Escolar Documentos
Profissional Documentos
Cultura Documentos
Engenharia de Computação
Itatiba
2012
FABIO BURIOLI RAPHAEL – R.A. 002200700094
Itatiba
2012
À minha Família: essencialmente Pai, Mãe e Parceira,
razão de meu empenho, dedicação e motivação.
AGRADECIMENTOS
Steve Jobs
RESUMO
A tecnologia permeia cada vez mais a inteligência das informações. Em tal contexto
constituiu-se a idéia de ERP – os sistemas relacionados à gestão de empresas. Neste cenário
que podemos destacar o ERP SAP, atualmente líder no mercado mundial de sistemas de
gestão empresarial, e podemos destacar seu excelente trabalho no que diz respeito à evolução
da segurança disponível no sistema. A segurança do ERP não só é importante para a
integridade do sistema e sua invulnerabilidade de dados, mas também exerce papel crucial em
auditorias que visam a padronização dos sistemas dentro de normas internacionais. Neste
contexto, propõe-se a apresentação de um estudo que possa apresentar ao público a dinâmica
fundamental de funcionamento do ERP SAP, de modo que aspectos sobre sua segurança
possam ser discutidos. Como tal, apresentam-se as melhores práticas e configurações em prol
de atingir este objetivo. Ao apresentar-se os erros a serem evitados, evidencia-se também um
modelo de implementação SAP efetiva e segura. Tão importante quanto, associo parte do
sucesso na segurança de TI às metodologias ágeis, e que nível de influência elas devem
exercer na instalação e suporte do ERP SAP. Desta forma, é proporcionada uma noção geral
sobre as principais metodologias ágeis cujos conceitos podem permear uma implementação de
sucesso. Fechando a sequência de entendimento do tema, apresenta-se quais são as medidas
que devem ser adotadas em prol de manter um ambiente cujas condições ideais foram
atingidas, e as conclusões e ganhos oriundos dos conceitos e conhecimentos aplicados.
Key words: SAP, Information Technology, IT, Security Information, ERP, Methodologies.
LISTA DE ILUSTRAÇÕES
HP Hewlett Packard
TI Tecnologia da Informação
SUMÁRIO
1 INTRODUÇÃO
2 OBJETIVOS
3 METODOLOGIA
Para que sejam apresentados resultados efetivos, um roteiro para o trabalho acadêmico
foi traçado de modo que as informações apresentadas estabeleçam uma base para as
conclusões desejadas, que por sua vez vão introduzir a novos temas até que seja atingido o
alvo desta pesquisa acadêmica: a fundamentação de uma implementação segura utilizando
SAP.
Sendo que o trabalho acadêmico não deve ser restringido a públicos-alvo específicos,
é interessante que a pesquisa se dê início em prol de viabilizar uma noção sobre o surgimento,
dinâmica, e participação do ERP SAP no mercado. Tendo estabelecido o seu papel na
inteligência de informação de empresas e corporações, apresentar-se-á os principais conceitos
de segurança em TI, de modo a disparar o início do entendimento sobre a importância de um
ERP seguro.
Tendo proporcionado a fusão destes conceitos, obtém-se embasamento para se
discorrer sobre as ameaças existentes à implementação e manutenção segura do SAP, que
serão enumeradas, explicadas e fundamentadas, apontando as fases de projeto relevantes e
momentos do suporte ao ambiente onde os maus procedimentos e estratégias podem dar lugar
a prejuízos futuros na corporação contratante. Consecutivamente, planeja-se aproveitar este
elo de explicação e raciocínio para que haja a pesquisa e apresentação de um modelo de
implementação SAP efetiva e segura.
Antes que o último assunto mencionado acima seja exaurido, planeja-se e é importante
relacioná-lo com o conceito de metodologias ágeis, e que nível de influência elas devem
exercer na instalação e suporte do ERP SAP. Desta forma, será proporcionada uma noção
geral sobre as principais metodologias ágeis cujos conceitos podem permear uma
implementação de sucesso, e detalhar de maneira mais minuciosa as cláusulas destas políticas
que de fato vão influir não só nas boas práticas de utilização do sistema, mas na reciclagem e
bom planejamento de processos de negócio para o cliente, que devem sempre visar
funcionalidade armada de simplicidade.
Havendo detalhado os principais pontos de estudo e atenção em prol da
implementação e boas práticas de segurança no ERP SAP, será apresentada a importância de
se manter um cenário oriundo desta boa implementação. Fundamentada esta importância,
apresenta-se uma série de boas práticas de suporte e gerenciamento seguro do SAP já
instalado numa corporação, gerando sustentabilidade e sucesso ao negócio do cliente.
15
Ainda antes da evolução dos sistemas ERP ocorrerem conforme dito anteriormente e
chegarem ao patamar em discussão, a empresa SAP foi lançada, sob o nome de “Systems
Applications and Products in Data Processing”. Fundada por cinco membros, sendo eles
KlausTschira, ClausWellenreuther, Hans-Werner Hector, Hasso Plattner e Dietmar Hopp,
iniciou seus negócios na Alemanha, onde tinha o objetivo claro de desenvolver um software
que permitiria a integração entre negócios em tempo real.
O objetivo foi alcançado. Em cerca de um ano, a SAP lançou o sistema que entrou
para a história sob o nome de “R/1”. Sendo um sistema de contabilidade financeira pronto, foi
18
o alicerce para os aprimoramentos que vieram em seguida. O subsequente “R/2” acabou por
vir ao mercado no fim dos anos 70, porventura da evolução relacionada aos bancos de dados
IBM, utilizados no sistema. Foi com esta continuidade evolutiva que, ao final da década de
80, o SAP R/2 já lidava com moedas internacionais, logicamente tendo o sistema já traduzido
para vários idiomas.
Já o conceito cliente-servidor foi introduzido na metodologia SAP em meados dos
anos 90, sendo batizado de SAP “R/3”. Conforme afirmado por Linkies (2010), o sistema
manteve seu alto nível de estabilidade, visto não somente pela objetividade de sua interface
gráfica, mas também pela capacidade de ser executado nos computadores de diferentes
fornecedores, por exemplo. O sucesso da aplicação deste conceito cliente-servidor foi tão
grande, que até hoje podemos verificar que este tipo de arquitetura é o padrão nos projetos de
software que adentram o mercado. Adicionalmente, é válido mencionar que nesta mesma
década a SAP já contava com uma média de mil clientes a mais, tendo efetuado quase dez mil
implementações pelo mundo todo. Nos degraus evolutivos, é o sistema R/3 (atualmente em
sua versão 6.0) que é apontado como o “estado da arte” entre os sistemas ERP, e terá sua
configuração de parâmetros de segurança abordados neste estudo acadêmico.
5 FUNDAMENTOS DE SEGURANÇA EM TI
Sendo um assunto cada vez mais discutido dentro das esferas da tecnologia, e também
um dos conceitos básicos ao entendimento completo deste trabalho acadêmico, é válido que
sejam visitados os fundamentos da segurança em TI, antes mesmo de moldá-la às
necessidades do ERP SAP. Por mais que o SAP seja uma ferramenta extremamente robusta,
muitas das bases e alicerces para sua implementação - e principalmente manutenção - segura
estão alocadas nas boas práticas que remetem aos fundamentos de segurança em TI. Ou seja:
antes de despender-se tempo investindo em configurações agressivas direcionadas à
segurança da informação, deve-se garantir que as práticas mais básicas – tal como uma
simples política de troca de senhas a ser respeitada pelos usuários – devem ser compreendidas
para um cenário e comprometimento ideal para com a segurança da tecnologia.
Segundo Meireles (2004), vivemos em um mundo globalizado, com o espaço
geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação,
independente do seu formato, é um dos maiores patrimônios de uma organização moderna,
sendo vital para quaisquer níveis hierárquicos e dentro de qualquer instituição que deseja
manter-se competitiva no mercado. Considerada um ativo importantíssimo para a realização
do negócio, a informação deve ser protegida e gerenciada.
Nas últimas décadas, as maneiras com a qual informação e comunicação se
manifestam na tecnologia têm evoluído de forma rápida, melhorando a rapidez e eficiência
nas tomadas de decisão das organizações. Devido a este fato, as chances de uma empresa não
usar sistemas de informação tornou-se praticamente nula. Neste contexto a importância de se
utilizar mecanismos de segurança e de armazenamento das informações é vital para a
sobrevivência e competitividade destas organizações.
No passado, a questão segurança da informação era muito mais simples, pois os
arquivos contendo inúmeros papéis podiam ser trancados fisicamente. Porém, com a chegada
das tecnologias da informação e comunicação, a questão ficou bem mais complexa: hoje a
maioria dos computadores conecta-se a internet e consequentemente a internet conecta-se a
eles. Além disto, sabemos que dados em formato digital são portáteis, e este fato fez com que
estes ativos se tornassem atrativos para ladrões. Como se não bastasse, existem inúmeras
situações de insegurança que podem afetar os sistemas de informação como incêndios,
alagamentos, problemas elétricos, poeira, fraudes, uso inadequado dos sistemas, engenharia
20
social, guerras, sequestros, etc. Desta forma, podemos dizer que não existe segurança
absoluta, e torna-se necessário agirmos no sentido de descobrir quais são os pontos
vulneráveis e a partir daí avaliar os riscos e impactos, rapidamente providenciando para que a
segurança da informação seja eficaz.
O que vemos na prática é que, infelizmente, muitas empresas não dão o devido valor a
esta questão, e por muitas vezes o preço torna-se muito alto. Conforme Meirelles (2004), o
melhor caminho é reduzir ao máximo quaisquer riscos às informações, seguindo um trajeto no
sentido único de manter a integridade e a disponibilidade dos sistemas de informação. Para se
implantar uma eficaz segurança da informação dentro de uma organização devemos ficar
atentos para algumas questões, tais como uma boa análise de riscos, a definição da Política de
Segurança, e por fim um plano de contingência.
A análise de riscos basicamente visa a identificação dos pontos de riscos aos que a
informação está exposta, identificando desta maneira quais os pontos que necessitam de maior
empenho em proteção. Segundo uma boa definição de Linkies (2010), pode-se dizer que a
política de segurança da informação é a formalização explícita de quais ações serão realizadas
em um sentido único de garantir a segurança e disponibilidade dos dados e sistemas. Esta
política é de extrema importância, uma vez que descreve as regras necessárias para o uso
seguro dos sistemas de informação. Os planos de contingência também possuem papel
fundamental, pois descrevem o que deve ser feito em caso de problemas com as informações.
Nota-se que normalmente as pessoas são o elo mais frágil quando o assunto é
segurança da informação. As soluções técnicas não contemplam totalmente sua segurança, e
desta forma torna-se necessário cuidar com muita cautela para que os conceitos pertinentes à
segurança sejam compreendidos e seguidos por todos dentro da organização, inclusive sem
distinção de níveis hierárquicos.
Uma vez identificados os riscos aos quais as informações estão expostas, deve-se
imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um
nível aceitável de segurança. Os sistemas ERP, que nos moldes corporativos atuais detém a
maior massa crítica de informações sensíveis a negócio, devem previsivelmente atravessar por
estes processos de cuidado descritos. Como tal, a sequência lógica de raciocínio e construção
de entendimento neste trabalho acadêmico irá direcionar-se a focar em tais sistemas ERP, de
modo a estabelecerem-se suas premissas para segurança, possíveis ameaças, e boas práticas
para proteção.
21
Quando uma empresa atribui sua inteligência a um sistema de gestão ERP, verifica-se
sem dúvida um grande avanço para as companhias que buscam evoluir no uso da tecnologia
da informação e crescer de forma sustentável. Como requerem investimentos consideráveis
por parte das empresas, é natural que o foco dos gestores de TI ao acompanhar o processo de
implementação seja o de ter o sistema funcionando o mais rápido possível, gerando menores
custos e informações que tragam retorno para o negócio. Por esse motivo, é comum encontrar
empresas que acabam deixando de lado um fator crítico para toda a implantação, e que pode
ter consequências terríveis caso não seja avaliado com a devida atenção: a segurança da
informação.
Segundo Linkies (2010), é inegável que a implementação de um ERP vai a fundo nos
processos de negócios de uma empresa, que são muitas vezes revistos e uma série de novas
funcionalidades e conexões são estabelecidas. Com tantas mudanças, é natural que algumas
“portas” sejam abertas para a entrada de vírus e malwares. Caso não esteja devidamente
protegida, a empresa pode enfrentar as consequências terríveis trazidas por estes males, que
vão desde a perda de informações vitais até o roubo de dados confidenciais que podem levar,
consequentemente, à perda de faturamento e de credibilidade da marca envolvida. Casos
constantes de invasão de hackers a grandes corporações comprovam a veracidade deste
cenário.
Além de ser muitas vezes negligenciada pela área de TI da empresa, a falta de foco em
segurança das consultorias contratadas para a implantação de sistemas ERP tornam o
problema ainda mais grave. A maioria delas conta com uma série de metodologias, mas que
visam sempre a implementação em si e a obtenção do retorno financeiro desejado pelo cliente.
Os recursos de proteção que são essenciais para manter a rede 100% segura após a entrada do
software geralmente não fazem parte do “checklist” da maioria dos profissionais. Por isso, na
hora de avaliar o investimento em um ERP, é fundamental que a empresa leve em
consideração também a infraestrutura de hardware e software necessária para a segurança das
informações corporativas, incluindo a integração do antivírus com o novo sistema e quaisquer
outros aplicativos e periféricos que se façam necessários.
A alta disponibilidade e tratamento adequado do tráfego de dados também faz parte do
conjunto de segurança da informação que deve ser levado em consideração. Contar com uma
22
A automatização das atividades de controles, tal como ocorre com o uso de sistemas
ERP, trouxe às organizações novos desafios na gestão de riscos, uma vez que a concessão
inadequada de acesso ao sistema pode levar concentração de poder aos usuários, elevando os
riscos operacionais. Válido lembrar, os custos gerados pelas fraudes empresariais representam
uma ameaça para a estabilidade financeira e imagem das empresas em diversos setores. Com
o intuito de preservação de seu patrimônio, elas têm buscado meios mais eficazes para
23
analisar esse risco e de prevenir, detectar e investigar esse problema. Assim, os processos de
tratamento e análise, prevenção e detecção de fraudes tanto internas quanto externas, são
necessários tanto para evitar, antecipar os riscos de fraudes ou constatar a sua existência em
operações internas e/ou externas.
Segundo Linkies (2010), a segregação de funções consiste na separação entre as
funções de autorização, aprovação de operações, execução, controle e contabilização, de tal
maneira que nenhum funcionário detenha poderes e atribuições em desacordo com este
princípio de controle interno. Além disso, proíbe o usuário de, exercendo certa atividade,
executar outra atividade que ao mesmo tempo implique em risco operacional para o negócio.
Uma hierarquia organizacional é criada e reflete a estrutura dos papéis desempenhados pelos
colaboradores dentro da organização.
Com uma gestão de identidades e acesso eficaz, é possível administrar as funções de
concessão e negação de acesso às informações, aos sistemas e aos equipamentos críticos de
uma empresa. A gestão rígida e efetiva do acesso com base em práticas de controle e
segregação de funções possibilita acesso seguro e rápido de funcionários autorizados e, ao
mesmo tempo, restringe a entrada de intrusos ou funcionários não autorizados. Mas, para que
os controles funcionem de maneira adequada, é extremamente importante que as pessoas
tenham treinamentos corretos nos sistemas de informação e conscientização nos temas de
segurança da informação.
processo dentro do ERP que será utilizado, antes que seja fornecido qualquer acesso aos
serviços ou informações.
O treinamento dos usuários finais é uma atividade vital da implantação. As pessoas
que estão à frente da implantação, sejam elas parte integrante da organização a ser implantado
o ERP ou sejam os consultores dos usuários, precisam certificar-se que os usuários finais
estejam plenamente aptos a operar tal sistema, e isso se faz através dos treinamentos. Cícero
(2008) fala que “o treinamento pode envolver apenas atividades como entrada de dados, ou
pode envolver todos os aspectos do uso adequado de um novo sistema”.
Sistemas ERP, que são "amarrados" em uma plataforma de banco de dados e muitas
vezes contêm várias interfaces para outros aplicativos, que também auxiliam na execução de
processos de negócios sensíveis, tais como financeiro, vendas, produção, despesas,
faturamento e folha de pagamento, portanto os ataques estrategicamente direcionados a estes
periféricos são gravemente prejudiciais à segurança, e por consequência financeiramente.
Segundo Fernandes (2008), eles estão se tornando alvos porque os invasores estão
percebendo que as aplicações não são mais uma caixa preta, e que contém a informação
comercial mais sensível. Como tal, o senso de lógica de um criminoso virtual irá induzí-lo a
um ataque que não precisa quebrar os servidores ERP mais robustos, já que muitas vezes há
acúmulo de informações comerciais sensíveis nos próprios aplicativos de interface periféricos.
Empresas pensam que, especificando a segregação de funções entre os usuários desses
aplicativos - tal como busca-se na utilização dos ERP - estão protegendo-os de uma violação.
No entanto, quase nenhuma das empresas nota que precisa-se proteger os componentes
tecnológicos destas plataformas em si, que podem levar atacantes anônimos e remotos a
invadirem os sistemas e invalidarem todos os investimentos em segurança de uma companhia
empresarial.
26
Analistas e consultores possuem consenso sobre alguns pontos fundamentais para não
ter problemas, e poderem protagonizar uma implementação SAP que se dá seguindo
parâmetros seguros e entregará uma solução efetiva para otimização de uma organização:
As principais práticas sugeridas pela SAP na condução de projetos tem foco na equipe.
A chave é ter autoridade em duas áreas importantes: rejeição (ou aprovação) de requisitos
para definição de escopo, e contatos constantes com integrador para esclarecer e resolver
atrasos, problemas na condução do projetos e problemas de orçamento. Sem essas
autoridades, a falha é eminente.
Gerenciar o projeto ativamente: Projetos SAP são quase sempre longos. Nesse
contexto, não é raro que o gestor tenha lapsos de atenção sobre eles, que podem
comprometer a segurança do que está sendo construído. Desta forma, é importante
manter em mente o fato de que o sucesso reside nos detalhes, razão pela qual os
membros das equipes devem dar constantes atualizações sobre os progressos e os
problemas do projeto. Se um problema sério surge, os membros da equipe de
supervisão devem intervir e tomar decisões. A equipe inteira deve se encontrar ao
menos uma vez, segundo Tenório (2007). Para Linkies (2010), todas as linhas do
projeto devem estar claras e bem compreendidas, pois isso facilita a agilidade nas
correções.
Cuidar bem das metodologias de treinamento: Uma das formas mais fáceis de
levar o projeto ao fracasso, comprometer sua segurança ou diminuir o retorno
sobre o investimento é oferecer treino insuficiente para os usuários do novo SAP
que está por ser utilizado numa organização. No modelo mais comum de
treinamento, o integrador escreve uma documentação das várias partes
personalizadas do pacote e então instruir uma equipe de treinamento, que vai
repassar o conhecimento para os usuários. Mesmo assim, especialistas no ramo de
treinamento de SAP alertam que mesmo este modelo tende ao fracasso se a equipe
de treinamento do cliente não for boa.
Garantir que os sistemas que guardam dados financeiros podem ser acessados
somente pelos funcionários cuja função requer tal prática.
Aos que possuem o acesso, limitá-los de modo que seus privilégios no sistema
permitam somente as atividades fundamentais para exercerem seus trabalhos.
31
Infelizmente, essas questões são muitas vezes o começo de problemas adicionais. Por
exemplo, as lacunas de segurança podem existir devido a uma dependência excessiva em
controles tradicionais e manuais, bem como a falta de experiência e infra-estrutura necessária
para suportar um ambiente pós-implementação do SAP. Controles tradicionais de
gerenciamento podem se tornar ineficientes e ineficazes conforme uma organização cresce,
adquire outras empresas, e aumenta seu volume de transações SAP com dependência de
controles automatizados. Além disso, os testes de controles existentes poderia falhar devido à
falta de documentação e dependência informal controles de TI (ou seja, procedimentos
operacionais não padronizados que não podem ser verificados). Finalmente, os custos de
auditoria interna e externa podem aumentar. Isto é porque a implementação de uma nova
aplicação sempre coloca pressão sobre existentes funções de auditoria interna, enquanto as
taxas de auditoria externa aumentam, porque as empresas de auditoria precisariam usar suas
próprias equipes focadas no SAP. Nestes exemplos de cenário negativo, até mesmo uma mão
de obra terceirizada teria seu custo aumentado.
Mario Linkies e Frank Off (2010), nos propõem um estudo de caso que envolve uma
amostra de projeto de implementação certificada por SOX para SAP, visando uma divisão de
uma empresa que compra produtos acabados e vende produtos através de vários canais,
incluindo pequenas e grandes lojas de varejo, de nível médio, distribuidores até catálogos
impressos e online. A divisão tem uma receita anual total de cerca de $100 milhões de
dólares. O cenário de implementação foi desenvolvido pela equipe de auditoria interna após
uma auditoria anterior ter encontrado um grande número de deficiências de controles de
segurança relacionados ao SAP, o que levou horas para que o departamento de TI e auditores
externos/internos terminassem o trabalho. Subsequentemente, foram necessários três quartis
para alinhar os processos da empresa às práticas de SOX, os quais são descritos a seguir para
entendimento.
sejam planejados para o terceiro quartil, ou seja, antes das vistorias oficiais. Além
disso, o diretor de auditoria pode programar uma pré-avaliação de riscos e análise
de documentação de controles SAP a ocorrer durante o segundo quartil, precedidos
dos outros testes de gestão para o terceiro trimestre.
correta envolve um aplicação contínua e de longo prazo aos processos dos sistemas
empresariais, antes que as novas e boas práticas tornem-se intrínsecas à cultura de uma
referida organização.
Bem evidenciado por George (2003), a aplicação da metodologia LEAN em TI, tal
como em sua utilização originária dos processos de manufatura, envolve a idéia de
mapeamento de cadeia de valor. Para tal, realiza diagramas e analisa serviços (as cadeias de
valor) da corporação, e molda novamente os passos (por vezes toda a cadeia) eliminando as
práticas que não agregam valor. Essa atividade, plenamente utilizável em processos viciados
de empresas que utilizam o SAP, tem sua análise que é embasada e pode ser explicada pelas
duas vertentes detalhadas a seguir.
8.1.1.1 FLUXO
Fluxo refere-se a um dos conceitos fundamentais do Lean tal como já era formulado
no âmbito do Sistema Toyota de Produção - ou seja, mura. Uma palavra japonesa que
40
8.1.2.3 TI VERDE
Embora não tenha havido origem das mesmas motivações, as iniciativas Lean de TI
são congruentes com um amplo movimento para a conservação e redução de desperdícios,
muitas vezes caracterizado como políticas e práticas verdes. A já denominada e conhecida TI
Verde é uma parte desse amplo movimento.
Redução de desperdícios é algo diretamente correlacionado com o consumo reduzido
de energia e geração de carbono. Detalhadamente, a empresa IBM afirma que a TI e os custos
de energia podem ser responsáveis por até 60% das despesas de uma organização de capital e
75% das despesas operacionais. Desta forma, a identificação sóbria dos fluxos de valor e
racionalização de TI irá suportar a medição e melhoria das cotas de carbono e outras métricas
verdes. Como breve exemplo, podemos citar a implementação do Lean de TI para poupar
energia através da adoção de tecnologia de virtualização e consolidação de centros de dados.
Conforme Magalhães (2007), uma das principais características que levam a ITIL a ser
amplamente adotada no mercado é a possibilidade de se moldar o projeto de acordo com as
necessidades da empresa. A implantação da ITIL não segue uma receita, e é por isso que ela é
considerada um conjunto de boas práticas e não uma metodologia. Cada organização difere
das outras em relação ao seu porte, prioridades e ambições, e por isso um projeto deve ser
estudado e desenvolvido sempre visando atender as necessidades específicas de cada empresa.
Grande parte das organizações que decidem por adotar a ITIL depara-se com o primeiro
desafio que é saber por onde começar. O fato de ter conhecimento sobre as práticas de ITIL
não é suficiente para se garantir uma implementação de sucesso, e pode gerar uma expectativa
falsa de facilidade.
Um dos aspectos mais importantes antes de iniciar a implementação destes métodos
para os processos já existentes de ERP é ter consciência do investimento que a empresa está
disposta a fazer para atingir suas metas. É preciso realizar uma análise do estado de
maturidade da empresa, definindo objetivos e metas, e implementar progressivamente os
processos necessários à este objetivo. A implementação da ITIL para os processos oriundos
do ERP SAP não precisa necessariamente ser realizada por completo, muito menos ser
implementada de uma só vez. Nesta análise devem ser levantados os pontos críticos da
implementação, tal como a criticidade do serviço, importância, dimensão, orçamento, e
Retorno de Investimento (RDI) que a implementação deste serviço deve trazer para empresa.
É importante ressaltar que RDI não significa apenas retorno financeiro. Se a implementação
de um serviço for capaz de reduzir o tempo hábil das operações SAP, aumentar a qualidade do
45
delivery e a melhoria do processo gerando valor para um cliente, tal implementação estará
criando um RDI para a empresa.
Como dito anteriormente, a implementação da ITIL não precisa ser necessariamente
realizada por completo, podendo ser adotado apenas os processos mais críticos dentro do ERP
utilizado por determinada empresa. Inclusive, é importante mencionar que as práticas de ITIL
podem ser adotadas por empresas de qualquer área e tamanho. Além da adaptabilidade a todos
os tipos de empresa, esta forma de implementação facilita a adoção da ITIL pela cultura da
empresa, já que suas mudanças muitas vezes mudam drasticamente o modo com que as
pessoas executam suas tarefas. Pode-se citar como uma boa prática o inicio da implementação
pelos utilizadores do SAP dentro do setor de Service Desk, e focar na gestão de incidentes,
gerando métricas sobre todos os incidentes e pedidos de serviço na ferramenta, definindo os
procedimentos para escalar os incidentes e como o ERP deverá partilhar informações com os
outros departamentos. Após a empresa absorver as mudanças deste processo, deve-se partir
para a Gestão de Problemas e assim sucessivamente.
A adoção da ITIL para o gerenciamento de ERPs,- sejam ou não estes da SAP - não é
uma tarefa das mais fáceis. Ao analisar o depoimento de profissionais de TI nota-se que
grande parte das empresas que decidem adotar a biblioteca de boas práticas encontra
dificuldades. Segundo Pultorak (2005), apesar dos processos serem bem definidos e existir
muito material sobre o assunto, os profissionais alegam que na hora de “sair do papel” as
dificuldades vêm a tona. É importante que a organização que pretende adotar a ITIL tenha a
consciência que toda a empresa deve trabalhar em conjunto para se obter sucesso, o
treinamento tem de ser constante, todos os colaboradores tem que estar cientes de seu papel e
executa-lo com competência. Outro aspecto a ser considerado é o fato de que durante a
execução de um projeto existem muitos fatores dinâmicos que influenciarão o andamento dos
trabalhos, e por isto devem ser previstos pela empresa. Riscos surgirão, prioridades sofrerão
mudanças, a distribuição de recursos e até mesmo objetivos de negócio poderão variar,
baseados até mesmo nos próprios resultados parciais da implementação.
Face à metodologia e casos já conhecidos, Magalhães (2007) nos aponta algumas
falhas que podem levar o projeto de implementação ao fracasso:
Ignorar outras soluções além da metodologia ITIL: apesar de ser uma biblioteca de
“boas maneiras”, existem outras soluções que não devem ser ignoradas, tais como
COBIT (Control Objectives for Information and related Technology) e Six Sigma.
Válido frisar, estas outras soluções podem até mesmo facilitar a implantação de
ITIL e obter resultados ainda melhores.
faz com que este aspecto seja crucial para a sobrevivência da empresa. A ITIL
propõe processos que auxiliam no gerenciamento dos negócios da empresa, tais
como os processos de estratégia de serviços, do livro Estratégia de Serviço, que
abordam tópicos fundamentais ao negócio como o Gerenciamento Financeiro e
Gerenciamento do Portfólio de Serviços. No livro Desenho do Serviço, o processo
Gerenciamento do Nível de Serviço é importante para que os níveis requeridos
pelo negócio sejam absorvidos e entendidos por TI, deixando claro os objetivos do
negócio e o que TI tem que fazer para atendê-los, contribuindo para a criação de
valor para o cliente.
Ainda que o SAP seja uma ferramenta extremamente rica e complexa – onde até
alguns arriscam denomina-la completa – existe no mercado uma gama de sistemas periféricos
auxiliares, que acoplados à utilização e fluxo de dados no SAP, podem levar a experiência de
segurança empresarial ainda mais além. Linkies (2010) frisa que um considerável número
dentre estes sistemas são homologados pela própria empresa SAP, e acabam por caracterizar
um “trabalho em equipe” entre aplicações. No ramo da segurança, o sistema que mais
destaca-se é o Virsa Compliance Calibrator, cujas características e vantagens serão descritas a
seguir.
10 CASOS DE SUCESSO
10.1 SHELL
11 CONCLUSÃO
Com o estudo desenvolvido neste trabalho acadêmico, fica evidente que a adoção e
correta implementação do ERP SAP dentro dos padrões e metodologias seguras oferecem não
somente sucesso na atuação de uma corporação, mas também um diferencial de mercado. Esta
postura também viabiliza uma garantia de suporte com qualidade ao ambiente já instalado,
oferecendo tranquilidade aos processos de auditorias internas e externas, e gabarito às
premissas impostas pelas leis de Sarbanes Oxley que, se devidamente seguidas, mantém a
empresa com excelente visibilidade e credibilidade.
As boas práticas de segurança aplicadas ao ERP SAP não beneficiam somente a
gerência das corporações. Usuários também passam a ter seus papéis bem definidos dentro da
estrutura de negócio, onde uma segregação de funções positiva irá melhorar o desempenho e
qualidade das atividades entregues.
Em suma, quando uma empresa decide que irá seguir á risca os padrões, metodologias
e leis internacionais de segurança que aplicam-se ao ERP SAP – seja em sua implementação
ou suporte – está assumindo um projeto que demandará esforço de todas as partes, reeducação
em certas práticas, e principalmente um cuidado constante em prol de manter todo o progresso
conquistado. Por outro lado, esta manobra é um investimento de alto valor agregado
considerando o lucro que irá obter, seja na economia dos gastos com retrabalhos de auditoria,
seja no aumento de clientes e transações que adquiriu por sua visibilidade idônea no mercado,
algo que também evidencia-se é muito importante no cenário globalizado das empresas.
Enfim, a segurança do ERP SAP é algo que pode - e deve - ser buscado por
organizações de todos os tipos e tamanhos, visto que a sua correta aplicação é estratégica e
pode manobrar os custos atrelados para que sejam compatíveis com os empreendedores
envolvidos, trazendo seus benefícios a curto, médio, e longo prazo.
56
REFERÊNCIAS
GEORGE, Michael L. Lean Six Sigma For Service. The McGraw-Hill Press, 2003, 502p.
LINKIES, Mario; OFF, Frank. Sap Security and Authorizations. Estados Unidos: Galileo
Press, 2010, 510p.
PULTORAK, David. Learn How ITIL can benefit your organization. TechRepublic, 2005.
Disponível em: < http://www.techrepublic.com/how-itil-can-benefit-yourorganization/>.
Acesso em 15 Out. 2012.