Atualmente o posicionamento do Chief Information Officer (CIO) nas organizações de uma forma geral é: "como obter mais produtividade dos recursos tecnológicos, para entregar mais resultado com qualidade, disponibilidade e confiabilidade para seus clientes, em menor tempo, otimizando custos, assegurando o atendimento aos requisitos de riscos, compliance e segurança da informação.
Em 2017 podemos relembrar dois exemplos de ataques emblemáticos como WannaCry e BadRabbit para demonstrar a importância dos temas de Segurança da Informação nas organizações, pois ocasionaram perdas financeiras, perda de informações e prejuízos de reputação, assim obtendo a atenção dos executivos e investimentos necessários.
Agora como podemos trazer à tona um tema pouco abordado dentro da área de Segurança da Informação denominada “SAP Security, Controls & GRC” e que também necessita de grandes investimentos? Sendo que este é o sistema ERP mais utilizado pelas grandes empresas e uma "caixa fechada" que muitas vezes é tratado como qualquer outro sistema nas organizações.
Acredito que seja nesse momento que os especialistas em “SAP Security, Controls & GRC” precisam se posicionar, pois sabem que o sistema ERP SAP não é apenas mais um sistema na organização e sim o "motor" que possui a capacidade de otimizar a tomada de decisões dos executivos de maneira eficaz e em tempo real.
Muitos podem argumentar que a segurança no ERP SAP não impulsionará a receita da organização, mas digo que ajudará a evitar fraudes, impactos na reputação e consequentemente perdas financeiras, caso seja implementada e executada de forma correta e por profissionais especializados no tema. Ataques cibernéticos são tão comuns hoje em dia, que agora é mais uma questão de quando eles vão atingir sua organização e não se vão atingi-la.
Em 2016 estimava-se que existiam cerca de 533 sistemas SAP em todo o mundo que estão potencialmente suscetíveis a vulnerabilidades já conhecidas como, por exemplo, a "servlet do Invoker". Relembrando que os sistemas SAP na sua maioria são utilizados por empresas listadas na Fortune 500 e acredito que seja uma questão muito importante para discutir.
Em um passado recente podemos relembrar exemplos notáveis de ataques cibernéticos cujo alvo principal foi o sistema ERP SAP, exemplos: (2012) ataque através de uma vulnerabilidade SAP no Ministério das Finanças grego realizado pelo grupo Anonymous, alegando ter roubado documentos e credenciais confidenciais, em protesto contra o agravamento da situação econômica na Grécia; (2013) o primeiro malware publicado, um programa de trojan que continha um código para examinar se a estação de trabalho infectada tinha aplicativos clientes SAP instalados, interceptando dados importantes, capturando as tela de logon, coletando dados críticos e enviando essas informações para o servidor do invasor, funcionando também como um keylogging para roubar senhas de entrada durante o logon; (2014) o site de atendimento ao cliente da NVidia foi provavelmente atacado em janeiro de 2014 devido a vulnerabilidade do NetWeaver utilizado pelo sistema SAP (já possuía patch de correção disponível a mais de 3 anos), a NVidia desativou o site de atendimento ao cliente por duas semanas para investigações; (2015) ataque a empresa americana USIS, um órgão federal que realizava verificações de antecedentes, o ataque explorou uma vulnerabilidades do sistema SAP gerenciado por terceiros, resultando em um incidente grave e mais de 27.000 identidades podem ter sido comprometidas, 2500 colaboradores foram desligados e pouco tempo adiante a empresa entrou com pedido de falência; (2016) o Departamento de Segurança dos EUA publicou o primeiro Alerta CERT-EUA referente à segurança cibernética SAP, onde os invasores usaram uma vulnerabilidade conhecida denominada “servlet do Invoker” para hackear em torno de 36 multinacionais entre os anos de 2013 a 2016.
Para apimentar um pouco mais as preocupações com o tema “SAP Security, Controls & GRC” as organizações estão realizando mais e mais integrações com fornecedores externos e utilizando novas tecnologias como acesso móvel ao ambiente SAP e a utilização de novos produtos como SAP FIORI, SAP UI5 (proprietária SAP) e OPEN UI5 (open source) que são bibliotecas javascript prontas para serem utilizadas para criar os aplicativos que funcionem em qualquer navegador e dispositivo aumentando a experiência do usuário final. Desta forma, as organizações necessitam adicionar novas ações de controle de acessos aos dados, garantindo a segurança destas informações e equilibrando a real necessidade da disponibilização para os colaboradores e terceiros de forma segura, disponível e integra.
Com o decorrer dos anos percebemos que o tema “SAP Security, Controls & GRC” ficou pulverizados entre áreas nas organizações, pois os temas são divididos entre os profissionais de tecnologia e controles como: time de infraestrutura focando na proteção dos hardwares; time de banco de dados focando na proteção das tabelas do banco; time de basis focando em proteger e bloquear as alterações no ambiente e nas conexões com outros sistemas; time de segurança da informação focando na proteção de segregação de funções e mapeamento de funções de negócio; time de controles internos focando em manter a matriz de risco e controles compensatórios; time de desenvolvimento focando no desenvolvimento de workbooks.
Portanto com a ausência de um especialista no tema com visão holística e sistêmica gerenciando uma ação integrada das equipes de tecnologia e controles sem o apoio dos executivos da organização, acaba enfraquecendo o resultado das ações realizadas com projetos estruturais com grandes investimentos financeiros e os temas acabam não sendo gerenciados adequadamente, expondo as organizações a riscos iminentes como; espionagem (vazamentos de informações sensíveis), sabotagem (liberação de produtos bloqueados por qualidade) e fraude (transferências ou pagamentos para fornecedores fictícios).
*Texto de Paulo Baldin - Coordenador de Auditoria Interna de Tecnologia da Informação na Natura - Entusiasta por Segurança da Informação
