Skip to main content

Perfil e agrupamentos de direitos na Gestão de Identidades e Acessos – Parte 2

By 12 de março de 2019março 2nd, 2023Gestão de Identidade, Segurança da Informação

 

Artigo Perfil e agrupamentos de direitos na Gestão de Identidades e Acessos - Parte 2

Vamos relembrar?  Na parte 1 deste artigo antes de iniciar um projeto de revisão pontual ou mesmo continuada dos perfis de direitos, é necessário conhecer os principais motivadores:

  • Gerar novos perfis com menor granularidade, ocultando os detalhes técnicos das transações e atributos, sob uma camada contendo uma descrição e um título mais orientado aos processos do negócio;
  • Agrupar os direitos em perfis acoplados as funções ou cargos formalmente registrados na fonte de pessoas seja RH ou base de terceiros;
  • A revisão tem por objetivo reorganizar os perfis para refletir alterações na estrutura organizacional;
  • Diminuir o número de perfis, através de redução de duplicidade de direitos, reclassificação dos gestores e regras de negócios.

 Coleta de informações sobre o sistema

A coleta de informações é a primeira atividade prática no projeto, e assim deve ser. Para auxiliar na coleta, confira a lista de questões que quando corretamente respondidas, serão muito úteis na construção ou revisão dos perfis:

  • O sistema é modularizado?
  • O acesso ao módulo é um atributo do perfil de acesso?
  • A autenticação é geral para todos os módulos, ou o usuário precisa se autenticar novamente para ter acesso a outro módulo?
  • Os direitos podem ser agrupados por área ou outro elemento em comum?
  • Os direitos atuais são agrupados com base no critério: departamento ou área?
  • Os direitos atuais são agrupados com base no critério: função ou atividade?
  • Os direitos atuais são agrupados com base no critério: participação em processo ou atendimento?
  • Os direitos atuais são concedidos de forma agrupada, como perfil de direitos ou outra denominação similar?
  • Os direitos atuais, quando agrupados, podem ser diretamente vinculados a cargos ou funções definidas na base de RH?
  • O perfil de direitos do sistema é composto por transações ou similar?
  • O perfil de direitos do sistema é composto por atributos ou similar?
  • O perfil de direitos do sistema é composto por operações, vinculados às transações ou similar?
  • Os perfis de direitos possuem um responsável claramente definido?
  • Os perfis de direitos possuem uma descrição, em linguagem não técnica?
  • Possui fluxo de aprovação e revisão?
  • Existe um processo de aprovação de perfis de direitos?
  • Possui workflow via ITSM, solicitação e concepção de acesso e parametrização de perfil?
  • Como é feito o registro da aprovação?
  • Existe um processo de revisão de direito, a partir de alteração de dados cadastrais?
  • Existe um processo de revisão periódica? Como é feito o registro da revisão?

Critérios e Estratégias de formalização

Com base nas informações coletadas é possível dar andamento a estratégias de revisão. A definição de perfis, independente da abordagem a ser utilizada, deve levar em conta critérios previamente estabelecidos. É recomendado que os critérios sejam validados com o patrocinador do projeto, com os gestores e com os responsáveis pela segurança e governança.

A seguir listamos alguns critérios padrões, que uma vez validados podem ser utilizados como base para a tomada da decisão.

Rastreabilidade

Quanto maior a capacidade o sistema ou processo em prover rastreabilidade, maior será a segurança na concessão de direitos de acesso. Ao planejar a criação de perfis e direitos de acesso dever ser levando em conta a capacidade do sistema de prover rastreabilidade das ações, mesmo às autorizadas.

Saiba a importância de definir perfis e os agrupamentos das concessões de cada acesso dentro da empresa.

Nível de automação do processo

A automatização de processos, utilizando ferramentas de Workflow e Gestão de Identidades, não é uma garantia absoluta contra erros ou fraudes, mas a experiência mostra que, quando corretamente implantadas, o risco é consideravelmente mitigado. Um sistema automatizado permite que controles adicionais sejam implantados, como Matriz de Riscos, revisão disparada por alteração de cargo, monitoração de não execução de tarefas entre outros controles, que não são viáveis de implantar manualmente.

Direitos de leitura a informação

Durante a análise deve ser levantado o questionamento com relação ao tipo de informação que pode ser extraída. Tipicamente informações que são de acesso franqueado às pessoas do departamento ou área, necessárias à execução das atividades diárias, são candidatos a compor perfis padrão. Informações cuja divulgação ampla possa causar perdas ou despesas não programadas devem ser utilizadas para compor perfis mais restritos.

Direito de criação de informação

Como criação entendemos inserir no sistema informações novas ou adicionais, vinculadas a pessoas ou entidades. Informações que possam causar perdas ou despesas não programadas devem ser tratadas de acordo, durante o seu ciclo de vida na organização.  Tipicamente informações financeiras e informações pessoais privadas, são mais críticas e merecem tratamento diferenciado.

Direito de alteração de informações

Alterar as informações, da mesma forma que a criação, deve ser avaliada com base no tipo de informação que será tratada. Novamente informações financeiras e pessoais, devem ser avaliadas com maior cuidado.

Continuidade das atividades da organização

O acesso das pessoas às informações é a base para o atendimento de clientes e prestação de serviços. Desta forma, um dos itens mais importantes é a garantia de que, durante o processo de criação ou revisão de perfis, não ocorram paradas de serviço ou dificuldades de acesso.

Abordagem departamental

Esta abordagem busca definir perfis com base em um vinculo com o departamento ou área de atuação.

Os passos recomendados para seguir com esta abordagem são:

  • Listar os perfis e ordenar por quantidade de programas por perfil;
  • Listar os perfis e ordenar por quantidade de pessoas com o perfil concedido;
  • Listar os programas, ou transações que compõe os perfis;
  • Avaliar os perfis de direitos concedidos a um grande número de pessoas e verificar se os mesmos podem ser transformados em padrão:
    • Deve ser incluídos direitos para criar um perfil padrão;
    • Deve ser retirado algum direito para criar um perfil padrão.
  • Validar com os gestores os programas que compõe os perfis concedidos, identificar a criticidade e restrição dos programas:
    • Marcar os programas como P quando: O programa é um candidato a padrão, ou seja, passível de ser concedido a todas as pessoas da área;
    • Marcar os programas como R quando: O programa deve ser de acesso restrito, mesmo dentro da área;
    • Marcar o programa como S quando: O programa consta da lista de programas segregados;
    • Marcar o programa com um sinal identificador “*” quando: O programa consta da lista do gestor, mas este não reconhece a responsabilidade sobre o programa.
  • Como base nas análises descritas acima, e nos critérios de seleção, preparar perfis sugestão, como base nas análises e atividades anteriores:
    • Um ou mais perfis candidatos a padrão;
    • Um ou mais perfis com programas/transações Restritas
    • Um ou mais perfis com programas Segregados (respeitando a segregação)
  • Validar o gestor da área, e definir as ações de alteração;
  • Validar com o gestor da área os responsáveis por conceder e revisar os perfis;
  • Validar com segurança e compliance se é necessária aprovação adicional, por exemplo, por um gestor de segregações.

Abordagem por processo

Esta abordagem busca definir perfis com base em necessidades de atendimento a um processo já definido.  Um processo típico define as ações para atender as necessidades Os passos recomendados para seguir com esta abordagem são:

  • Listar os perfis e ordenar por quantidade de programas por perfil e pessoas com o perfil concedido;
  • Avaliar os perfis de direitos concedidos a um grande número de pessoas e verificar se os mesmos podem ser transformados em padrão.
    • Deve ser incluídos direitos para criar um perfil padrão;
    • Deve ser retirado algum direito para criar um perfil padrão.
  • Validar o gestor do processo, e definir as ações de alteração;
  • Listar os programas, que compõe o Perfil e identificar as éreas a que os direitos estão vinculados.
  • Validar com o gestor da área, se é aceitável delegar o poder de aprovação, nomeando os responsáveis por conceder e revisar os perfis;
  • Validar com segurança e compliance se é necessária aprovação adicional, por exemplo, por um gestor de segregações.
  • Verificar com compliance, qual o nível de formalização é necessário, para registrar a decisão de delegar as aprovações e revisões.

Ferramentas e padrões

Para as atividades descritas acima, é muito útil o apoio de tecnologia como planilha e ferramenta de base de dados.  As ferramentas permitem importar e exportar as informações, bem como simular situações e construir estruturas que alertem em caso de conflitos.

Agora que você já entendeu todo o processo do Perfil de agrupamentos de direitos na GIA, que tal implementar na sua empresa?

Converse com um especialista E-TRUST e descubra a solução ideal.

 

São Paulo, SP

R. Peixoto Gomide, 996 6° andar
CEP: 01409-000, Cerqueira César
(11) 5521-2021
[email protected]

Porto Alegre, RS

Rua Ramiro Barcelos, 630 6° andar
CEP: 90035-001, Floresta
(51) 2117-1000
[email protected]

Miami, FL, US

299 Alhambra Cir #403
Coral Gables, FL 33134
[email protected]

Acompanhe

Política de Privacidade

ESG na E-TRUST