Um Sistema de Gestão Empresarial bem utilizado pode ser uma poderosa ferramenta em prol dos negócios e da proteção aos dados. Mas se for aplicado de forma precária, pode abrir muitas brechas para ataques hackers.
Nos dias de hoje é praticamente impossível pensar que uma empresa de médio porte não possua um ERP (Enterprise Resource Planning ou, em português, Sistema de Gestão Empresarial), adquirido de um fornecedor de tecnologia ou desenvolvido internamente.
Obviamente estes ERPs estão recheados de informações de produtos, fornecedores, clientes e em especial de dados pessoais, principalmente de funcionários, fornecedores e clientes.
Sabe aquelas tabelas chamadas de cadastro de funcionários, cadastro de currículos, relação de clientes, com nome, cargo, endereço? Pois é, essas informações ou estão no ERP ou no CRM (Customer Relationship Management ou, em português, Gestão de Relacionamento com o Cliente)
Um banquete para não convidados
Provavelmente o grau de segurança cibernética em empresas de menor porte seja menor, mas as informações que podem ser extraídas valem muito para um hacker.
Pois é, já imaginou que informações sobre dez, cem, mil vendedores, como local onde trabalham, nome, CPF, remuneração e outros dados pessoais sensíveis, podem simplesmente ser extraídos e utilizados por terceiros?
Talvez você que lê meu artigo esteja pensando que o que escrevo aqui não se aplica a sua empresa. Ao meu ver, só não se aplica se ela possui um ERP de ponta, profissionais extremamente qualificados, treinamento contínuo em gestão e proteção de dados pessoais, moderníssimo sistema de detecção de comportamento pessoal, capaz de emitir um alerta quando regras de negócios são violadas e dados estão sendo extraídos. Caso contrário, se aplica sim.
Sua empresa ainda não chegou neste nível?
Bem, se ela ainda não atingiu o alto nível citado acima, vamos ver o que pode ser feito. Afinal, acredito que ainda dê tempo, até agosto de 2020, de rever processos de negócios e de acesso aos sistemas, fazer um inventário completo de todas as aplicações internas e externas, e avaliar as medidas de segurança e proteção de dados.
Mantendo o foco no sistema de gestão empresarial, o primeiro passo é saber, além das tabelas, arquivos e cadastros que o seu ERP originalmente possui, quais são as outras tabelas existentes.
Não importa se o ERP da sua empresa é de mercado ou desenvolvido internamente, a questão aqui é como eliminar essas vulnerabilidades, e de que forma controlar o acesso a essas tabelas. Por exemplo, é impossível manter um sistema de ERP padrão, sem nenhuma customização, sem uma única tabela fora do dicionário de dados padrão do sistema ERP.
Os fabricantes, sem dúvida, trabalham diariamente para contenção de vazamento de dados em sua estrutura padrão, o que ajuda muito. Mas quem cuida da segurança das tabelas “Z” escritas em milhões de linhas de código?
A solicitação diária dessas informações faz parte da vida da empresa, assim como a segurança das mesmas também fará parte dos processos de negócios empresariais.
O que fazer então?
Para evitar que as vulnerabilidades ocorram não é necessário contratar novos funcionários para TI ou uma empresa de consultoria internacional para resolver a questão, basta iniciar um simples inventário dos sistemas que se encontram nessa situação, analisar o processo como um todo, quem pediu a informação, por que pediu a informação e como ela será utilizada e descartada.
A LGPD – Lei Geral de Proteção de Dados Pessoais vem para ajudar as empresas e não para punir. Passamos da hora de nos preocuparmos com a segurança da informação em nossas empresas e criarmos uma nova cultura voltada à segurança de dados.
LGPD
O impacto da LGPD deve ser para melhorar os processos internos, mudar a forma de armazenar e tratar as informações, trazer novas regras e responsabilidades, fazendo com que, no final, a empresa se torne mais confiável e essa confiança seja repassada em seus produtos e serviços.
Colocar um certificado de adequação à LGPD, na recepção da empresa, ou contratar um seguro contra vazamento de dados não resolverá a questão.
O Brasil está sempre no ranking dos mais atacados por hackers. Nossos dados pessoais são violados diariamente, é comum você receber uma ligação em que o interlocutor já tem o número de seu CPF, CEP, idade e em alguns casos o nome de sua mãe e do seu pai e, é claro, o seu telefone.
A transformação digital nos trouxe este novo cenário. Na medida em que novos aplicativos são desenvolvidos e instalados em smartphones, novos dispositivos de coleta e armazenamento de dados são inseridos em nossas empresas. Arrisco dizer que são poucos os projetos que consideram o tema segurança e proteção de dados.
No Brasil, quando os ERPs começaram a ser comercializados em maior escala para as PME´s, no fim da década de 80, um dos grandes argumentos de venda era citar que o sistema era totalmente integrado, uma única base de dados. Hoje essa integração tem que ser analisada quando o conteúdo é dado pessoal e, dependendo da integração, é preciso fazer uma segregação e adotar tratamentos específicos para cada caso.
Uma nova cultura nasce em busca da transparência, ética, responsabilidade e entrega de valor não somente aos clientes, mas principalmente a toda sociedade. Podemos, assim, chamar isso de cultura da segurança da informação e proteção de dados.
E podemos começar com o que sabemos e temos em nossos silos de dados, adotar metodologias extremamente úteis e disponíveis no mercado. Iniciar pelo simples e, desta forma, dar o primeiro passo para essa nova jornada de segurança e proteção dos dados, que resultará no conhecimento do ativo mais precioso que uma empresa poderá ter no futuro: os dados.
Fonte: Serpro
