A automatização das atividades de controles, por meio de sistemas de gestão informatizados, trouxe às organizações novos desafios na gestão de risco, uma vez que a concessão inadequada de acesso aos sistemas pode levar concentração de poder aos usuários, elevando os riscos operacionais.
Os custos gerados pelas fraudes empresariais representam uma ameaça para a estabilidade financeira e imagem das empresas em diversos setores. Com o intuito de preservação de seu patrimônio, elas têm buscado meios mais eficazes para analisar esse risco e de prevenir, detectar e investigar esse problema.
Assim, os processos de tratamento e análise, prevenção e detecção de fraudes tanto internas quanto externas, são necessários tanto para evitar, antecipar os riscos de fraudes ou constatar a sua existência em operações internas e/ou externas.
A segregação de funções consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário detenha poderes e atribuições em desacordo com este princípio de controle interno.
O Perfil por Função (ou RBAC – Role Based Access Control) é um projeto do National Institute of Stantard and Technology (NIST), que tem por objetivo criar um modelo para prover e administrar privilégios de acesso em uma organização.
Sugestão: é um conceito sobre práticas de controle de acesso que originou nos anos 70 e se desenvolveu até ter sua primeira proposta de padrão em 2004 pelo NIST.
O Perfil por Função é o controle de acesso baseado no papel, na atividade ou na função que o colaborador exerce dentro da organização.
Vários sistemas corporativos modernos possuem algum modelo de Perfil por Função.
Por exemplo:
SAP são as profiles;
Microsoft AD são os grupos;
RACF são os domínios e grupos;
CA Top Secret são as profiles;
Oracle são as roles;
BMC Control-SA são as profiles;
IBM TIM são as profiles;
Novell Identity Manager são as roles.
O Perfil por Função agrega os acessos, possibilitando ter uma visão do privilégio de acesso de forma corporativa e não mais por sistema; incorpora a hierarquia organizacional e segregação de funções dentro do seu modelo.
A segregação de funções proíbe o usuário de, exercendo certa atividade, executar outra atividade ao mesmo tempo que implique em risco operacional para o negócio. A hierarquia organizacional reflete a estrutura dos papéis desempenhados pelos colaboradores dentro da organização.
Várias normas e regulamentos governamentais, como Sarbanes-Oxley (SOX), COBIT, ISO/IEC
17799, recomendam a implementação de controles, como o Perfil por Função, como forma de seguir as políticas de acesso.
Mas para que os controles funcionem de maneira adequada, é extremamente importante que as pessoas tenham treinamentos corretos nos sistemas de informação e conscientização nos temas de segurança da informação.
Até a próxima !
You must be logged in to post a comment.
4:44:43 pm
Gostei do artigo Evandro.
E pensar que o mais velho da lista, o RACF, já permitia utilizar técnicas RBAC antes de 1976.
Abraços
Rapanelli
7:50:23 pm
Obrigado!
Pelo visto possui grande esperiencia com segregação de funções, conte um pouco pra nós!
abraços,
Evandro Ribeiro
9:36:20 am
Otima Definição. Ajudou muito
11:54:14 am
Por nada =) precisando estamos ai …