Brechas silenciosas no ERP TOTVS: o que ninguém te conta sobre segurança no Protheus
Seu ERP TOTVS roda. Ninguém reclama. Os módulos abrem, os relatórios saem, o faturamento fecha no prazo. Tudo parece estável.
Mas estabilidade não é segurança. E essa confusão custa caro.
Em 2025, ataques cibernéticos a sistemas empresariais atingiram 314 bilhões de ocorrências. No Brasil, 84% das empresas foram impactadas por ransomware, uso indevido de credenciais e falhas exploradas de forma silenciosa. Muitas dessas vulnerabilidades estavam dentro do próprio ERP, sem que ninguém percebesse.
Vamos mostrar onde essas brechas nascem em ambientes TOTVS, por que passam despercebidas e o que fazer para sair da postura reativa.
Os sinais que parecem inofensivos
Antes de um incidente grave, existem sintomas. O problema é que eles se disfarçam de normalidade.
Uma rotina que antes levava dois minutos agora leva cinco. "Deve ser o banco de dados", alguém diz. Um módulo trava e reinicia sozinho. Acontece uma vez por semana, mas ninguém abre chamado porque "volta rápido". Um dado que não bate entre dois relatórios. Um processo que precisa rodar novamente sem explicação clara.
Lentidão pontual. Travamentos esporádicos. Inconsistências raras. Nenhum desses sinais parece urgente.
Até ser.
Por trás desses sintomas existe um acúmulo que ninguém revisou.
Acessos que foram concedidos e nunca retirados. Permissões que se abriram ao longo do tempo, sempre por um bom motivo: resolver um problema pontual, atender uma demanda urgente, facilitar o trabalho de alguém que saiu da empresa há dois anos. Integrações configuradas com escopo amplo demais que continuam abertas. Pontos do ambiente que deixaram de ser acompanhados quando a equipe mudou de prioridade.
Nada disso gera alerta. Nada disso aparece em dashboard. E é isso que abre espaço para uma falha real.
Por que ambientes "seguros" ainda sofrem incidentes
Em muitos ambientes de TI, até 70% dos incidentes são tratados apenas depois de já terem impactado a operação. No ERP, isso significa que o time de TI entra em ação quando o faturamento travou, um dado fiscal saiu errado ou um acesso indevido já aconteceu.
O problema quase nunca começa com um ataque externo sofisticado. Na maioria das vezes é algo interno: uma configuração que ficou como estava desde a implantação, uma customização que abriu uma porta lateral, um usuário com privilégios que não deveria ter.
Tem uma armadilha comum aqui. Muita gente acredita que manter o release atualizado resolve a questão de segurança. Atualizar é necessário, sem dúvida. A TOTVS encerrou o suporte da release 12.1.2310 em junho de 2025, e a release 12.1.2410 expira em junho de 2026. Quem roda versão fora do ciclo de vida perde correções de vulnerabilidades e patches de segurança.
Só que atualizar o release corrige bugs conhecidos da plataforma. Não corrige uma configuração de acesso mal feita. Não resolve uma integração que expõe dados sem autenticação. Não identifica que um usuário de homologação tem acesso ao ambiente de produção. Esses são problemas de governança, não de versão.
Da reação à prevenção: o que muda na prática
A diferença entre um ambiente ERP que sofre incidentes e um que se antecipa a eles está em mudanças de postura, não de tecnologia.
Começa por sair da lógica de "resolver quando quebrar" para observar continuamente. Monitorar eventos de segurança do ERP em tempo real, e não só da infraestrutura. A maioria das empresas monitora servidor, rede e firewall. Poucas olham para o que acontece dentro do ERP: quem acessou, o que fez, quando, de onde, com quais permissões.
Passa por tratar acessos e identidades como parte da estratégia de segurança, não como tarefa administrativa. Revisar periodicamente quem tem acesso a quê. Analisar o comportamento de usuários privilegiados. Identificar padrões suspeitos de login, como um mesmo usuário acessando de dois estados ao mesmo tempo, logins em horários atípicos ou uso de rotinas que a pessoa não deveria precisar.
E inclui implementar autenticação multifator (MFA) como parte real da defesa, não só como obrigação de compliance. Credenciais comprometidas são um dos vetores mais comuns de acesso indevido em ambientes ERP. MFA reduz esse risco na prática.
Nenhuma dessas mudanças exige trocar de sistema. Exige mudar a forma como o time de TI enxerga e protege o ambiente que já tem.
Os 4 pilares de defesa para ambientes TOTVS
Segurança estruturada para ERP vai além de firewall e antivírus. Ela olha para dentro do sistema, onde os dados sensíveis do negócio vivem de verdade.
Monitoramento de segurança 24x7 (SOC)
Monitoramento contínuo de eventos de segurança do ERP, com análise e correlação de alertas em tempo real. O objetivo é detectar comportamentos anômalos (um acesso fora do padrão, uma operação incomum, uma tentativa que normalmente passaria despercebida) e atuar de forma imediata, proporcional à criticidade.
Sem monitoramento contínuo, o time de TI só descobre o problema quando alguém liga reclamando.
Proteção de acessos e identidades
Monitoramento de tentativas de acesso indevidas, análise de uso de usuários privilegiados e detecção de padrões suspeitos de login e operação. Inclui apoio à governança de acessos. Aquela revisão que todo mundo sabe que deveria fazer periodicamente mas nunca faz.
É nesse pilar que a maioria das brechas silenciosas nasce. Não por falta de ferramenta, mas por falta de processo.
Governança e conformidade
Registro e rastreabilidade de eventos de segurança, relatórios periódicos para a gestão, apoio a auditorias e compliance, e visibilidade executiva do nível de risco do ambiente. Sem isso, o diretor de TI não consegue responder uma pergunta simples: "qual é o nosso nível de exposição hoje?"
Essa visibilidade importa especialmente com a LGPD em vigor e a Reforma Tributária chegando em 2026. Ambientes sem rastreabilidade ficam expostos em duas frentes ao mesmo tempo.
Resposta a incidentes de segurança
Todo ambiente vai ter um incidente em algum momento. A diferença está em ter um processo definido antes da crise. Análise técnica do incidente, atuação coordenada entre times de ERP, banco de dados e infraestrutura, contenção rápida e apoio à retomada segura da operação.
A alternativa é o que acontece na maioria das empresas: todo mundo corre para apagar o incêndio ao mesmo tempo, sem saber quem faz o quê, e a operação fica parada por horas ou dias.
Como a Groundwork implementa isso
A Groundwork criou o serviço de Defesa e Segurança do ERP para ambientes TOTVS (Protheus, Datasul e RM), onde indisponibilidade, acessos indevidos ou falhas de integridade geram impacto direto em faturamento, fiscal, compliance e reputação.
O modelo combina o GWMS, Módulo de Segurança, com um SOC 24x7. A atuação é contínua: detecção, análise e resposta a eventos que possam comprometer o ERP. Os quatro pilares descritos acima não são teoria. São os serviços que a Groundwork entrega no dia a dia para mais de 110 contratos ativos, com um time de 90 especialistas em tecnologia TOTVS.
Um ponto que vale destacar: a Groundwork trata segurança do ERP como disciplina própria, separada da segurança de infraestrutura. A maioria das consultorias cuida de firewall, antivírus e rede, e assume que isso protege o ERP. Não protege. As brechas que descrevemos neste artigo vivem dentro do sistema, na camada de acessos, permissões e comportamentos. É aí que a Groundwork atua.
Checklist: 7 perguntas para saber se seu ERP está exposto
Se você responder "não" ou "não sei" para três ou mais dessas perguntas, seu ambiente tem brechas silenciosas.
1. Existe monitoramento contínuo de eventos de segurança no ERP, ou só na infraestrutura?
Monitorar servidor e rede é necessário, mas não mostra o que acontece dentro do ERP. Eventos como acessos indevidos, operações atípicas e alterações de permissões só aparecem com monitoramento na camada do sistema.
2. Quando foi a última revisão dos acessos ativos e permissões no ERP?
Se a resposta for "não lembro" ou "quando implantamos", há grande chance de existirem usuários com acesso que não deveriam ter. Isso inclui ex-funcionários e prestadores que já encerraram contrato.
3. Há análise de uso de usuários privilegiados?
Usuários admin ou com permissões elevadas são o vetor de maior risco. Se ninguém acompanha o que esses usuários fazem no sistema, qualquer comprometimento de credencial passa despercebido.
4. As integrações ativas estão documentadas e com escopo limitado?
Integrações criadas para resolver problemas pontuais tendem a ficar abertas indefinidamente, com acesso mais amplo do que o necessário. Cada integração mal governada é uma porta lateral no ERP.
5. Existe rastreabilidade de eventos de segurança para auditorias?
Com a LGPD e a Reforma Tributária, demonstrar quem acessou o quê e quando deixou de ser diferencial. Virou obrigação. Sem rastreabilidade, a empresa fica exposta em auditorias e fiscalizações.
6. A autenticação multifator (MFA) está ativa para todos os acessos administrativos ao ERP?
MFA é a medida de maior impacto com menor esforço. Credenciais comprometidas são o vetor de ataque mais comum, e MFA reduz esse risco na prática.
7. Existe um plano de resposta a incidentes que inclua ERP, banco de dados e infraestrutura de forma coordenada?
Responder a um incidente de segurança no ERP exige atuação conjunta entre times diferentes. Sem plano definido, o tempo de resposta se multiplica e o impacto no negócio cresce.
Próximo passo
Se este artigo fez sentido para a sua realidade, o primeiro passo concreto é entender qual o nível real de exposição do seu ambiente.
A Groundwork oferece um diagnóstico de segurança para ambientes TOTVS. É uma avaliação técnica que mapeia as brechas existentes, classifica os riscos e entrega um plano de ação priorizado.
Visibilidade sobre o que está exposto é o que diferencia um ambiente que reage de um que se antecipa.
Solicite o diagnóstico de segurança do seu ERP TOTVS →
Groundwork Tecnologia. Consultoria especializada em TOTVS (Protheus, Datasul e RM). Parceira homologada TOTVS. São Paulo, Joinville e Fortaleza.
