Na hora de pensar nos objetivos e benefícios, antes de iniciar um projeto de revisão pontual ou mesmo continuada dos perfis de direitos, é necessário conhecer os principais motivadores:
- Gerar novos perfis com menor granularidade, ocultando os detalhes técnicos das transações e atributos, sob uma camada contendo uma descrição e um título mais orientado aos processos do negócio;
- Agrupar os direitos em perfis acoplados as funções ou cargos formalmente registrados na fonte de pessoas seja RH ou base de terceiros;
- A revisão tem por objetivo reorganizar os perfis para refletir alterações na estrutura organizacional;
- Diminuir o número de perfis, através de redução de duplicidade de direitos, reclassificação dos gestores e regras de negócios.
Perfis padrão e regras de negócio
Uma forma de explicar o que é um perfil, é definir como: um conjunto de direitos, vinculados a um título e descrição, de forma que seja possível identificar as ações que poderão ser executadas pelos detentores deste perfil de direitos.
Para que seja possível atender aos requisites de responsabilidade e rastreabilidade, a cada perfil deve ser definido um responsável, que detém o poder de aprovar, de forma discricionária, a concessão dos perfis às pessoas.
Um perfil é denominado padrão quando é utilizado no processo automatização, em conjunto com as regras de negócio. Normalmente são definidos entre um mínimo de 01 até um conjunto prático de 04 perfis “padrão” por sistema, e contempla as tarefas de:
- Definição dos responsáveis pelos perfis;
- Definição das regras de negócio que serão utilizadas:
- Informações e critérios para concessão inicial na contratação;
- Informações e critérios para alterações com base em dados cadastrais;
- Informações e critérios para bloqueios com base em dados cadastrais;
- Informações e critérios para revisões com base em dados cadastrais;
Definição dos perfis padrão
Como comentado anteriormente, a nossa experiência nos diz que em torno de 4 com uma variação até 6 perfis por sistema, é um número adequado para atingir o objetivo de redução tarefas manuais, normalmente este número de perfis reduz em torno de 70 ou 80% das tarefas manuais. Quando integrado com o portal de autosserviço para reset de senha e com o Botão no desktop do Windows, a redução de tarefas manuais chega a mais de 90%.
Vamos então revisar as atividades para chegar até os perfis padrão:
- Lembre-se que o objetivo é conceder os direitos mais comuns, e não fazer uma revisão completa. A criação dos perfis padrão é uma atividade de melhor esforço, gerando um conjunto de perfis padrão que serão automatizados. Os demais direitos, também agrupados em perfis, serão concedidos de acordo com o processo de solicitação e aprovação;
- Analise os direitos concedidos no sistema, utilize as informações da carga inicial, busque os direitos mais utilizados e agrupe os direitos comuns. Para esta analise podem ser usadas funcionalidades do GIA, programas externos ou outras ferramentas como planilhas;
- Busque dois ou três usuários representativos das áreas envolvidas e utilize como uma base inicial de direitos para a criação dos primeiros perfis, neste ponto como uma sugestão;
- Entreviste os gestores de TI, segurança e das áreas envolvidas para validar os perfis padrão sugeridos. Nas entrevistas é importante estar preparado para explicar que o escopo do projeto e os benefícios desta etapa. Em especial estar preparado para informar que uma revisão completa de todos os direitos e perfis não é parte desta etapa do projeto;
- Revise os perfis buscando conflito de interesse ou transações conflitantes.
Revisão e criação de Perfs – RBAC
Chegou o momento de tratar do projeto de perfis de acesso, ou mais especificamente perfis de negócio, mais ou menos acoplado ao modelo de RBAC.
É importante salientar que diferentemente da implantação de gestão de identidade propriamente dita, um projeto que envolva perfis e direitos de acesso, é mais dependente das áreas de negócio.
Adicionalmente projetos envolvendo direitos e acesso, em especial quando se busca o alinhamento com os negócios, funciona melhor quando se consegue dividir em etapas com objetivos mensuráveis.
Identificação inicial
O próximo passo é identificar qual o sistema será o escopo do projeto. Recomendamos que seja, pelo menos inicialmente, trabalhado um sistema por vez. O sistema deve ser escolhido de acordo com a prioridade analisada nas etapas de planejamento.
Abaixo uma tabela exemplo que leva em conta as informações coletadas e uma sugestão de peso:
| Sistema | Valor processado | Qtd Depend. | Qtd Perfis | Qtd Direitos | Qtd Usuários | Prioridade |
| AD | Baixo = 1 | 3 | 20 | 300 | 3000 | 1 |
| SAP | Alto = 10 | 1 | 16 | 200 | 1500 | 2 |
| SIST X | Médio = 5 | 1 | 8 | 50 | 400 | 3 |
| SIST y | Baixo = 1 | 1 | 7 | 50 | 200 | 4 |
Abordagem
Quando consideramos o processo de identificação de direitos com vistas a criação de perfis, existem três abordagens geralmente aceitas:
Coleta de dados Top Down
Esta opção aborda o processo da perspectiva do que um usuário precisa acessar, com base nos atributos de RH do usuário, no contexto de uma organização e no que é determinado por os gerentes do usuário. Esta metodologia é usada tradicionalmente quando não há ferramentas disponíveis para analisar acesso real do usuário.
Coleta de dados Botton Up
Essa abordagem avalia o acesso atribuído aos usuários em cada aplicativo e, em seguida, agrupa usuários com base em suas semelhanças. Embora geralmente mais bem-sucedido do que o top-down, este método é muito complicado quando executado manualmente.
Coleta de dados Híbrida
A abordagem híbrida para definição de perfis tem sido a abordagem mais bem-sucedida. Leva- se em conta as informações de contexto do usuário da conta: como gestor, local, cargo e função, em conjunto com os direitos de acesso atualmente concedido aos usuários, fornecendo uma visão holística com acesso semelhante.
Gostou do artigo? Quer saber mais? Então CLIQUE AQUI e leia a Parte 2.
Para acompanhar nossos conteúdos, assine nossa newsletter:
