SoD – Segregação de funções

SoD – Segregação de funções
SoD – Segregação de funções

Body

Uma das formas de se evitar falhas ou fraudes nas organizações é a descentralização do poder, estabelecendo independência para as funções de execução operacional e custódia de ativos, autorização ou aprovação de transações relacionadas a esses ativos e monitoramento das ações tomadas sobre os ativos. 

Ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação. Este é o princípio da Segregação de Funções, cujo acrônimo bastante utilizado é SoD, do Inglês Segregation of Duties. A ideia básica é que nenhum funcionário ou grupo de funcionários tenha poderes ou esteja em posição de cometer ou ocultar erros e fraudes.

A análise de riscos de SoD e revisão de perfis de acesso permite que as organizações compreendam seus principais riscos relacionados a acessos conflitantes ou críticos e como elas podem estabelecer controles para tratar esses riscos, seja por meio da correção de segurança na revisão de perfis de acesso aos mais diversos sistemas e funcionalidades sistêmicas, no redesenho dos processos de negócio, para que as responsabilidades atribuídas aos usuários sejam alteradas, ou no estabelecimento de controles compensatórios para mitigação do risco de SoD para um nível aceitável.

 

Nossa abordagem

A ICTS Protiviti oferece serviços para SoD que aumentam a maturidade das organizações e ampliam suas chances de sucesso na gestão dos riscos associados.

 



 

Nosso processo de análise de riscos de SoD e revisão de perfis de acesso baseia-se em nossa experiência na identificação dos possíveis conflitos de segregação de funções (SoD) e das transações críticas, bem como na revisão do desenho dos perfis de acesso e recomendação de controles compensatórios para os riscos de SoD aceitos em cada organização. 

Nossa abordagem inclui a definição do processo de governança de SoD. O estabelecimento da base para a definição da estrutura e da equipe de governança é regido pelos seguintes fatores chave:

Visão Estratégica / Alinhamento com o Negócio: deve ser estabelecida uma visão estratégica alinhada com os requisitos do negócio e que garanta que a segurança / SoD seja abordada de forma organizada e garanta a participação das partes interessadas em toda a organização. 

Políticas e Procedimentos: a identificação das principais políticas e procedimentos que definam que os padrões são claros para a organização e os processos associados necessários para atender a esses padrões. 

Gestão de Riscos: uma metodologia top-down e uma linguagem de risco comum precisam ser implementadas para alinhar os riscos para a organização e quais são procedimentos aceitáveis se os riscos estiverem expostos.

Métricas e Indicadores: uma lista de métricas e indicadores para o Comitê de Governança deve ser criada para gerenciar a organização (por exemplo, conflitos de SoD do usuário, conflitos de SoD da função, SLA de provisionamento, rastreamento de remediação e conformidade de políticas).

Valor para o Negócio: as decisões acima mencionadas precisam garantir que todos os riscos e indicadores sejam aceitos para garantir que o Comitê de Governança adicione valor à organização.

 

Nossos diferenciais

  • Gestores com mais de 15 anos de experiência em TI, Segurança da Informação, auditoria, gestão de riscos e desenvolvimento e implantação de estratégias de Tecnologia e Segurança da Informação.
  • Equipe de profissionais multidisciplinar com visão integrada de GRC nas camadas processos, sistemas, pessoas, gestão e infraestrutura.
  • Alcance global, via nossa rede de escritórios Protiviti.