A automatização das atividades de controles, por meio de sistemas de gestão informatizados, trouxe às organizações novos desafios na gestão de risco, uma vez que a concessão inadequada de acesso aos sistemas pode levar concentração de poder aos usuários, elevando os riscos operacionais.
Os custos gerados pelas fraudes empresariais representam uma ameaça para a estabilidade financeira e imagem das empresas em diversos setores. Com o intuito de preservação de seu patrimônio, elas têm buscado meios mais eficazes para analisar esse risco e de prevenir, detectar e investigar esse problema.
Assim, os processos de tratamento e análise, prevenção e detecção de fraudes tanto internas quanto externas, são necessários tanto para evitar, antecipar os riscos de fraudes ou constatar a sua existência em operações internas e/ou externas.
A segregação de funções consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário detenha poderes e atribuições em desacordo com este princípio de controle interno.
O Perfil por Função (ou RBAC – Role Based Access Control) é um projeto do National Institute of Stantard and Technology (NIST), que tem por objetivo criar um modelo para prover e administrar privilégios de acesso em uma organização.
Sugestão: é um conceito sobre práticas de controle de acesso que originou nos anos 70 e se desenvolveu até ter sua primeira proposta de padrão em 2004 pelo NIST.
O Perfil por Função é o controle de acesso baseado no papel, na atividade ou na função que o colaborador exerce dentro da organização.
Vários sistemas corporativos modernos possuem algum modelo de Perfil por Função.
Por exemplo:
SAP são as profiles;
Microsoft AD são os grupos;
RACF são os domínios e grupos;
CA Top Secret são as profiles;
Oracle são as roles;
BMC Control-SA são as profiles;
IBM TIM são as profiles;
Novell Identity Manager são as roles.
O Perfil por Função agrega os acessos, possibilitando ter uma visão do privilégio de acesso de forma corporativa e não mais por sistema; incorpora a hierarquia organizacional e segregação de funções dentro do seu modelo.
A segregação de funções proíbe o usuário de, exercendo certa atividade, executar outra atividade ao mesmo tempo que implique em risco operacional para o negócio. A hierarquia organizacional reflete a estrutura dos papéis desempenhados pelos colaboradores dentro da organização.
Várias normas e regulamentos governamentais, como Sarbanes-Oxley (SOX), COBIT, ISO/IEC
17799, recomendam a implementação de controles, como o Perfil por Função, como forma de seguir as políticas de acesso.
Mas para que os controles funcionem de maneira adequada, é extremamente importante que as pessoas tenham treinamentos corretos nos sistemas de informação e conscientização nos temas de segurança da informação.
Até a próxima !
5 comentários
Gostei do artigo Evandro.
E pensar que o mais velho da lista, o RACF, já permitia utilizar técnicas RBAC antes de 1976.
Abraços
Rapanelli
Obrigado!
Pelo visto possui grande esperiencia com segregação de funções, conte um pouco pra nós!
abraços,
Evandro Ribeiro
Otima Definição. Ajudou muito
Por nada =) precisando estamos ai …