Segurança da Informação: a falha do TI em alterar dados do ERP com comandos SQL

As empresas brasileiras, diariamente processam milhões de bytes em informação com os mais variados tipos de dados a serem armazenados nos bancos de dados existentes nas corporações. São utilizados inúmeros aplicativos de informática para gerenciar esse contingente todo de dados que são importantes tanto para o empresário como para o governo.

O mercado está repleto de soluções tecnológicas para suprir a necessidade de se armazenar e gerenciar um conteúdo cada vez mais importante para as atividades empresariais e para tanto, necessita acompanhar a evolução tecnológica garantido a integridade e a confiabilidade de seus sistemas de computadores, transparecendo cuidado e zelo para os clientes e acionistas.

Profissionais de TI são contratados todos os dias para conseguir manter esse ritmo de backup, desenvolvimento de sistemas, análise de vulnerabilidade dos aplicativos e outras funções bem específicas envolvendo banco de dados. Não se imagina mais uma empresa controlando os seus lançamentos contábeis nos históricos “livro caixa” ou algo semelhante. É necessário o uso da informática.

Passamos todo o tempo escutando que devemos criar senhas seguras para evitar um acesso não autorizado nos sistemas e assim, manter as informações confidenciais longe das pessoas que não precisam ter um acesso às informações sigilosas e que possam realizar alguma ação que traga prejuízo para a empresa.

Observamos nas empresas que os softwares de gerenciamento de informação, os conhecidos ERP (Enterprise Resource Planning) que são os sistemas integrados de gestão empresarial, não é qualquer usuário que consegue entrar no software e muito menos tem permissão livre para fazer o que bem entender na plataforma corporativa.

Normalmente, o responsável pelo setor de TI possui uma conta de acesso com permissões mais permissivas que uma conta de um usuário de qualquer outro setor. Entretanto, para efeito da premissa de Segurança da Informação, o responsável de TI deveria ter uma conta de acesso como usuário e sem permissão de alteração, inserção e muito menos conseguir deletar qualquer informação no banco de dados, através do sistema.

Não é função do TI ser usuário do sistema ERP. Na verdade, e esse ponto é muito difícil para que os empresários tenham em mente, é que o TI não faz parte do grupo de pessoas que precisam trabalhar no ambiente do ERP. TI não é usuário de ERP. No máximo é o setor de apoio para a empresa, digamos: Setor de TI é SUPORTE!

Entretanto, cansei de observar grandes gestores da informática recebendo solicitação de departamentos internos na empresa para fazer um “favor” em determinados casos, facilitando a vida dos verdadeiros usuários do ERP. Isso deveria ser crime!

O motivo dessa opinião é que como já disse, o TI não é usuário do sistema, e sim, é apoio. Na segurança da informação, deve existir um mecanismo para identificar as mudanças que ocorrem no banco de dados tais como um log, que fica registrado qual o usuário que alterou uma informação no banco de dados, que dia, que horas, motivo e outras informações importantes para contribuir para uma possível auditoria no futuro.

Contudo, profissionais de TI gostam de demonstrar que tem o “poder” na mão e realizam a façanha de usar as aptidões de SQL (quando o banco de dados é possível ser alterado por sql) e realiza as devidas alterações dos dados conforme solicitação de terceiros. Dessa forma, essa mudança de informação diretamente no banco fere o princípio da inviolabilidade, confidencialidade, integridade e autenticidade.

Uma pergunta que é necessário fazer: qual o sentido de existir um login e uma senha para acesso ao ERP e que cada login tem as suas permissões estabelecidas para configurar o que o usuário pode ou não pode fazer dentro do sistemas corporativo se é mais fácil burlar essas regras pedindo ao setor de TI que faças as alterações cujo usuário comum não pode?

As informações gravadas no banco de dados não são de autoria do pessoal de TI. Eu disse autoria. Não se discute a responsabilidade para atender o princípio da disponibilidade. O que eu tento levantar é que, mesmo tendo um DBA na empresa, ele não altera as informações gravadas pelos usuários. No máximo ele cuida da manutenção do banco de dados, quanto a sua estrutura, índices das tabelas e um possível “roll back” quando ele mesmo erra um comando de manutenção no banco.

Se um DBA que é o especialista em banco de dados não deve alterar os dados inseridos no banco, qual a razão para que os meros mortais em tecnologia o devem fazer?

Nesse caso, eu simplesmente vejo que o sistema ERP não tem mais a segurança devida pois se o setor de TI pode alterar as informações gravadas no banco, como confiar que uma determinada informação foi registrada por um usuário e posteriormente não foi alterada?

Até a próxima!

Anúncios

Por quê o BYOD assusta muito gestor de TI nas empresas?

Cada vez mais as pessoas utilizam a tecnologia para auxiliar em suas tarefas diárias, desde o simples ato de acordar com o alarme de um celular que muita das vezes é utilizado como despertador até responder os e-mails corporativos dentro do ônibus ou aeroporto, através do tablet ou smartphone.

A facilidade com que a tecnologia proporciona nos dias de hoje traz uma série de benefícios para os usuários e frequentadores assíduos desses equipamentos eletrônicos que para muita gente é difícil viver sem eles. Logicamente, tem o próprio mercado que “dita” o que devemos usar e nos ilude com situações que nos força a acreditar que precisamos adquirir determinados equipamentos para resolver problemas mais facilmente ou problemas que ainda nem temos mas que poderemos ter.

As empresas estão observando nos seus funcionários a utilização de várias tecnologias como o Windows, Linux, Mac no ambiente corporativo e em algumas delas, os empregados já fazem o uso de dispositivos móveis para trabalhar no horário do expediente, dentro da corporação e fora dela.

Esse comportamento é caracterizado pelo BYOD (Bring Your Own Device) que traz a concepção do funcionário levar o seu dispositivo eletrônico pessoal para dentro do ambiente de trabalho sem que haja a necessidade da empresa adquirir o equipamento eletrônico. Nessa situação, a permissão da companhia em deixar o empregado usar o próprio dispositivo reflete na redução de custos operacionais para comprar o equipamento e permitir ao funcionário para que ele continue a trabalhar fora da empresa.

Entretanto, um dos fatores que assusta muito gestor de TI nas empresas com a prática do BYOD é a segurança da informação. Para o empresário, é muito cômodo permitir que o funcionário dele leve para o trabalho o tablet pessoal para utilizar no ambiente corporativo como uma ferramenta de trabalho, onde os e-mails de reuniões e de clientes serão respondidos no próprio equipamento eletrônico. Afinal, qual empresa que não gostaria que o seu parque tecnológico fosse todo dos próprios funcionários? Assim, não teria o custo de aquisição de computadores e afins.

Todavia, o bom gestor de TI que tem a visão da segurança da informação vai indagar algumas variáveis com a chefia para mediar essa prática do BYOD dentro da companhia. Quando o funcionário leva de casa o smartphone para o trabalho, por exemplo, ele está usando o celular dentro da empresa para realizar algumas tarefas corporativas e ao mesmo tempo, esse equipamento possui informações pessoais do colaborador como fotos de eventos, e-mails particulares e todas as contas das redes sociais cadastradas no aparelho.

O contrário também é verdadeiro. Ao deixar a empresa após o término da jornada de trabalho, a conta do e-mail corporativo assim como todos os e-mails vão junto com o funcionário para a casa. Desse modo, caso o funcionário perca esse celular ou seja assaltado, vai existir um grande problema para a empresa pois existem dados confidenciais dentro do aparelho que nas mãos erradas, podem falir uma empresa.

Existem milhares de funcionários que não criam nem ao menos uma senha de bloqueio de tela do celular. Imagine esse equipamento nas mãos erradas? É uma mina de ouro de informações confidenciais corporativas que só existem ali devido a prática do BYOD. Não sou contra o uso, até porque eu mesmo faço parte das pessoas que permito o BYOD, desde que com as devidas orientações aos funcionários e algumas medidas simples para preservar as informações contidas nos equipamentos móveis.

O gestor de TI é na verdade um gestor da informação. Ele sabe onde estão as informações, para onde vão e como encontrar. E na perda delas, qual atitude a ser tomada para minimizar o impacto e as consequências para a empresa. Não se pode engessar uma empresa por conta do tradicionalismo ou por não acreditar na mobilidade. Já faz parte do nosso cotidiano e o nosso papel é fazer acontecer em nossas empresas de uma forma organizada e segura.

Da próxima vez que o seu chefe sugerir a utilização do BYOD na empresa, não seja contrário de imediato. Até porque, as vezes, o gestor de TI nega o uso por simplesmente desconhecer o que é BYOD!

Até a próxima!