Como Controlar Riscos de Segregação de Funções
*Por Ramon Ito
O acesso indevido é um dos maiores riscos para a integridade dos sistemas ERP. A execução de atividades não autorizadas, quer sejam erros inocentes ou atos fraudulentos podem afetar a precisão das demonstrações financeiras, portanto os auditores certamente testarão os controles de acesso, além disso, a Segregação de Funções (SoD – Segregation of Duties) é uma parte essencial para alcançar a conformidade com a SOx (Lei Sarbanes-Oxley).
O desafio de atingir uma Segregação de Função aceitável é tipicamente mais agudo nas pequenas e médias empresas, devido à falta de ferramentas avançadas ou expertise para ter uma Gestão de Acessos eficaz.
A melhor prática é conceder aos usuários apenas acessos necessários para realizar seus trabalhos (geralmente chamados de “privilégios mínimos” ou “need to know“). A maneira mais eficiente de conseguir isso é implementar o Controle de Acesso Baseado em Função (RBAC – Role Based Access Control) com um modelo de segurança bem projetado.
As áreas de Controles Internos, Segurança da Informação, Tecnologia da Informação e Auditoria Interna precisam trabalhar em conjunto com as áreas de negócio para sempre que possível segregar as funções de alta criticidade e nos caso que não são viáveis, atribuir um controle compensatório apropriado.
A iniciativa para determinar, analisar e abordar as questões de SoD podem ser alcançadas pelas três etapas a seguir:
Etapa I: Definir regras de Segregação de Funções aplicáveis ao ambiente da sua empresa e a partir dessas regras, crie uma matriz de riscos de SoD.
Etapa II: Executar a análise de riscos para identificar as violações de SoD. Essa etapa pode ser feita manualmente ou com a ajuda de uma ferramenta. Em caso de análise manual, será necessário para cada usuário, analisar se possui acesso para realizar atividades conflitantes presentes na matriz de riscos de SoD.
Etapa III: Avaliar se as atividades conflitantes podem ser executadas por uma pessoa alternativa. Caso não seja possível restringir o acesso, considere desenhar um controle apropriado para mitigar o risco. Este processo deve ser executado para resolver todos os conflitos remanescentes que apresentam alto risco.
Para finalizar, é imprescindível que seja estabelecido um processo de Governança de Acesso em que cada solicitação de um novo acesso seja revisado em relação a Matriz de Riscos de SoD antes do provisionamento no sistema. Tenha cuidado ao conceder acesso adicional a usuários existentes, pois o novo acesso pode não gerar conflito por si só, mas, em combinação com os acessos que o usuário já possui, pode ocorrer violações de SoD.
*Ramon Ito é Sócio Líder DataPrivacy da Safeway Consultoria.
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
