Em seus esforços contínuos para melhoria da segurança da informação, a idwall tem cada vez mais se empenhado em estar atualizada e alinhada com as melhores práticas de governança e tecnologias de mercado.
Dentro dessas melhores práticas, sobretudo quando trazemos o tema de gestão de acessos, nos deparamos com o conceito de Segregação de Funções.
Mas afinal o que significa esse termo e como ele pode auxiliar uma empresa a se tornar mais madura e segura do ponto de vista de segurança da informação?
O que você vai conferir:
O que é a segregação de funções?
A segregação de funções (SoD, ou Segregation of Duties) é um princípio de controle interno que determina que as funções conflitantes entre si, nos diferentes processos de uma organização, sejam separadas entre diferentes pessoas, com o objetivo de evitar riscos.
Funções e por que segregá-las
Todo processo, seja ele simples ou complexo, que faça ou não uso de metodologias modernas e ágeis que seja rápido ou leve meses para ser executado, possui diferentes tarefas ou funções a serem cumpridas a fim de se alcançar o objetivo final.
Mesmo nos casos em que não exista um documento formal ou fluxograma indicando quais são as atribuições e o passo a passo intuitivamente as funções estão ali embutidas.
Quer um exemplo? Que tal pensarmos em um processo de compras corporativo? Sem muito esforço, podemos pensar num fluxo como esse:
É claro que quem já foi ou é de alguma área de compras, ao ler a linha acima vai dar gostosas risadas pela simplificação extrema do processo, mas para fins didáticos vamos usá-lo nesse momento.
Pensando no caso apresentado, um possível conflito de funções consiste na mesma pessoa realizar o pedido de compra e realizar o pagamento dessa compra sem que ninguém tome conhecimento.
É claro que a definição sobre quais tarefas devem ser segregadas e a extensão do conflito é um trabalho muito mais complexo, pois pode não estar restrito a apenas uma área, uma vez que processos corporativos envolvem muitas áreas dentro de uma empresa. Além disso, o tema abrange a análise de risco que podem considerar também áreas de compliance, riscos e controles internos.
E o que a Segurança da Informação tem a ver com isso?
Quando falamos de um ambiente que faz uso de ambiente sistêmico, seja ele qual for, não basta dizer a pessoa A que o trabalho dela é fazer o pedido de compra e dizer a pessoa B que o trabalho dela é efetuar o pagamento.
É preciso fornecer os acessos sistêmicos que permitam que elas efetuem essas funções nos sistemas da empresa e garantir que nenhuma das duas pessoas possua simultaneamente os dois acessos.
Nesse momento, a segurança da informação através da gestão de identidades e acessos torna-se uma peça fundamental na criação e manutenção de um ambiente com a segregação de funções.
Essa não é uma tarefa fácil, visto que envolve desde a identificação dos riscos – como citado anteriormente, pode partir de diversas áreas que conheçam o processo de cabo a rabo; a tradução desses riscos para o ambiente sistêmico; a manutenção dos acessos garantidos as regras definidas e posteriormente, monitoramentos e controles sobre os casos necessários.
“Mas eu controlo meus acessos sensíveis, críticos e administrativos, não seria suficiente?”
Quando temos uma única função cujo acesso sistêmico pode gerar riscos ou ameaças para a organização e por isso esse acesso deveria ser restrito, controlado ou monitorado, estamos falando de um caso de acesso sensível (ou sensitive access – algumas organizações também referem-se como apenas acessos críticos).
Normalmente é um dos primeiros tópicos endereçados na gestão de acessos, pois partem muitas vezes dos próprios acessos admin das equipes de TI e segurança e também dos acessos de alçadas elevadas (ainda que não estejam restritos a apenas esses dois tipos).
Para configurarmos um conflito de funções que demande uma SoD, precisamos olhar sempre para as combinações de acessos que somadas podem gerar um risco para a organização.
Talvez, apenas criar um pedido de compras não seja uma função crítica para a empresa, mas quando combinada a função de pagamento, permite que pedidos sejam criados e pagos, sem que nenhuma outra pessoa tome conhecimento do fato.
Definidos os conceitos, vamos voltar para o nosso exemplo e entender como tudo isso se traduz do ponto de vista de acessos: Se a pessoa A precisa criar os pedidos de compra, talvez ela precise ter acesso a um sistema X com o perfil de “Criador de pedidos”. Seria bastante intuitivo, mas quem disse que o sistema X possui o perfil “Criador de pedidos” já pronto e com esse nome?
Sistemas corporativos em muitos casos podem até ter uma interface amigável para o usuário final, mas em geral, sua gestão interna de acessos é tudo menos amigável para a equipe de Segurança da informação.
Não é raro nos depararmos com perfis de acessos já fornecidos pelo fabricante que são confusos, trazendo em si riscos inerentes ou mesmo os parâmetros internos do sistema. Também podem considerar atribuições de acesso concedidas por funcionalidade ou habilidade de maneira que o perfil precisa ser cuidadosamente montado pela equipe de segurança da informação antes que possa ser associado ao usuário.
Além disso, não podemos nos esquecer dos processos na própria TI que podem requerer uma avaliação sobre conflitos de funções como, por exemplo, o desenvolvimento seguro através de SDLC.
Boas práticas de segregação de funções
- Entenda quais funções trazem riscos para a organização e devem ser segregadas, mas também avalie e classifique o grau de risco envolvido. Caso contrário, corre-se o risco de usar a mesma régua para conflitos de graus e severidade totalmente diferentes.
- Entenda quais os sistemas e perfis concedem acesso a essas habilidades aos usuários e caso necessário crie regras de acesso ou até mesmo uma matriz para registrar esse conhecimento.
- Aplique as regras ou a matriz no seu processo de gestão de acesso, seja ele manual ou automatizado, de maneira que eles sejam considerados e que os casos de conflitos de função sejam identificados antes que os acessos sejam concedidos. É importante que os aprovadores de acessos tenham conhecimento tanto das regras quanto dos riscos de SoD envolvidos no momento em que aprovam ou reprovam determinado acesso.
- Considere aplicar também as regras ou a matriz definida na revisão dos acessos.
Socorro, não consigo segregar! O que eu faço?
Em muitos casos atingir a segregação plena pode ser complicado ou mesmo impossível por diversos fatores, o mais comum deles a falta de headcount. Ou seja, simplesmente não existem pessoas suficientes para assumir as funções que precisam ser segregadas. Nesse caso, o que fazer?
É possível conviver com conflitos de funções nos acessos, mas isso vai exigir um pouco de esforço adicional do ponto de vista de controles de segurança da informação para que o risco incidente não se materialize (ou seja, que a pessoa com acessos conflitantes efetivamente execute indevidamente às duas funções com risco para uma mesma transação).
Isso pode ser evitado identificando por meio de diferentes tipos de controles compensatórios, preventivos ou detectivos, como, por exemplo:
- Inclusão de um passo de aprovação obrigatória por alçada competente: Nesse caso, ainda que a mesma pessoa consiga realizar às duas atividades, haverá uma aprovação de seu gestor envolvida no processo.
- Monitoramento das ocorrências: Essa opção até pode ser realizada de forma manual (por meio da extração e revisão de relatórios), mas a automatização do monitoramento será sempre a melhor opção, seja por meio de RPAs (Robotic Process Automation) ou pela configuração de ferramentas de logs (SIEMs, ferramentas de GRC, etc).
Dessa forma, com as ferramentas devidamente configuradas é possível definir os critérios das funções conflitantes que precisam ser monitoradas caso ocorra uma materialização, bem como as definições das ações posteriores a essa ocorrência, que podem envolver o disparo de alertas para equipes responsáveis, o bloqueio em si da transação ou o envio para a revisão de um responsável com alçada competente.
Esse é um artigo bastante introdutório ao tema de segregação de funções na gestão de acessos, e tenham em mente que a complexidade dele varia de acordo com a complexidade dos processos, das empresas e também dos sistemas envolvidos.
Em alguns casos, tratar a SoD envolvendo projetos longos e que mobilizam todas as áreas de uma empresa podem necessitar de equipes de segurança da informação, sobretudo governança, apenas dedicadas a esse tema. Então desse ponto de partida há ainda um mundo de assuntos para serem tratados!
Quer contar com o conhecimento dos especialistas da da idwall na sua empresa? Preencha o formulário abaixo e entraremos em contato!
