TI Corporativa

Ξ 5 comentários

Segregação de Funções , diminuindo o risco

publicado por Evandro Ribeiro

A automatização das atividades de controles, por meio de sistemas de gestão informatizados, trouxe às organizações novos desafios na gestão de risco, uma vez que a concessão inadequada de acesso aos sistemas pode levar concentração de poder aos usuários, elevando os riscos operacionais.

Os custos gerados pelas fraudes empresariais representam uma ameaça para a estabilidade financeira e imagem das empresas em diversos setores. Com o intuito de preservação de seu patrimônio, elas têm buscado meios mais eficazes para analisar esse risco e de prevenir, detectar e investigar esse problema.

Assim, os processos de tratamento e análise, prevenção e detecção de fraudes tanto internas quanto externas, são necessários tanto para evitar, antecipar os riscos de fraudes ou constatar a sua existência em operações internas e/ou externas.

A segregação de funções consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário detenha poderes e atribuições em desacordo com este princípio de controle interno.

O Perfil por Função (ou RBAC Role Based Access Control) é um projeto do National Institute of Stantard and Technology (NIST), que tem por objetivo criar um modelo para prover e administrar privilégios de acesso em uma organização.

Sugestão: é um conceito sobre práticas de controle de acesso que originou nos anos 70 e se desenvolveu até ter sua primeira proposta de padrão em 2004 pelo NIST.

O Perfil por Função é o controle de acesso baseado no papel, na atividade ou na função que o colaborador exerce dentro da organização.

Vários sistemas corporativos modernos possuem algum modelo de Perfil por Função.
Por exemplo:

SAP são as profiles;

Microsoft AD são os grupos;

RACF são os domínios e grupos;

CA Top Secret são as profiles;

Oracle são as roles;

BMC Control-SA são as profiles;

IBM TIM são as profiles;

Novell Identity Manager são as roles.

O Perfil por Função agrega os acessos, possibilitando ter uma visão do privilégio de acesso de forma corporativa e não mais por sistema; incorpora a hierarquia organizacional e segregação de funções dentro do seu modelo.

A segregação de funções proíbe o usuário de, exercendo certa atividade, executar outra atividade ao mesmo tempo que implique em risco operacional para o negócio. A hierarquia organizacional reflete a estrutura dos papéis desempenhados pelos colaboradores dentro da organização.

Várias normas e regulamentos governamentais, como Sarbanes-Oxley (SOX), COBIT, ISO/IEC

17799, recomendam a implementação de controles, como o Perfil por Função, como forma de seguir as políticas de acesso.

Mas para que os controles funcionem de maneira adequada, é extremamente importante que as pessoas tenham treinamentos corretos nos sistemas de informação e conscientização nos temas de segurança da informação.

Até a próxima !

Autor

Analista de Segurança da Informação, 7 anos de experiencia. Graduado em redes de computadores, Pós Graduado em Segurança da Informação. MCP, ISO27002, COBIT 4.1 RISK MANAGER

Evandro Ribeiro

Comentários

5 Comments

  • Gostei do artigo Evandro.
    E pensar que o mais velho da lista, o RACF, já permitia utilizar técnicas RBAC antes de 1976.
    Abraços
    Rapanelli

    • Obrigado!

      Pelo visto possui grande esperiencia com segregação de funções, conte um pouco pra nós!

      abraços,

      Evandro Ribeiro

  • Otima Definição. Ajudou muito

    • Por nada =) precisando estamos ai …

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes