Imagine uma organização com um sistema de gestão de identidade implantado e com fluxos, chamados de obrigatórios, em pleno funcionamento.
Após a implantação a empresa deu início à revisão dos perfis, tendo como resultado uma tabela, listando aos novos perfis e os direitos que os compões. Se foi seguido o modelo híbrido, que é o recomendado, temos também os usuários que, segundo a revisão, estão habilitados a receber estes direitos.
Não nos apresentaremos como portadores da solução pronta, pois no caso de tratamento de perfis de direitos, seria impossível e falso. A grande certeza é que a implantação das melhorias deve ser cuidadosamente planejada e homologada. Poucos incidentes causam mais dano à credibilidade ao GIA que a confusão nos direitos e o consequente impacto nos atendimentos a clientes.
Assim, vamos listar as recomendações dos itens que devem ser levados em conta, no momento do planejamento e implantação das melhorias.
Piora antes de melhorar
Ou seja, no primeiro momento, a recomendação é conceder os novos perfis, para os usuários que já possuem os perfis em uso. Esta ação vai causar um aumento no número de perfis atribuído aos usuários, e se não for corretamente registrada e autorizada, pode causar transtornos com a auditoria. Mas como um dos critérios é a garantia de que os serviços prestados aos clientes não serão afetados, este cuidado é necessário. Com esta ação podemos garantir que os usuários não perderão direitos, por uma eventual falha no mapeamento de perfis.
Ao final da ação, os usuários terão recebido os novos perfis, mantendo os anteriores, a diferença deve ser registrada em relatórios de acompanhamento.
Revogação dos excedentes
Neste ponto já é possível iniciar a revogação dos perfis originais, já provavelmente chamados de antigos, ou velhos. Lembre-se que precisamos evitar uma parada nos serviços. Um projeto de melhoria de perfis, seja criação ou reorganização, não deve, pelo menos em tese, ocasionar uma retirada de direitos dos usuários. A retirada de direitos deve ser levada a cabo com a revogação de perfis, ordenada pelo responsável pelo perfil.
Novamente a tecnologia deve apoiar o processo, gerando relatórios indicando se ao revogar um perfil, os usuários perderão algum direito. Caso esta situação seja identificada, é sinal de alerta. Uma pausa na implantação, seguida de uma revisão dos direitos do perfil original e dos novos. A equipe de implantação deve avaliar se é necessário que seja feita uma nova homologação.
Após esta ação os usuários estarão sob a nova estrutura de perfis, e se tudo correu como planejado sem parada de serviços.
Revisão
Pode ter soado estranho, no capítulo anterior quando mencionamos que a primeira etapa do projeto não deve retirar direitos dos usuários. Mas é isto mesmo. O projeto reorganizou os perfis, e por ter seguido a abordagem híbrida, um direito que o gestor de alguma forma retirou dos perfis padrão RBAC, é transferido para outro perfil. Este perfil, seja granular ou agrupando outros direitos, é vinculado ao usuário, justamente para que ele não perca direitos.
Campanha de revisão de direitos
Uma campanha de revisão de direitos é normalmente a melhor forma de tratar a situação. Em uma campanha, os gestores serão convidados, a revisar se as pessoas devem ou não continuar com os perfis que atualmente estão atribuídos a elas.
A campanha deve ser precedida de divulgação e treinamento, para garantir que os responsáveis pela revisão tenham a clareza dos objetivos da tarefa.
Revisão por alteração cadastral
Um complemento à campanha é a revisão de direitos com base em alteração dos dados cadastrais. Ou seja, caso os funcionários troquem de cargo, é disparada uma tarefa de revisão, para que o responsável pelo perfil decida por sua manutenção ou revogação. Esta tarefa é mais uma das atividades do processo de melhoria continuada.
Ainda tem dúvidas sobre a implementação da GIA? Converse com um especialista E-TRUST.
