Segurança da Informação: a falha do TI em alterar dados do ERP com comandos SQL

As empresas brasileiras, diariamente processam milhões de bytes em informação com os mais variados tipos de dados a serem armazenados nos bancos de dados existentes nas corporações. São utilizados inúmeros aplicativos de informática para gerenciar esse contingente todo de dados que são importantes tanto para o empresário como para o governo.

O mercado está repleto de soluções tecnológicas para suprir a necessidade de se armazenar e gerenciar um conteúdo cada vez mais importante para as atividades empresariais e para tanto, necessita acompanhar a evolução tecnológica garantido a integridade e a confiabilidade de seus sistemas de computadores, transparecendo cuidado e zelo para os clientes e acionistas.

Profissionais de TI são contratados todos os dias para conseguir manter esse ritmo de backup, desenvolvimento de sistemas, análise de vulnerabilidade dos aplicativos e outras funções bem específicas envolvendo banco de dados. Não se imagina mais uma empresa controlando os seus lançamentos contábeis nos históricos “livro caixa” ou algo semelhante. É necessário o uso da informática.

Passamos todo o tempo escutando que devemos criar senhas seguras para evitar um acesso não autorizado nos sistemas e assim, manter as informações confidenciais longe das pessoas que não precisam ter um acesso às informações sigilosas e que possam realizar alguma ação que traga prejuízo para a empresa.

Observamos nas empresas que os softwares de gerenciamento de informação, os conhecidos ERP (Enterprise Resource Planning) que são os sistemas integrados de gestão empresarial, não é qualquer usuário que consegue entrar no software e muito menos tem permissão livre para fazer o que bem entender na plataforma corporativa.

Normalmente, o responsável pelo setor de TI possui uma conta de acesso com permissões mais permissivas que uma conta de um usuário de qualquer outro setor. Entretanto, para efeito da premissa de Segurança da Informação, o responsável de TI deveria ter uma conta de acesso como usuário e sem permissão de alteração, inserção e muito menos conseguir deletar qualquer informação no banco de dados, através do sistema.

Não é função do TI ser usuário do sistema ERP. Na verdade, e esse ponto é muito difícil para que os empresários tenham em mente, é que o TI não faz parte do grupo de pessoas que precisam trabalhar no ambiente do ERP. TI não é usuário de ERP. No máximo é o setor de apoio para a empresa, digamos: Setor de TI é SUPORTE!

Entretanto, cansei de observar grandes gestores da informática recebendo solicitação de departamentos internos na empresa para fazer um “favor” em determinados casos, facilitando a vida dos verdadeiros usuários do ERP. Isso deveria ser crime!

O motivo dessa opinião é que como já disse, o TI não é usuário do sistema, e sim, é apoio. Na segurança da informação, deve existir um mecanismo para identificar as mudanças que ocorrem no banco de dados tais como um log, que fica registrado qual o usuário que alterou uma informação no banco de dados, que dia, que horas, motivo e outras informações importantes para contribuir para uma possível auditoria no futuro.

Contudo, profissionais de TI gostam de demonstrar que tem o “poder” na mão e realizam a façanha de usar as aptidões de SQL (quando o banco de dados é possível ser alterado por sql) e realiza as devidas alterações dos dados conforme solicitação de terceiros. Dessa forma, essa mudança de informação diretamente no banco fere o princípio da inviolabilidade, confidencialidade, integridade e autenticidade.

Uma pergunta que é necessário fazer: qual o sentido de existir um login e uma senha para acesso ao ERP e que cada login tem as suas permissões estabelecidas para configurar o que o usuário pode ou não pode fazer dentro do sistemas corporativo se é mais fácil burlar essas regras pedindo ao setor de TI que faças as alterações cujo usuário comum não pode?

As informações gravadas no banco de dados não são de autoria do pessoal de TI. Eu disse autoria. Não se discute a responsabilidade para atender o princípio da disponibilidade. O que eu tento levantar é que, mesmo tendo um DBA na empresa, ele não altera as informações gravadas pelos usuários. No máximo ele cuida da manutenção do banco de dados, quanto a sua estrutura, índices das tabelas e um possível “roll back” quando ele mesmo erra um comando de manutenção no banco.

Se um DBA que é o especialista em banco de dados não deve alterar os dados inseridos no banco, qual a razão para que os meros mortais em tecnologia o devem fazer?

Nesse caso, eu simplesmente vejo que o sistema ERP não tem mais a segurança devida pois se o setor de TI pode alterar as informações gravadas no banco, como confiar que uma determinada informação foi registrada por um usuário e posteriormente não foi alterada?

Até a próxima!

Como um administrador de redes pode monitorar o tráfego dentro de um switch gerenciável?

A informação é uma matéria-prima lapidada que se bem empregada, pode gerar um determinado conhecimento. O conhecimento gera uma perspectiva positiva ou negativa, dependendo de quem a possua. É como a eletricidade, ela pode servir para o bem ou para o mal. Ela pode dar a luz ou também pode matar, vai depender de como será utilizada. Se para o bem, servirá para iluminar os locais escuros. Para o mal, será utilizada para eletrocutar e matar alguém com choques intermináveis, como se fosse uma sessão de tortura de guerra.

Dentro de uma ambiente corporativo, existem diversos assuntos que são tratados utilizando a rede de computadores para que as informações sejam enviadas e recebidas pelas pessoas, transformando em conhecimento. Geralmente, a maior parte do conhecimento produzido em um ambiente de trabalho, tem como o objetivo as tarefas inerentes a cada função dentro da corporação, sejam elas meramente operacionais ou de cunho gerencial.

Entretanto, não é de se surpreender que determinadas informações acabam sendo trocadas entre funcionários ou pessoas desconhecidas fora do ambiente da empresa e que não deveriam ser divulgadas por se tratarem de informações sigilosas. É muito importante para as empresas terem um certo controle nas informações geradas fruto do trabalho de seus funcionários principalmente quando se trata de negócios novos ou produtos em lançamento. Basta um descuido e o protótipo é enviado ao concorrente por alguns milhares de dólares e pronto, o estrago está feito.

Quando se desconfia de algum funcionário ou determinado setor, a empresa possuindo dentro de suas políticas de segurança, com o devido conhecimento do funcionário quando ele entra para o cargo concorrido, que os computadores e e-mail podem ser monitorados, é ora do empresário agir e contar com o conhecimento técnico de seu responsável de TI para evitar prejuízos maiores a companhia. Resumindo: monitoramento.

O switch possui um papel fundamental dentro de uma rede de computadores e melhor ainda se ele for do tipo gerenciável. Esse recurso possibilita ao administrador da rede realizar um monitoramento do tráfego gerado em determinadas portas e verificar o que se passa dentro da infraestrutura de dados, que passa dentro do switch.

Com o devido acesso dentro do switch, basta ir nas configurações de porta onde tem a opção de criar “mirror”. Essa opção, você irá “copiar” o tráfego de uma determinada porta que será o alvo de monitoramento e fazer um espelho, que é o mirror, para a porta onde o seu notebook ou computador desktop está conectado no switch. Após criar o mirror, execute em sua máquina um programa de monitoramento de rede (como o wireshark, por exemplo) e capture os pacotes de dados por um determinado tempo, a fim de verificar posteriormente os dados que foram trafegados na porta alvo ou verifique em tempo real, adicionando determinados filtros no programa de monitoramento para saber se as suas suspeitas vão se concretizar.

É importante observar que nada adianta capturar os pacotes de dados se o profissional de TI não sabe analisar os dados capturados. É como procurar uma coisa que não sabe o que é. Nessa hora, é importante o conhecimento técnico e dedicado, que um pacote de dados mal analisado pode fazer toda a diferença no resultado.

Desse modo, não coloque meramente no seu currículo que você tem experiência em roteamento, firewall e segurança da informação, quando na verdade, você nem sabe qual a diferença entre pacotes TCP e UDP.

Até a próxima!

Confirmando a leitura de um e-mail com a ajuda de um “porco”

No mundo todo, milhares de e-mails são enviados pelos diversos servidores de e-mail existentes na internet, com o objetivo de levar a informação desejada do remetente ao destinatário. Infelizmente, muitos desses e-mails são os temíveis SPAM: mensagens indesejadas e que na sua grande maioria possui conteúdo publicitário.

Nem vou falar a quantidade de e-mail fake (falso) que é enviado aos coitados dos destinatários desavisados que acabam caindo em determinados golpes virtuais por falta de informação e atenção.

Em vários softwares de e-mail (os programas clientes) que os usuários utilizam para ler e enviar e-mails tais como o Outllook, Thunderbird, Lotus, etc, existem opções configuráveis para que seja possível o remetente receber uma confirmação de entrega e leitura por parte do programa de e-mail do destinatário.

Cada programa de e-mail cliente tem o seu local de configuração específico para essa finalidade, que no geral, atende a demanda dos usuários. Entretanto, tenho percebido que determinados administradores de servidores nas empresas, estão desabilitando a opção no servidor de e-mail corporativo para que não seja possível enviar um retorno ao remetente sobre a entrega ou leitura do e-mail por parte do destinatário.

Alguns argumentos são levantados por esses profissionais de TI como: evitar a ação dos spammers que enviam um e-mail para um endereço eletrônico na esperança de receber a confirmação de entrega e assim, validar aquele e-mail na maillist de spam. Outro argumento é sobre a privacidade do destinatário que não quer informar ao remetente qual o momento que foi realizado a leitura do e-mail enviado, ficando o remetente na eterna dúvida sobre a entrega e a leitura do e-mail enviado.

Entretanto, argumentos a parte, podemos resolver essa questão com uma método que é muito usado durante o processo de investigação pericial em crimes eletrônicos com o objetivo de saber se determinado e-mail utilizado para enviar material pornográfico ou com conteúdo ofensivo contra o destinatário ainda está em funcionamento. Usando um “porco”.

Isso mesmo, a técnica utilizada é inserir no corpo do e-mail, uma figura de um porco disponibilizada no site www.spypig.com que ele executará o script no momento que o destinatário abrir o e-mail. É muito simples de usar e garante bons resultados ao remetente que receberá uma confirmação de leitura com informações úteis como versão do browser do destinatário, sistema operacional e outras informações relevantes.

O SpyPig é um site que disponibiliza ao remetente a facilidade de ter uma confirmação de leitura do e-mail enviado independente da vontade do destinatário, querendo ou não, até porque nenhuma mensagem é exibida a ele para permitir ou não esse envio. Tudo é executado via scrpit que tem a sua ação iniciada na mera abertura do e-mail.

Utilize esse recurso e perceba a infinidade de benefícios que esse método de confirmação pode lhe proporcionar.

Até a próxima!

De quem é a culpa da lentidão do ERP: da equipe de infra ou sistema?

O uso de um sistema informatizado dentro de uma empresa traz enormes benefícios tanto para o empresário, que tem o seu controle financeiro e administrativo de forma organizada e otimizada, quanto o governo, que acompanha o movimento contábil e fiscal das empresas através da escrituração digital.

Esse processo é resultado da evolução da tecnologia combinado com a necessidade de se ter um maior controle das informações que são repassadas aos órgãos públicos e assim, facilitar a análise desses dados pelo governo.

Antigamente, o uso dos antigos livros caixas (nem sei se ainda tem empresa que usa essa modalidade – exceto as microempresas e as quitandas), aqueles livros que continham todo o histórico de entrada e saída da empresa, era obrigatório e necessário para uma eventual fiscalização por parte do agente público.

Entretanto, era muito moroso a fiscalização e existia uma enorme dificuldade em guardar esse livros em locais seguros e longe de traças e outros tipos de “bichos”. Hoje, com o uso de software que gerenciam as informações da empresa, os conhecidos ERP, fazem todo o trabalho fiscal e contábil, até mesmo na geração de notas fiscais eletrônicas.

Tudo fica registrado eletronicamente e através do ERP, qualquer tipo de consulta o relatório é gerado em poucos minutos e até em segundos, dependendo do volume e da complexidade da informações a serem pesquisadas.

Ocasionalmente, em determinados momentos, essa pesquisa no sistema de informática da empresa ou geração de um arquivo para ser enviado ao órgão público, pode ocasionar um certo atraso devido a uma lentidão no processamento das informações, levando ao usuário do ERP a registrar um atendimento no suporte da empresa para resolver esse atraso.

Inicia-se nesse momento uma discussão entre a equipe de infraestrutura e a equipe de sistemas em que cada um joga a culpa ao outro, sobre a culpa da lentidão no processamento das informações pesquisadas por parte do usuário da empresa. O pessoal de infra acusa que o ERP está lento devido o tamanho do banco de dados, tabelas não indexadas, falta de uma manutenção preventiva e outros motivos plausíveis.

Do outro lado, o pessoal de sistema se defende colocando a culpa na infraestrutura que está deficiente como o processamento do servidor não aguenta mais as necessidades do ERP, falta memória RAM, CPU ultrapassada, cabeamento de rede inadequado e outras desculpas que merecem atenção no caso concreto.

Contudo, o que precisa ser analisado é que tanto a equipe de sistemas como a de infra precisam arranjar uma solução pois o sistema ERP não roda sem a infra e não adianta ter a infra sem o sistema funcionando. Encontrar a solução em conjunto, nesse caso, ganha os profissionais de TI (pela proatividade em resolver) e ganha a empresa (que sabe que possui bons profissionais que resolvem os seus problemas de tecnologia).

Até a próxima!

O Profissional de TI precisa aprender a dizer “não”

O conhecimento é fundamental para realizar o progresso natural dentro de uma carreira construída com muito esforço, dedicação e empenho. E essa progressão na vida profissional, precisa ser bem planejada para evitar a frustração na carreira e evitar o que tem acontecido com frequência: a troca de área de atuação.

A questão é que bons profissionais estão mudando cada vez mais de área por falta de incentivos nas empresas onde trabalham, trocam constantemente os horários que deveriam ser de lazer por horas de trabalhos em troca de um minguado extra no final do mês ou até quem diga uma certa “compensação” nos locais de trabalho que utilizam o sistema de banco de horas. Nesse caso, o funcionário faz as “horas extras” e o funcionário ao invés de receber em valores o trabalho executado fora do expediente normal de trabalho, ele tira um dia ou algumas horas de folga para compensar esse trabalho extra.

O problema é que esse tipo de modalidade realmente não compensa para a maioria dos trabalhadores de TI pois quem trabalhou após o expediente, quer na verdade um reconhecimento por parte da empresa pelo seu esforço dedicado à companhia e que no futuro próximo, seja merecedor de um aumento de salário com base em suas tarefas em horário extra ou uma promoção de cargo.

Alguns profissionais de TI até gostam de trabalhar após o expediente pois preferem folgar em um determinado dia na semana. Cada um tem o seu pensamento mas já parou para refletir que o dia de folga não se aproveita do mesmo jeito que seria um dia de final de semana com a família?

Se folgar em dia da semana provavelmente seu companheiro ou companheira vai está trabalhando. Seus amigos vão está trabalhando. Como aproveitar o seu dia de folga na mesma intensidade se fosse um domingo, por exemplo?

O que na verdade vai acontecer é você achar que está “abafando” ficando na praia pegando aquele sol em plena manhã enquanto todo mundo está trabalhando. Sim, mas não esqueça que você está sozinho na praia. No fundo, você fica com um sentimento que deveria está trabalhando. Pior ainda para aqueles profissionais que dão aula a noite ou tem outro compromisso profissional em outro trabalho. A folga não vale de nada.

Portanto, é importante saber dizer não em determinados momentos para evitar esse tipo de situação. Lógico que muitos devem está pensando: “se eu disser um ‘não’, serei despedido, tenho que trabalhar até mais tarde fora do expediente”. Perceba que o “não” realmente não pode ser utilizado para qualquer momento mas tem coisas que a negativa tem que ser imposta, para evitar o stress desnecessário tanto para o profissional de TI como para o administrador de empresas.

Um exemplo esclarecedor que pode ser contornado pelo responsável dos sistemas de informática na empresa é quando em uma sexta-feira, faltando 1 hora para acabar o expediente, o seu chefe é comunicado pela empresa responsável pelo programa ERP que existe uma nova atualização no módulo de contabilidade e assim, ele quer que você faça a atualização no servidor para que todas os computadores estejam atualizados.

Nessa hora, é necessário cautela e coragem. Primeiro, essa atualização vai gerar produção ao setor beneficiado pela atualização após o expediente? Ou o seu chefe quer meramente que se atualize os sistemas para amanhecer na segunda-feira com o sistema atualizado? Ora de dizer “não” para o seu chefe propondo uma solução (alternativa). Informe os riscos de se atualizar um sistema no servidor no início de um fim de semana, se algum funcionário precisar trabalhar no sábado e o sistema acusar algum erro de funcionamento motivado pela atualização, é provável que você seja encontrado para trabalhar no fim de semana.

Solução plausível: atualize (quando possível) somente no computador do setor beneficiado pela atualização e deixe para atualizar no servidor no início da semana que vem. Se essa solução não for agradável, informe ao seu chefe os riscos de se atualizar e que a empresa pode não conseguir falar com você no fim de semana se houver necessidade. Fala que você está planejando um passeio com a família no final de semana para uma sítio que lá não pega sinal de celular.

Ele refletirá os riscos e com certeza, aceitará os seus argumentos e preferirá alterar o sistema quando você estiver por perto. Dessa forma, ele acabou aceitando o seu “não”, mesmo que indiretamente.

Até a próxima!

A importância de um ambiente de homologação

A economia gira em torno do consumo que a população realiza nos diversos países de nosso planeta, seja adquirindo produtos ou serviços. E as empresas, para conseguirem se manter no mercado e evitar a sua falência, tem que fazer o dever de casa bem feito como: planejar, controlar, cuidar, administrar, inovar… enfim, precisa de ferramentas tecnológicas para dar conta do recado.

O caminho natural é a compra ou o desenvolvimento próprio de softwares de gerenciamento do negócio para que o empresário saiba como anda as finanças de sua companhia, sem falar que é obrigatório em determinados segmentos da economia a emissão de nota fiscal eletrônica. Nem preciso mencionar que a evolução tecnológica chegou ao ponto que as informações fiscais e contábeis das empresas são enviadas para o governo através de arquivo digital, informações estas geradas por programas de informática.

Todavia, nada adianta ter toda a tecnologia se o empresário não se preocupar com a manutenção e com as atualizações dos sistemas existentes na empresa. É natural que a cada nova mudança na legislação, os softwares corporativos precisam se adequar e para isso, não há outra alternativa senão efetuar a tão temida “atualização”.

Esse é um momento crucial na vida corporativa pois basta realizar uma atualização do ERP (software de gestão corporativa) com algumas falhas de programação para que surja uma enorme dor de cabeça tanto para o profissional de TI que realizou a atualização assim como para o dono da empresa, que não pode correr riscos que levem a sua empresa à falência.

Tive a oportunidade de trabalhar em uma empresa que revendia software e eu era o responsável pelo departamento de testes de software da empresa, com 5 analistas e 1 programador. A responsabilidade era tão grande que bastava um erro matemático no programa em centavos, que poderia levar a uma perda de faturamento diário muito grande, devido ao grande giro de capital que o software controlava.

Um certo dia, fazendo um teste rotineiro, resolvi testar uma função do sistema que para muitos pode ser bem simples. Entrei no software e executei a função “abertura de caixa” (função essa que no comércio seria o inverso do relatório Z, Y, X… que ao final do dia você tira um “razão” do caixa e confere o movimento do dia, verificando o registro no sistema com os valores recebidos). Essa abertura quer dizer que o estabelecimento está abrindo o seu funcionamento e o valor do caixa inicial será o indicado no sistema.

O sistema indicava saldo de R$ 10,00 de caixa inicial (muito útil para ter um saldo inicial que permite troco) e “sangrei” R$ 9,00 (nove reais) no caixa a título de empréstimo. Mesmo achando improvável, sabendo que o sistema indicava saldo inicial agora de R$ 1,00 devido ao “empréstimo” realizado, tentei sangrar mais R$ 9,00 (nove reais) e para a minha surpresa, o sistema PERMITIU! No mesmo instante, abrir um registro de não conformidade, comuniquei a empresa detentora do software o que impossibilitou de atualizar o sistema no cliente final por conta dessa função que estava errada.

Com isso, a importância de se fazer um ambiente de teste antes de se efetivamente atualizar no ambiente de produção é fundamental para qualquer empresa e qualquer software, mesmo os mais simples como o próprio Sistema Operacional. Quem não se lembra de uma atualização de um determinado fabricante de software que após a atualização, milhares de máquinas se recusavam a iniciar?!

O ambiente de homologação deveria ser obrigatório nas empresas e é claro, a sua fiscalização também. Entretanto, com o mercado voraz e a concorrência do mercado muito acirrada, atrasos em atualizações podem gerar prejuízos financeiros nas empresas o que leva a muitos empresários a decidir em atualizar os softwares diretamente no ambiente de produção para corrigir determinados problemas, sem analisar que com essa ação, estará ocasionando em outros problemas e deixando os sistemas vulneráveis.

E você, na sua empresa já implantou um ambiente de homologação?

Até a próxima!

O uso de software proprietário pela Administração Pública: uma decisão de retrocesso a sustentabilidade e a economia

Eu tive a oportunidade de publicar mais um artigo na Revista Espírito Livre e dessa vez o tema é sobre o uso de software livre pela administração pública, levantando o viés sobre a relação entre determinados fabricantes de software proprietário com órgãos públicos que impedem o uso de software livre.

O artigo completo você lê na página 26 da revista no link:

http://www.revista.espiritolivre.org/lancada-edicao-n-50-da-revista-espirito-livre

Ou o link direto para download:

Revista Espírito Livre – Roney Medice

Boa leitura.

Até a próxima!