companha durante o processo, a empresa não terá expertise in-house para
resolver essas lacunas, portanto trata-se de um profissional de suma importância.
Nos casos de urgência, pode-se contar com a ajuda de uma empresa de consultoria.
Em suma, a organização deve cuidar para que seus testes de auditoria externa
36
sejam planejados para o terceiro quartil, ou seja, antes das vistorias oficiais. Além
disso, o diretor de auditoria pode programar uma pré-avaliação de riscos e análise
de documentação de controles SAP a ocorrer durante o segundo quartil, precedidos
dos outros testes de gestão para o terceiro trimestre.
Segundo Quartil: abordagem de revisão com os auditores externos e obter
orientações atualizadas sobre controles de seguraça para SOX em SAP.
Durante o segundo quartil, o diretor de auditoria interna realiza uma avaliação de
riscos toda a empresa, que identificará de maneira minuciosa os controles críticos
na aplicação SAP, e nos processos de negócio automatizados. Como resultado, o
diretor deverá cuidar da atualização dos documentos contendo a narrativa das
atividades de controle de TI e, em conjunto com o consultor externo, confirmar o
formato para documentar as matrizes de controle de riscos, planos de teste, e os
resultados do teste.
Em seguida, o diretor e consultores iniciam o projeto de conformidade SAP. Seu
principal objetivo é limitar o número de controles de TI no SAP ao menor número
possível. Tal número pode ser determinado utilizando um processo de avaliação
comparativa, entre os controles específicos e os objetivos que cada um deles
partilha. Por exemplo: muitas pequeas e médias empresas só podem pagar para
cobrir certos objetivos genéricos com um ou dois controles-chave, tais como regras
do estilo "ferramentas de segurança lógica e suas técnicas devem ser
implementadas e configuradas cuidando da restrição de acesso ao programa" e
"modificações nos aplicativos existentes devem ser aplicadas apropriadamente"
são geralmente aplicados com um ou dois controles.
Após o escopo de trabalho ser definida, este importante quartil deverá cobrir,
essencialmente, os seguintes tópicos:
- Manter reuniões e discussões sobre melhores práticas e aplicação de SOX para as
auditorias internas, operações do ambiente SAP, e equipes de desenvolvimento.
- Avaliação do proveito dos controles de SAP já existentes.
- Identificar as evidências que podem ser utilizadas como teste dos controles-chave
a serem implementados.
- Manter atualização constante dos documentos envolvendo as políticas de TI que
suportam os controles do SAP, e principalmente as matrizes de risco relacionadas.
37
- Desenvolver os planos de teste para os principais controles do SAP.
- Realizar os testes propostos, e agir conforme os resultados obtidos.
- Identificar as possíveis falhas e gaps nos controles, e recomendar suas
remediações.
Dois documentos do Instituto de Governança de TI dos EUA servem de referência
e guia durante esta fase do projeto: "IT Control Objectives for Sarbanes-Oxley:
The Role of IT in the Design and Implementation of Internal Control Over
Financial Reporting", e "Security, Audit, and Control Features SAP R/3: A
Technical and Risk Management Reference Guide". Adicionalmente, as
companhias de auditoria externa sempre podem colaborar com documentações
atualizadas que irão cooperar da melhor maneira em prol de desenvolver e testar a
segurança dos controles SAP nos processos de uma companhia.
Terceiro Quartil: Realizar testes e atualizar toda a documentação.
Depois de analisar os resultados de todos os testes performados, o consultor e o
diretor de auditoria interna devem tecer as recomendações e os esforços de
remediação. Além disso, a avaliação de impacto dos riscos deverá ser também
revisada pelo diretor, que irá atualizar os controles-chave e planos de teste para os
auditores externos. Finalmente, nota-se que o número inicial de controles-chave do
SAP e seus tamanhos de amostragem teste também foram reduzidos, o que permite
a divisão para poupar tempo e reduzir os custos de testes. Válido mencionar, a
maior parte das orientações gerais para parametrização de aplicativos SAP também
colocará esforço significativo para avaliar os sistemas de apoio, tais como bancos
de dados. Por fim, a efetividade desta implementação poderá ser aproveitada.
Mesmo em muitas pequenas e médias empresas, os custos de teste e tamanhos de
amostra de controles SAP são efetivamente reduzidos devido ao tamanho limitado,
e com riscos de banco de dados SAP somente proporcionais ao seu tamanho. Mais
importante, a empresa pode se considerar tranquila com relação às suas políticas
de segurança, devendo apenas se esforçar diariamente para manter o padrão.
38
8 METODOLOGIAS ÁGEIS E SEU PAPEL NA SEGURANÇA
DO SAP
Metodologias ágeis são um diferencial na implementação de um sistema ERP. Isso se
dá pois muitas empresas, na busca incansável por sistemas de gerenciamento cada vez mais
processuais, documentados, e logicamente seguros, acabam por caracterizar o que
denominamos ludicamente como “tiro pela culatra”: ERPs que tornam-se absurdamente
complexos para interpretação, manutenção, e estratégia empresarial. Com a evolução de
negócios ao longo dos anos, é puramente perceptível que muitos processos já não agregam
mais valor ao fluxo de uma empresa, e devem ser descartados. Para isso que existem as
metodologias ágeis: uma série de políticas pré-estabelecidas para que um consultor de TI
possa sabiamente analisar um negócio e identificar “gorduras” de processos, tornando-os mais
enxutos e efetivos.
Segundo Tenório (2007), a vertente de segurança em sistemas ERP é uma das que
mais padece em termos de “engorda” de processos, visto que muitas empresas preocupam-se
com sua segurança tecnológica, mas de maneira imatura. Desta forma, tendo apresentado
conceitos e premissas que devem ser seguidas para uma implementação segura de SAP,
apresenta-se nesse capítulo as metodologias ágeis que são interessantes ao consultor de TI que
quer ter cuidado ao evitar processos desnecessários, redundantes, e que principalmente não
agregariam valor à empresa ou clientes envolvidos.
8.1 LEAN MANUFACTURING APLICADO EM TI
O método LEAN para TI é uma extensão da metodologia e princípios de serviços
criados para o desenvolvimento e manutenção de produtos, sistemas tecnológicos e seus
serviços. Sua preocupação central, aplicada no conceito de TI, é a eliminação de desperdícios
oriundos de trabalhos residuais que já não agregam mais valor aos processos utilizados na
empresa. Corretamente mencionado por Fernandes (2007), ainda que os princípios gerais da
manufatura ao estilo Lean já seja algo relativamente estabelecido e com ampla aplicabilidade,
a aplicação da metodologia em TI ainda está em fase emergente, o que não desmerece seu
potencial. É factual que sua implementação representa desafios aos profissionais em troca dos
benefícios significantes que serão verificados, mas tão importante quanto é lembrar que –
mesmo que a aplicação de curto-prazo da metodologia renda resultados – sua utilização
39
correta envolve um aplicação contínua e de longo prazo aos processos dos sistemas
empresariais, antes que as novas e boas práticas tornem-se intrínsecas à cultura de uma
referida organização.
Fonte: George (2003)
FIGURA 5 – Aspectos cobertos pela metodologia LEAN
8.1.1 PRINCÍPIOS DO LEAN APLICADO EM TI
Bem evidenciado por George (2003), a aplicação da metodologia LEAN em TI, tal
como em sua utilização originária dos processos de manufatura, envolve a idéia de
mapeamento de cadeia de valor. Para tal, realiza diagramas e analisa serviços (as cadeias de
valor) da corporação, e molda novamente os passos (por vezes toda a cadeia) eliminando as
práticas que não agregam valor. Essa atividade, plenamente utilizável em processos viciados
de empresas que utilizam o SAP, tem sua análise que é embasada e pode ser explicada pelas
duas vertentes detalhadas a seguir.
8.1.1.1 FLUXO
Fluxo refere-se a um dos conceitos fundamentais do Lean tal como já era formulado
no âmbito do Sistema Toyota de Produção - ou seja, mura. Uma palavra japonesa que
40
significa "irregularidade", que prejudica a fluidez e fluxo de um processo, é eliminada através
da dinâmica just-in-time de sistemas que são totalmente integrados. Um foco em redução de
mura nos fluxos pode trazer benefícios que não seriam alcançados pelo foco unicamente
preocupado com muda (a palavra japonesa para desperdício). O primeiro exige uma
abordagem de todo o sistema, enquanto a segundo pode produzir resultados de qualidade
inferior e conseqüências não intencionais. Por exemplo, uma equipe de desenvolvimento de
software pode produzir código em uma linguagem familiar para os seus membros e que é
ótimo para a equipe (zero muda). Mas, se essa linguagem não tem um padrão pelo qual os
parceiros de negócios possam acessar o código, o foco na mura irá expor essa fonte a
desperdícios, só que de forma oculta.
8.1.1.2 SISTEMA DE DEMANDA (PULL)
Sistemas de demanda são por si só intimamente relacionados com o conceito de fluxo
acima referido. Eles contrastam com sistemas push ou de fornecimento. Em um sistema pull,
um pull é uma solicitação de serviço. O requerimento inicial é a partir do cliente ou do
consumidor do produto ou serviço. Por exemplo, um cliente inicia uma compra online. O
pedido inicial por sua vez aciona um pedido posterior (por exemplo, uma consulta a um banco
de dados para confirmar a disponibilidade do produto), que por sua vez aciona pedidos
adicionais (entrada de informações do cliente do cartão de crédito, verificação de crédito, o
processamento da ordem no departamento de contabilidade, a emissão de um pedido de envio,
através da reposição do sistema de gestão de cadeia de fornecimento, e assim por diante).
Sistemas push diferem-se acentuadamente. Ao contrário dos "de baixo para cima",
orientados pela demanda, eles são "de cima para baixo", onde sistemas são controlados pelos
fornecedores que julgam possuir conhecimento e controlam a demanda. Sistemas push
tipicamente acumulam estoques de inventário de grande porte em antecipação de necessidade
do cliente. Em TI, sistemas push muitas vezes introduzem resíduos através de uma
abundância de estoque "just-in-case" de produtos, incorreta configuração de serviços,
problemas de controle de versão e problemas de qualidade incipientes.
41
8.1.2 ÁREAS DE INFLUÊNCIA
Ainda que esteja frisada a importância da metodologia LEAN para a diminuição de
resíduos de processos que não agregam valor ao negócio, George (2003) considera válido
citar suas principais influências adicionais às corporações, oriundas da implementação
correta. É entendido que tais aspectos também são buscados direta ou indiretamente por
empresas maduras que desejam a otimização constante de sua atuação.
8.1.2.1 SUCESSO NA REDUÇÃO DE CUSTOS
O início da recessão económica, em Dezembro de 2007, foi marcado por uma
diminuição na disposição dos indivíduos para pagamento de bens e serviços - especialmente
em face da incerteza sobre os seus próprios futuros econômicos. Enquanto isso, negócios e
crédito ao consumidor com budgets mais limitados, um forte declínio no mercado imobiliário,
mais impostos, os despedimentos maciços e retornos diminuídos nos mercados monetários
causam uma procura estratégica de bens e serviços.
Quando uma economia é forte, a maioria dos líderes empresariais concentram-se em
crescimento de receita. Durante os períodos de fraqueza, quando a demanda por bens e
serviços é controlada, o foco muda para redução de custos. Em sintonia com essa tendência,
as recessões inicialmente provocam ações agressivas tais como desconto profundo, queima de
estoques e excessos dos mesmos, congelamento de salários, curto tempo de trabalho e
abandono de relações com fornecedores antigos em favor de fontes menos dispendiosas.
Embora tais ações possam ser necessárias, seu impacto pode ser de curta duração. Como tal, a
aplicação da metodologia LEAN em sistemas de TI ganha ainda mais valor durante as crises
econômicas, quando líderes empresariais buscam iniciativas que agregam valor mais
duradouro do que imediato, podendo utilizarem-se da reativa e generalizada redução de
custos.
8.1.2.2 UTILIZAÇÃO INTENSA DE TRANSAÇÕES ONLINE
A TI tem sido tradicionalmente uma função de mero suporte de negócios, em comum
com outras funções de suporte, tais como transporte e contabilidade. Mais recentemente,
porém, as empresas passaram muitas funções de missão crítica de negócio para a Internet.
Esta migração tende a acelerar ainda mais a demanda de empresas para alavancar
42
investimentos em arquiteturas orientadas a serviços, diminuir custos, melhorar a eficiência, e
aumentar o acesso para clientes, parceiros e funcionários.
A prevalência de transações baseadas na Web está definindo um período de
convergência entre TI e negócios. Em outras palavras, os serviços de TI estão cada vez mais
voltados para a missão de oferecer valor aos clientes. As iniciativas do Lean IT tornam-se,
portanto, um interesse menos periférico e mais intrínseco ao negócio principal.
8.1.2.3 TI VERDE
Embora não tenha havido origem das mesmas motivações, as iniciativas Lean de TI
são congruentes com um amplo movimento para a conservação e redução de desperdícios,
muitas vezes caracterizado como políticas e práticas verdes. A já denominada e conhecida TI
Verde é uma parte desse amplo movimento.
Redução de desperdícios é algo diretamente correlacionado com o consumo reduzido
de energia e geração de carbono. Detalhadamente, a empresa IBM afirma que a TI e os custos
de energia podem ser responsáveis por até 60% das despesas de uma organização de capital e
75% das despesas operacionais. Desta forma, a identificação sóbria dos fluxos de valor e
racionalização de TI irá suportar a medição e melhoria das cotas de carbono e outras métricas
verdes. Como breve exemplo, podemos citar a implementação do Lean de TI para poupar
energia através da adoção de tecnologia de virtualização e consolidação de centros de dados.
8.1.3 DESAFIOS AO LEAN APLICADO EM TI
Ainda que possua resultados plenamente satisfatórios, a aderência ao LEAN IT
também representará a superação de desafios. Segundo George (2003), mesmo que cada
organização possua suas peculiaridades, é possível dispor de um rol contendo as principais
dificuldades que os projetos irão encontrar na busca de melhoria em seus processos.
Entendimento da Cadeia de Valor: Ao contrário do LEAN voltado à manufatura, a
partir do qual os princípios e métodos do Lean IT derivam, este último depende de
fluxos de valor que são digitais e intangíveis. Isso torna difícil a visualização de
fluxos e cadeias de valor agregados nos processos de TI e, portanto, a aplicação de
Lean IT. Enquanto os praticantes do LEAN voltado à manufatura podem aplicar
43
sistemas de gestão visuais, como os por exemplo os cartões “kanban” utilizados no
Sistema Toyota de Produção, praticantes de Lean IT devem usar ferramentas de
gestão integrada de TI para ajudar a visualizar e analisar o contexto mais abstrato
em suas cadeias de valor agregado nos processos de TI.
Falta de Referências de Implementação: Ainda que seja uma metodologia
comprovadamente efetiva, a aplicação do LEAN voltado à TI ainda é uma prática
relativamente recente, e um considerável número de organizações relutam a aplica-
la defronte à limitada lista de casos de sucesso. Este efeito é minimizado quando é
verificada a tamanha quantidade de empresas que já obtiveram melhora de
processos quando aplicaram o LEAN voltado às manufaturas, mas é preciso
assumir que a adaptação destas teorias para a área de TI ainda é algo em expansão
e desenvolvimento.
Resistência às mudanças: As conclusões ou recomendações que resultam da
implementação das metodologias de Lean IT tendem a exigir mudanças
organizacionais, operacionais e comportamentais que podem entrar em rota de
colisão com a resistência de trabalhadores, gestores e até mesmo altos executivos.
Seja alimentada por um medo de perda de emprego, crenças de que as práticas de
trabalho existentes são superiores, ou alguma outra preocupação, as alterações
podem encontrar resistência. Como breve exemplo, podemos citar uma
recomendação de Lean IT que envolve o compartilhamento de funcionários de
diferentes departamentos numa implementação de software quando isso significar
a melhora da dinâmica dos processos de um projeto em questão, mas isso é
encarado com apatia por muitos gerentes que já estão acostumados com seu quadro
de funcionários e pessoas de confiança. Além disso, os incentivos existentes e
métricas não alinham-se com a dinâmica proposta de compartilhamento pessoal, o
que também pode gerar uma zona de tensão entre trabalhadores no próprio nível de
desenvolvimento.
Departamentos de TI fragmentados: Mesmo que as corporações e o fluxo de
informações a estas agregado possam abranger vários departamentos, as
organizações de TI são comumente estruturadas em uma série de silos
44
operacionais ou de tecnologia centrada, onde cada departamento já desenvolveu
suas ferramentas de gestão ao longo de tempo, e portanto possuem maneiras
distintas de desperdício de processos. Como tal, os esforços da metodologia Lean
IT em tal cenário encontrará limitações para uma colaboração efetiva, tendo
entendido que a chave de seu sucesso seria justamente a integração e melhora de
sinergia entre os departamentos, algo que infelizmente não ocorrerá por muitas
vezes.
8.2 IMPLEMENTAÇÃO ITIL V3
Conforme Magalhães (2007), uma das principais características que levam a ITIL a ser
amplamente adotada no mercado é a possibilidade de se moldar o projeto de acordo com as
necessidades da empresa. A implantação da ITIL não segue uma receita, e é por isso que ela é
considerada um conjunto de boas práticas e não uma metodologia. Cada organização difere
das outras em relação ao seu porte, prioridades e ambições, e por isso um projeto deve ser
estudado e desenvolvido sempre visando atender as necessidades específicas de cada empresa.
Grande parte das organizações que decidem por adotar a ITIL depara-se com o primeiro
desafio que é saber por onde começar. O fato de ter conhecimento sobre as práticas de ITIL
não é suficiente para se garantir uma implementação de sucesso, e pode gerar uma expectativa
falsa de facilidade.
Um dos aspectos mais importantes antes de iniciar a implementação destes métodos
para os processos já existentes de ERP é ter consciência do investimento que a empresa está
disposta a fazer para atingir suas metas. É preciso realizar uma análise do estado de
maturidade da empresa, definindo objetivos e metas, e implementar progressivamente os
processos necessários à este objetivo. A implementação da ITIL para os processos oriundos
do ERP SAP não precisa necessariamente ser realizada por completo, muito menos ser
implementada de uma só vez. Nesta análise devem ser levantados os pontos críticos da
implementação, tal como a criticidade do serviço, importância, dimensão, orçamento, e
Retorno de Investimento (RDI) que a implementação deste serviço deve trazer para empresa.
É importante ressaltar que RDI não significa apenas retorno financeiro. Se a implementação
de um serviço for capaz de reduzir o tempo hábil das operações SAP, aumentar a qualidade do
45
delivery e a melhoria do processo gerando valor para um cliente, tal implementação estará
criando um RDI para a empresa.
Como dito anteriormente, a implementação da ITIL não precisa ser necessariamente
realizada por completo, podendo ser adotado apenas os processos mais críticos dentro do ERP
utilizado por determinada empresa. Inclusive, é importante mencionar que as práticas de ITIL
podem ser adotadas por empresas de qualquer área e tamanho. Além da adaptabilidade a todos
os tipos de empresa, esta forma de implementação facilita a adoção da ITIL pela cultura da
empresa, já que suas mudanças muitas vezes mudam drasticamente o modo com que as
pessoas executam suas tarefas. Pode-se citar como uma boa prática o inicio da implementação
pelos utilizadores do SAP dentro do setor de Service Desk, e focar na gestão de incidentes,
gerando métricas sobre todos os incidentes e pedidos de serviço na ferramenta, definindo os
procedimentos para escalar os incidentes e como o ERP deverá partilhar informações com os
outros departamentos. Após a empresa absorver as mudanças deste processo, deve-se partir
para a Gestão de Problemas e assim sucessivamente.
Fonte: Magalhães (2007)
FIGURA 6 - Aspectos envolvidos pela implementação ITIL
46
8.2.1 PONTOS DE ATENÇÃO NA IMPLEMENTAÇÃO ITIL
A adoção da ITIL para o gerenciamento de ERPs,- sejam ou não estes da SAP - não é
uma tarefa das mais fáceis. Ao analisar o depoimento de profissionais de TI nota-se que
grande parte das empresas que decidem adotar a biblioteca de boas práticas encontra
dificuldades. Segundo Pultorak (2005), apesar dos processos serem bem definidos e existir
muito material sobre o assunto, os profissionais alegam que na hora de “sair do papel” as
dificuldades vêm a tona. É importante que a organização que pretende adotar a ITIL tenha a
consciência que toda a empresa deve trabalhar em conjunto para se obter sucesso, o
treinamento tem de ser constante, todos os colaboradores tem que estar cientes de seu papel e
executa-lo com competência. Outro aspecto a ser considerado é o fato de que durante a
execução de um projeto existem muitos fatores dinâmicos que influenciarão o andamento dos
trabalhos, e por isto devem ser previstos pela empresa. Riscos surgirão, prioridades sofrerão
mudanças, a distribuição de recursos e até mesmo objetivos de negócio poderão variar,
baseados até mesmo nos próprios resultados parciais da implementação.
Face à metodologia e casos já conhecidos, Magalhães (2007) nos aponta algumas
falhas que podem levar o projeto de implementação ao fracasso:
Falta de conhecimento sobre o estado atual: Deve-se saber em que estágio a
empresa se encontra antes de saber para onde se deseja ir. Ao menos que se tenha
isto claro será difícil traçar uma maneira de atingir as metas desejadas.
Falta de comprometimento com a gestão: Os stakeholders devem ter consciência
de que deve existir um comprometimento em todos os setores envolvidos da
empresa, e os encarregados do gerenciamento do projeto devem demonstrar sua
presença e envolvimento.
Não criar instruções de trabalho: Frequentemente as organizações falham em
documentar as instruções de trabalho. Estas instruções incluem regras de
escalação, definição de prioridades, e categorias de mudança.
47
Falta de definição dos donos do processo: De forma simples, o dono do processo é
responsável por monitorar e gerenciar o processo para que ele esteja em melhoria
contínua. Esta função é essencial para a manutenção dos processos, e compromete
um projeto caso não haja definição.
Excesso de preocupação com performance: Muitas organizações se concentram na
performance do serviço ignorando a qualidade dos processos. As organizações
precisam gastar algum tempo com a melhoria do serviço como parte da
implementação da ITIL.
Excesso de ambição: Muitas organizações se propõem em implementar diversos
processos ao mesmo tempo, causando confusão e uma integração fragilizada entre
eles. É imprescindível que a haja proveito da facilidade em poder implementar
ITIL aos poucos, este aspecto seja lembrado pelas empresas.
Falhar em manter o progresso conquistado: uma implementação pode levar anos.
Muitas empresas implementam um processo e partem para outro, sem planejar
como a qualidade do processo implementado será mantida.
Ignorar outras soluções além da metodologia ITIL: apesar de ser uma biblioteca de
“boas maneiras”, existem outras soluções que não devem ser ignoradas, tais como
COBIT (Control Objectives for Information and related Technology) e Six Sigma.
Válido frisar, estas outras soluções podem até mesmo facilitar a implantação de
ITIL e obter resultados ainda melhores.
A implementação de um projeto ITIL para os sistemas ERP vai além de um projeto
técnico, pois deve envolver todos os módulos e departamentos do sistema, assim como
envolve toda estrutura organizacional da empresa. Os funcionários deverão ser treinados e
absorver a nova cultura imposta pela ITIL, e o setor gerencial deverá suportar as novas
necessidades da empresa. Com todo este impacto, para se ter sucesso na implementação, o
projeto deve contar com o apoio da alta administração da organização e a equipe deve estar
empenhada em garantir a melhoria contínua do processo.
48
8.2.2 BENEFÍCIOS DA IMPLEMENTAÇÃO ITIL
Em linhas gerais, e convergindo com os aspectos já abordados, pode-se definir a
necessidade de alinhar os negócios da empresa com a área de TI como o principal motivo para
que uma organização decida por adotar a ITIL, implantando um modelo de governança em TI
capaz de suportar o crescente volume de dados e informações. ITIL não é este modelo, porém
lista boas práticas para se alcançar o sucesso neste quesito. Com uma gestão consistente e
efetiva no ERP SAP de uma empresa, é possível melhorar a qualidade dos serviços de TI,
atendendo melhor as necessidades do cliente.
De acordo com Fernandes e Abreu (2006) e Pultorak (2005) alguns benefícios gerados
pela ITIL são a melhoria da satisfação dos clientes, melhoria da satisfação dos colaboradores,
redução dos custos de treinamento, melhoria da disponibilidade dos sistemas e aplicações,
melhoria da produtividade das equipes, redução de custos relacionados a incidentes e
problemas e melhor utilização dos recursos de TI. Estudos globais comprovam que grande
parte dos profissionais de TI acredita que a adoção da ITIL também contribui para aprimorar a
reputação dos departamentos de TI, além de facilitar que as organizações entrem em
conformidade com requisições de compliance, que melhoram também a imagem da empresa.
Smitch (2010) acrescenta que a ITIL é totalmente convergente às melhorias no âmbito de
Segurança da Informação, através de várias recomendações tais como a definição de papéis e
responsabilidades para a Segurança da Informação, o planejamento de uma política de
segurança, criação de documentos formais, a necessidade de revisão contínua e o
planejamento de relatórios gerenciais e executivos para ajudar a comunicar as metas e
resultados alcançados.
Em uma abordagem mais aprofundada, pode-se destacar que os benefícios da ITIL
podem ser agrupados em quatro categorias abordadas a seguir.
Benefícios para o Negócio: o gerenciamento e estratégia da área de tecnologia da
empresa deve ser consistente e acompanhar paralelamente as mudanças
relacionadas ao negócio da empresa para poder proporcionar a capacidade,
disponibilidade, segurança e performance necessárias para suportar as
necessidades do negócio. A dependência do negócio em relação aos serviços de TI
49
faz com que este aspecto seja crucial para a sobrevivência da empresa. A ITIL
propõe processos que auxiliam no gerenciamento dos negócios da empresa, tais
como os processos de estratégia de serviços, do livro Estratégia de Serviço, que
abordam tópicos fundamentais ao negócio como o Gerenciamento Financeiro e
Gerenciamento do Portfólio de Serviços. No livro Desenho do Serviço, o processo
Gerenciamento do Nível de Serviço é importante para que os níveis requeridos
pelo negócio sejam absorvidos e entendidos por TI, deixando claro os objetivos do
negócio e o que TI tem que fazer para atendê-los, contribuindo para a criação de
valor para o cliente.
Benefícios para Inovação: Pode-se dizer que a metodologia ITIL foca-se no
conceito de que “Inovar significa mudar com intenção de aperfeiçoamento”,
agregando isto a grande parte de seus processos de maneira direta ou não.
Embasada na melhoria contínua de serviço, será sempre inovadora para com os
projetos que a adotam.
Benefícios para Funcionários: a implementação da ITIL altera aspectos que
influenciam na qualidade dos serviços prestados pelos funcionários. Isto é baseado
em fatores como o aumento da motivação – e um ambiente organizado é mais
motivador; com aumento da produtividade – impulsionada pela garantia de
recursos e continuidade dos serviços proporcionados pela metodologia. Por fim,
demonstra transparência nos processos – o facilita a tomada de decisões, a partir
do momento que o funcionário conhece os padrões e estes são rigorosamente
seguidos.
Benefícios Financeiros: rentabilidade é sem dúvida o principal objetivo de
qualquer negócio, e uma empresa quando adere à ITIL está interessada no maior
retorno financeiro possível. A ITIL é capaz de demonstrar o retorno financeiro que
trará para uma organização, sobretudo justificando os gastos com a sua
implementação. Alguns processos que contribuem diretamente com o retorno
financeiro para empresa são o Gerenciamento de Problemas – que tem por objetivo
eliminar e prevenir incidentes, otimizando os custos gastos com manutenção e
suporte, e o Gerenciamento de Continuidade – que garante a continuidade de
50
serviços críticos a empresa, que se parados causam altos prejuízos financeiros.
Além destes, existem fatores indiretos relacionados ao benefício financeiro que a
ITIL proporciona. Uma empresa que possui um bom Gerenciamento de
Continuidade, por exemplo, representa um diferencial no mercado, podendo ser
decisivo para um cliente na escolha de uma prestadora de serviço diante das
concorrentes.
51
9 SISTEMAS PERIFÉRICOS AUXILIARES
Ainda que o SAP seja uma ferramenta extremamente rica e complexa – onde até
alguns arriscam denomina-la completa – existe no mercado uma gama de sistemas periféricos
auxiliares, que acoplados à utilização e fluxo de dados no SAP, podem levar a experiência de
segurança empresarial ainda mais além. Linkies (2010) frisa que um considerável número
dentre estes sistemas são homologados pela própria empresa SAP, e acabam por caracterizar
um “trabalho em equipe” entre aplicações. No ramo da segurança, o sistema que mais
destaca-se é o Virsa Compliance Calibrator, cujas características e vantagens serão descritas a
seguir.
9.1 VIRSA COMPLIANCE CALIBRATOR
Conforme abordado no item 7 deste documento, o não-cumprimento de algumas
regulações, especialmente a Lei Sarbanes-Oxley (SOX), pode trazer vários prejuízos para a
empresa, tais como perda da capitalização de mercado e a erosão da confiança dos acionistas,
além de todas as penalidades previstas na legislação. Entretanto, mesmo que metodologias
ideais e ágeis sejam aplicadas, as grandes organizações sempre terão um volume de dezenas
de milhares de processos de controle a serem avaliados, testados e sanados.
Como tal, adentra-se um cenário onde a forma mais eficiente e econômica de
identificar falhas de controle e de minimizar os riscos é por meio de um monitoramento e
execução automatizada de testes, em tempo real. Esta é a grande vantagem do Virsa
Compliance Calibrator. Esta solução automatiza a detecção e a prevenção da segurança e da
violação de controles do ERP em tempo real, evitando fraudes internas, reduzindo custos de
TI e de auditoria, e reforçando os altos níveis de governança necessários. O resultado é uma
conformidade altamente satisfatória perante os requisitos regulatórios.
O Virsa Compliance Calibrator se concentra nos controles de usuário e de acesso dos
mesmos, incluindo o monitoramento de transações críticas em toda a extensão do sistema.
Esta solução está totalmente integrada ao SAP e complementa o sistema de informações da
auditoria, com o gerenciamento dos recursos de controle interno. Ele combina o potencial do
SAP em segurança com um abrangente conjunto de normas devidamente validadas, além de
52
uma detalhada análise da segregação de funções (SOD – segregation of duties), em forma de
uma solução abrangente para os artigos 404 e 409 da Lei Sarbanes-Oxley.
Os principais benefícios do Virsa Compliance Calibrator para as empresas incluem os
seguintes tópicos:
Verificação imediata e ampla da conformidade de autorizações do ERP;
Análise automática da segregação de funções (SOD) e monitoramento de
transações críticas;
Avaliação imediata dos riscos de autorização para os usuários, auditores e
profissionais de segurança da área de TI;
Bloqueio das violações, antes que estas comprometam a produção;
Correções rápidas, com verificação direta das causas que ocasionaram o problema;
Impossibilidade de análise manual e de falsos-positivos;
Integração transparente com o SAP ERP, dispensando manutenção adicional de
servidores ou dados.
O Virsa Compliance Calibrator foi devidamente testado, validado e aprovado pela
SAP. É um software de instalação relativamente simples, podendo ser colocado em atividade
total em apenas 5 dias, considerando um ambiente SAP corretamente implementado e
operante. Esta solução já está sendo utilizado por mais de 150 clientes da SAP, incluindo
algumas das maiores e mais bem sucedidas empresas globais. Como tal, sua confiabilidade é
notória, caracterizando um investimento alto, porém de imediato e volumoso retorno.
Fonte: Linkies (2010)
FIGURA 7 - Menu de Controle da ferramenta Virsa Compliance Calibrator
53
10 CASOS DE SUCESSO
Tendo construído o entendimento necessário para a compreensão da importância dos
conceitos de segurança aplicados à implementação do ERP SAP, podem ser apresentados
casos de sucesso concretos e oriundos da aplicação dos tópicos exibidos. Para tal, exemplos
de projetos em que nós, profissionais da empresa IBM, tivemos envolvimento ilustram
situações bem-sucedidas.
10.1 SHELL
A Shell, empresa internacionalmente conhecida, já possuía um legado de ERP que
mantinha a empresa sob controle. No entanto, sua quantidade de filiais no mundo
caracterizava um cenário de informações descentralizadas onde cada país possuía seus dados
isoladamente, algo que subtraía seu potencial de agilidade nos negócios, e sua participação de
retorno financeiro no cenário petrolífero. Buscando melhorias dentro de um cenário
sustentável, contratou a empresa IBM para a concretização de um projeto ambicioso: a
implementação de um ERP SAP único, de acesso global, que integrasse todas as unidades da
Shell ao redor do globo.
A utilização rigorosa de todos os padrões de segurança e metodologias eficazes foi
quem garantiu o sucesso deste projeto, que iniciou-se no fim do ano de 2007, teve sua
conclusão em meados de 2011, e obteve números que entraram para a história como uma das
maiores implementações já realizadas de um ERP SAP. Indo além, a empresa adquiriu a
maturidade de manter corretamente o ambiente em sua operação ideal, garantindo treinamento
constante dos usuários, e dos consultores dedicados a manterem diagnóstico do sistema para
uma devida segregação de funções e alinhamento com as auditorias internas/externas.
Também foi entendido que a robustez desta manutenção gera um número intensificado
de tickets e chamados para atendimento de usuários. Em prol de manter o time de suporte
eficaz, também foram aplicadas as metodologias ágeis para encontrar vícios de processos,
algo que aumentou a produtividade de todos os times envolvidos, e ao mesmo tempo não
penalizou a Shell com custos adicionais. A grande quantidade de usuários deste SAP Global
também levou a empresa a à adoção da solução Virsa Compliance Calibrator, que
54
automatizou grande parte da manutenção de segregação de funções, geração dos relatórios de
auditoria, e trouxe máxima segurança às manutenções de emergência no sistema.
Em poucos anos - referencial obtido se compararmos o tamanho da implementação – a
Shell atingiu seus objetivos de mercado utilizando-se de um investimento grande, porém
sóbrio e muito bem planejado. Indo além, tornou-se uma referência em correta e segura
implementação SAP.
10.2 VOLKSWAGEN DO BRASIL
Quando o time de consultores IBM assumiu o suporte do ambiente SAP da empresa
Volkswagen sediada no Brasil, foram identificados gaps de processos que acabavam por
diminuir o potencial de segurança do sistema, dificultando a manutenção, e consequentemente
causando insatisfação em certos usuários.
A adoção do pacote de segurança – tanto as opções que o sistema oferece como as
boas práticas processuais – conseguiram sucesso em reverter tal cenário. A mudança teve seu
início na revisão das funções SAP necessárias ao negócio, e segregando-as corretamente aos
usuários. As manutenções emergências do sistema, anteriormente documentadas e realizadas
sob a tutela de um processo vulnerável, tiveram seus passos revistos e renovados. A
capacitação dos funcionários Volkswagen para uma correta, segura e eficaz utilização do ERP
também tornou-se melhor com uma interação positiva dos consultores de suporte, que
pautando as atividades diárias dentro nos moldes das metodologias ágeis, puderam dedicar
todo o tempo necessário para um atendimento atencioso ao cliente, sem abrir mão das práticas
corretas de documentação e atuação.
Ao adentrar no novo cenário, a Volkswagen conquistou benefícios operacionais e de
produtividade expressivos, e alavancou a sua reputação de profissionalismo nos negócios.
Tendo também melhorado seus trabalhos de auditorias internas, ficou evidente que reduziu
riscos e custos na sua situação.
55
11 CONCLUSÃO
Com o estudo desenvolvido neste trabalho acadêmico, fica evidente que a adoção e
correta implementação do ERP SAP dentro dos padrões e metodologias seguras oferecem não
somente sucesso na atuação de uma corporação, mas também um diferencial de mercado. Esta
postura também viabiliza uma garantia de suporte com qualidade ao ambiente já instalado,
oferecendo tranquilidade aos processos de auditorias internas e externas, e gabarito às
premissas impostas pelas leis de Sarbanes Oxley que, se devidamente seguidas, mantém a
empresa com excelente visibilidade e credibilidade.
As boas práticas de segurança aplicadas ao ERP SAP não beneficiam somente a
gerência das corporações. Usuários também passam a ter seus papéis bem definidos dentro da
estrutura de negócio, onde uma segregação de funções positiva irá melhorar o desempenho e
qualidade das atividades entregues.
Em suma, quando uma empresa decide que irá seguir á risca os padrões, metodologias
e leis internacionais de segurança que aplicam-se ao ERP SAP – seja em sua implementação
ou suporte – está assumindo um projeto que demandará esforço de todas as partes, reeducação
em certas práticas, e principalmente um cuidado constante em prol de manter todo o progresso
conquistado. Por outro lado, esta manobra é um investimento de alto valor agregado
considerando o lucro que irá obter, seja na economia dos gastos com retrabalhos de auditoria,
seja no aumento de clientes e transações que adquiriu por sua visibilidade idônea no mercado,
algo que também evidencia-se é muito importante no cenário globalizado das empresas.
Enfim, a segurança do ERP SAP é algo que pode - e deve - ser buscado por
organizações de todos os tipos e tamanhos, visto que a sua correta aplicação é estratégica e
pode manobrar os custos atrelados para que sejam compatíveis com os empreendedores
envolvidos, trazendo seus benefícios a curto, médio, e longo prazo.
56
REFERÊNCIAS
FERNANDES, Aguinaldo Aragon; DE ABREU, Vladimir Ferraz. Implantando a
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. Rio de Janeiro:
Brasport, 2008. 480p.
GEORGE, Michael L. Lean Six Sigma For Service. The McGraw-Hill Press, 2003, 502p.
JUNIOR, Cícero. Sistemas Integrados de Gestão: ERP uma abordagem gerencial.
Curitiba – Brasil, Ibpex, 2008
LINKIES, Mario; OFF, Frank. Sap Security and Authorizations. Estados Unidos: Galileo
Press, 2010, 510p.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de Serviços de TI
na Prática: Uma abordagem com base na ITIL. São Paulo: Novatec, 2007. 672 p.
MEIRELES, Manuel. Sistemas de Informação: quesitos de excelência dos sistemas de
informação operativos e estratégicos. Volume 1 da série: Indicadores Gerenciais – Manuel
Antonio Meireles da Costa, São Paulo - Arte e Ciência, 2004.
PULTORAK, David. Learn How ITIL can benefit your organization. TechRepublic, 2005.
Disponível em: < http://www.techrepublic.com/how-itil-can-benefit-yourorganization/>.
Acesso em 15 Out. 2012.
SMITCH, Ronaldo. ITIL – Benefícios Associados à Segurança da Informação. Disponível
em: < http://blogs.technet.com/b/ronaldosjr/itil-benef-cios-associadosseguran-a-da-informa-
o.aspx >. Acesso em 15 Out. 2012.
TENÓRIO, Guilherme Fernando. Tecnologia da informação transformando as
organizações e o trabalho, - Rio de janeiro - FGV – 2007.
57
TURBAN, Efraim E WETHERBE, James C. Tecnologia da informação para gestão –
transformando os negócios na economia digital. Artmed Editora S.A, Porto Alegre - RS –
2002
