Artigo

ERP é a chave para mais sucesso ou para sequestro de dados?

Neste artigo inédito, Sérgio Silva responde que depende: com a LGPD à vista, um Enterprise Resource Planning, ou Sistema de Gestão Empresarial, bem usado pode ser uma poderosa ferramenta em prol dos negócios e da proteção aos dados. Mas se for aplicado de forma precária, pode abrir muitas brechas para ataques hackers

Sigla ERP escrita ao lado de uma chave, como se ambas fossem nuvem, no céu

 

27/9/2019

Já ouviu a expressão popular “consertou os buracos na cerca, mas deixou a porteira aberta”? Ela é muito utilizada nos sítios e fazendas das regiões rurais, e eu a ouvi quando criança no sítio de um tio no interior de Minas Gerais. Mal sabia que muitos anos depois seria uma fonte de inspiração para fazer uma analogia entre uma fazenda e uma empresa. Neste caso, a fazenda com suas criações (bovinos, suínos, etc.) e a empresa com seus dados (ERP, CRM, BI, etc.).

O tema que quero explorar neste artigo é a vulnerabilidade em sistemas de gestão empresarial. Nos dias de hoje é praticamente impossível pensar que uma empresa de médio porte não possua um ERP (Enterprise Resource Planning ou, em português, Sistema de Gestão Empresarial), adquirido de um fornecedor de tecnologia ou desenvolvido internamente.

"Provavelmente  o  grau  de  segurança  cibernética  em  empresas  de  menor  porte  seja  menor,  mas  as  informações  que  podem  ser  extraídas  valem  para  um  hacker  o  mesmo  bitcoin,  no caso  dele  aplicar  um  ransomware"

Obviamente estes ERPs estão recheados de informações de produtos, fornecedores, clientes e em especial de dados pessoais, principalmente de funcionários, fornecedores e clientes.

Sabe aquelas tabelas chamadas de cadastro de funcionários, cadastro de currículos, relação de clientes, com nome, cargo, endereço? Arrisco dizer que já vi muitas até com data de aniversário do cliente. Pois é, essas informações ou estão no ERP ou no CRM (Customer Relationship Management ou, em português, Gestão de Relacionamento com o Cliente)

Um baquete para não convidados

Imagine um sujeito, sem escrúpulo nenhum, monitorando algumas empresas de pequeno e médio porte: ele percebe que é mais fácil invadir este conjunto de PMEs do que uma grande empresa.

Provavelmente o grau de segurança cibernética em empresas de menor porte seja menor, mas as informações que podem ser extraídas valem para um hacker o mesmo bitcoin, no caso dele aplicar um ransomware (sequestro de dados). Ou seja, cadastro de funcionários e banco de currículos serão verdadeiros banquetes a serem saboreados por hackers mal-intencionados que quiserem publicar estes dados na rede – a partir de agosto de 2020, é claro.

Vamos começar do mais simples que são aquelas “listagens”, que pediram pro pessoal da TI, para conferir as comissões dos vendedores. Sem dúvida esta “listagem” pode trafegar calmamente de lá pra cá em toda a rede, e provavelmente foi baixada em algum notebook do analista de RH que fechará a folha – e vai fazer isso no fim de semana em seu home office – e também foi baixada pelo gerente de vendas em seu smartphone, no momento em que estava tomando um café no shopping.

Lembrando que o antivírus e o firewall que estão instalados no servidor da empresa, não é o mesmo do smartphone do gerente de vendas e muito menos do notebook do analista de RH.

Pois é, já imaginou que informações sobre dez, cem, mil vendedores, como local onde trabalham, nome, CPF, remuneração e outros dados pessoais sensíveis, podem simplesmente ser extraídos e utilizados, por exemplo, para pedirem um resgate em bitcoin? Ou podem gerar uma multa legal de 2% do faturamento da empresa, por “listagens” como essas?

Talvez você que lê meu artigo esteja pensando que o que escrevo aqui não se aplica a sua empresa. Ao meu ver, só não se aplica se e
la possui um ERP de ponta, profissionais extremamente qualificados, treinamento contínuo em gestão e proteção de dados pessoais, moderníssimo sistema de detecção de comportamento pessoal, capaz de emitir um alerta quando regras de negócios são violadas e dados estão sendo extraídos. Caso contrário, se aplica sim.

Sua empresa ainda não chegou neste nível?

Bem, se ela ainda não atingiu o alto nível citado acima, vamos ver o que  pode ser feito. Afinal, acredito que ainda dê tempo, até agosto de 2020, de rever processos de negócios e de acesso aos sistemas, fazer um inventário completo de todas as aplicações internas e externas, e avaliar as medidas de segurança e proteção de dados.

Mantendo o foco no sistema de gestão empresarial, o primeiro passo é saber, além das tabelas, arquivos e cadastros que o seu ERP originalmente possui, quais são as outras tabelas existentes. Alguns fabricantes de ERP no mercado convencionaram a chamar essas tabelas não originais do sistema de tabelas “Z”.

Não importa se o ERP da sua empresa é de mercado ou desenvolvido internamente, a questão aqui é como eliminar essas vulnerabilidades, e de que forma controlar o acesso a essas tabelas. Por exemplo, é impossível manter um sistema de ERP padrão, sem nenhuma customização, sem uma única tabela fora do dicionário de dados padrão do sistema ERP.

Os fabricantes, sem dúvida, trabalham diariamente para contenção de vazamento de dados em sua estrutura padrão, o que ajuda muito. Mas quem cuida da segurança das tabelas "Z" escritas em milhões de linhas de código?

"O  impacto  da  LGPD  deve  ser  para   melhorar  os  processos  internos,  mudaa  forma  de  armazenar  e  tratar  as  informações,  trazer  novas  regras  e  responsabilidades,  fazendo  com  que, no  final,  a  empresa  se  torne  mais  confiável  e  essa  confiança  seja  repassada  em  seus  produtos  e  serviços"

Quando o pessoal do RH solicita algo para a TI, o atendimento é quase imediato, não é mesmo? Do outro lado, o pessoal de TI tem pouquíssimos chamados, dá para atender a todos os departamentos e ainda fazer uma hora de almoço. Ironias à parte, você acha mesmo que dá para pensar em proteção  de dados em um cenário que, na maioria das vezes, é caótico e mal se consegue a informação para a tomada de decisão?

A solicitação diária dessas informações faz parte da vida da empresa, assim como a segurança das mesmas também fará parte dos processos de negócios empresariais.

O que fazer então?

Para evitar que as vulnerabilidades ocorram não é necessário contratar novos funcionários para TI ou uma empresa de consultoria internacional para resolver a questão, basta iniciar um simples inventário dos sistemas que se encontram nessa situação, analisar o processo como um todo, quem pediu a informação, por que pediu a informação e como ela será utilizada e descartada.

A LGPD - Lei Geral de Proteção de Dados Pessoais, que entra em vigor em agosto de 2020, vem para ajudar as empresas e não para punir. Passamos da hora de nos preocuparmos com a segurança da informação em nossas empresas e criarmos uma nova cultura voltada à segurança de dados.

A aliada LGPD

O impacto da LGPD deve ser para melhorar os processos internos, mudar a forma de armazenar e tratar as informações, trazer novas regras e responsabilidades, fazendo com que, no final, a empresa se torne mais confiável e essa confiança seja repassada em seus produtos e serviços.

Colocar um certificado de adequação à LGPD, na recepção da empresa, ou contratar um seguro contra vazamento de dados não resolverá a questão.

O Brasil está sempre no ranking dos mais atacados por hackers. Nossos dados pessoais são violados diariamente, é comum você receber uma ligação em que o interlocutor já tem o número de seu CPF, CEP, idade e em alguns casos o nome de sua mãe e do seu pai e, é claro, o seu telefone.

Veja a importância que a LGPD reflete no dia a dia das empresas. Neste artigo estou retratando um exemplo muito comum que ocorre na maioria das empresas, todos os dias.

A transformação digital nos trouxe este novo cenário. Na medida em que novos aplicativos são desenvolvidos e instalados em smartphones, novos dispositivos de coleta e armazenamento de dados são inseridos em nossas empresas. Arrisco dizer que são poucos os projetos que consideram o tema segurança e proteção de dados.

No Brasil, quando os ERPs começaram a ser comercializados em maior escala para as PME´s, no fim da década de 80, um dos grandes argumentos de venda era citar que o sistema era totalmente integrado, uma única base de dados. Hoje essa integração tem que ser analisada quando o conteúdo é dado pessoal e, dependendo da integração, é preciso fazer uma segregação e adotar tratamentos específicos para cada caso.

Uma nova cultura nasce em busca da transparência, ética, responsabilidade e entrega de valor não somente aos clientes, mas principalmente a toda sociedade. Podemos, assim, chamar isso de cultura da segurança da informação e proteção de dados.

E podemos começar com o que sabemos e temos em nossos silos de dados, adotar metodologias extremamente úteis e disponíveis no mercado. Iniciar pelo simples e, desta forma, dar o primeiro passo para essa nova jornada de segurança e proteção dos dados, que resultará no conhecimento do ativo mais precioso que uma empresa poderá ter no futuro: os dados. Boa sorte!

Box com o minicurrículo do especialista externo que contribuiu com o artigo relacionado à Lei Geral de Proteção de Dados Pessoais

 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação