A importância de uma abordagem granular para o controle de segregação.

Ao longo de mais de uma década trabalhando como consultor e auditor em projetos de segregação de funções (SoD), deparei-me inúmeras vezes com clientes que utilizavam uma simples "matriz de perfis conflitantes" como sua principal ferramenta para detectar e tratar conflitos de SoD. Embora essa abordagem, conhecida também como "Mapa de Perfis SoD" ou "Planilha de Funções Incompatíveis", seja conceitualmente válida, ela acaba se mostrando insuficiente para garantir uma segregação de funções eficaz.

O conceito por trás dessa matriz é basicamente identificar pares de perfis que não devem ser acumulados por violarem os princípios da segregação de funções. Por exemplo, os perfis "Tesouraria" e "Contas a Pagar" são considerados incompatíveis, pois quem lança uma conta a pagar não deveria ser responsável por liberar o pagamento. Parece lógico, certo?

No entanto, há uma armadilha nesse tipo de abordagem: a manutenção dos perfis. Explico a seguir:

1. Ações em sistemas são realizadas a partir de transações (programas, comandos);
2. Perfis de acesso são compostos por permissões (transações, objetos, valores de campo, entre outras);
3. Usuários possuem as permissões que compõem os perfis que lhes foram atribuídos.

No exemplo do conflito entre os perfis "Contas a Pagar" e "Tesouraria", o mapeamento inicial identifica a incompatibilidade das permissões. No entanto, se um usuário tiver acesso ao perfil "Contas a Pagar" e o perfil for modificado para incluir uma transação que libera pagamentos, a segregação de funções será violada. Ou seja, mesmo que o usuário não acumule os dois perfis ao mesmo tempo, a modificação do perfil irá gerar riscos não identificados previamente.

Para evitar esses "falsos negativos" e garantir um controle mais preciso da segregação de funções, é essencial substituir o conceito de "perfis incompatíveis" pelo conceito de "permissões incompatíveis". Isso significa que é necessário um mapeamento mais detalhado, incluindo informações sobre transações, objetos, tipos de documentos e valores de campo. Quanto mais granular for essa análise, mais eficaz será o controle de SoD.

A melhor maneira de implementar esse monitoramento granular de SoD é através de uma ferramenta especializada de Gerenciamento de Identidade e Acesso (IAM) com funcionalidades específicas para SoD. Esqueça as planilhas e os checklists! Um bom software de SoD será capaz de monitorar em nível de transações e objetos as regras de segregação de funções. A cada solicitação de acesso, as regras serão avaliadas automaticamente, garantindo um ambiente controlado de forma preventiva. Além disso, a ferramenta permitirá que se analise pontualmente os acessos que já estão atribuídos, o que permite uma avaliação detectiva, caso haja alguma mudança nas regras de SoD.

Pensando nessa necessidade de controle eficaz de SoD, a Vennx desenvolveu o Vennx Access Radar, uma solução de IAM/SoD que combina desempenho, simplicidade de uso e um excelente valor de investimento. Com essa ferramenta, empresas de qualquer porte podem garantir uma gestão de acessos robusta e eficiente.

Se você reconhece esse cenário em sua empresa e busca uma abordagem mais precisa e eficaz para o controle de SoD, não hesite em conhecer mais sobre o Vennx Access Radar. Sinta-se à vontade para nos contatar, clicando aqui.

‍