Por Renato Araujo.

Dentro de um ambiente organizacional é necessário evitar que os usuários de sistemas tenham mais acessos do que realmente precisam para execução de suas funções.

Acessos com perfis administrativos, de aprovações, de visualização de informações críticas/confidenciais e estratégicas, com excesso de privilégios em atividades operacionais, dentre tantos outros riscos, colocam as operações da Empresa em alto grau de probabilidade de ocorrerem fraudes ou operações irregulares.

Para compreensão da aplicação de Segregação de Funções, podemos exemplificar: um cenário de um departamento de vendas, onde um profissional possa definir o preço do serviço/produto, criar a venda, aprová-la e posteriormente definir as informações de faturamento, quais seriam os riscos para a empresa, com este tipo de privilégio de acesso ao usuário?

1. Definir o preço do serviço ou produto (para mais baixo do que o valor de mercado) e favorecer-se disso;
2. Realizar uma venda e faturar, com valor mínimo ou nulo e revender o produto por fora.
3. Realizar a venda em época de fechamento de calendário para bater metas e depois cancelar as vendas realizadas;
4. Realizar vendas para obtenção de comissão e posteriormente cancelá-las.

Possuir mais acessos do que a função determina para desempenhar suas atividades pode causar práticas inconsistentes e indevidas. E isto é mais comum nas Empresas do que se imagina.

Outra ameaça comum é fornecer acessos inadequados a usuários que não sabem lidar com situações ou operações de alto risco, o que geralmente causam danos irreparáveis às organizações, por exemplo:

1. Um usuário alterar ou deletar por engano informações cruciais para o negócio ou encaminhar de forma errônea a pessoas que não poderiam acessar ou visualizar ( Concorrentes por exemplo);
2. Acessos com alto privilégio, mas com gestão de senhas e acessos frágeis facilitam ataques externos (hackers) e possíveis sequestros de informações e/ou ambientes tecnológicos.

Como a organização pode ser prejudicada?

O colaborador com acesso indevido pode fraudar ou criar situações que a empresa fique com controles frágeis e não possa controlar.

Os prejuízos às Empresas causados por este tipo de risco de má gestão de usuários são imensuráveis. Em muitas das vezes, demora-se a perceber ou identificar as operações fraudulentas ou indevidas, sejam elas: Vazamento de informações, perdas financeiras, roubo de dados estratégicos, operações inconsistentes, lavagem de dinheiro, sequestro de dados, dentre tantos outros casos. Além dos prejuízos às operações, podem causar prejuízos irreversíveis a imagem da Empresa. Uma vez isto ocorrido, a credibilidade da Empresa junto ao mercado, acionistas e entidades em que se relaciona ficam abaladas ou irrecuperáveis.

Sejam erros intencionais ou não intencionais, para ambos os casos os resultados são muito impactantes.

Muitas Empresas já tiveram Pontos de Auditoria considerados Graves e em outros casos até Negativa de Opinião em seus Pareceres de Auditoria devido a riscos de segregação de funções em seus ambientes.

Mas como estabelecer restrições de acessos e controles adequados de papeis e responsabilidades de cada usuário?

O primeiro passo é conhecer muito bem sua Empresa, seus processos e saber identificar onde estão todos os seus pontos de controles em cada uma das etapas da operação. Com estas informações, já se sabe qual a estrutura ideal, necessária e possível para que as atividades possam ser executadas de forma adequada e fluente.

Com posse destas informações, mapeia-se todos os riscos possíveis e conhecidos de negócio, estabelecendo as regras de atividades conflitantes e impactos operacionais. Com isso elaborasse a Matriz de Segregação de Funções (SoD). Esta matriz é a regra mapeada de todos os riscos de seu negócio, com seus respectivos impactos e responsáveis por controlá-los.

Com base nesta Matriz, define-se os acessos e a correta estruturação de perfis, de forma a facilitar a gestão e o monitoramento dos acessos.

A Gestão de Acessos com uma Matriz de Segregação de Funções (SoD) é o método ideal para administrar os conflitos de acessos dos usuários.

Como gerenciar acessos conflitantes?

Utilizar uma matriz de segregação de funções é primordial para mapear os riscos e acessos dos usuários. É com ela que serão definidas quais são as regras que devem ser seguidas para minimizar os riscos de acessos dos usuários aos sistemas na empresa.

Diversas empresas alegam não possuir funcionários suficientes para realizar o controle adequado de segregação de funções, mas conhecer os riscos é o primeiro passo para saber monitorar as operações mais críticas e impactantes. O acúmulo de funções, em muitas das vezes, é o maior vilão para este tipo de risco.

Para os riscos que são considerados críticos ou de alto impacto, os acessos devem ser muito bem controlados e monitorados. Para os riscos moderados e baixos é possível estabelecer controles compensatórios de monitoramento. Cabe ressaltar que controles preventivos são mais eficazes e recomendados que controles detectivos.

Mas as empresas que conhecem os seus riscos de acesso criam controles compensatórios para aqueles riscos gerenciáveis?

Observando um cenário onde, por exemplo, o colaborador do departamento de compras pode cotar um produto ou serviço com um fornecedor, realizar a aprovação do pedido de compras e enviar para pagamento: qual seria o controle compensatório para minimizar o risco de fraude neste processo?

Criar um processo de revisão de pedidos que chegam para pagamento, relatórios que mostrem as inconsistências ou tendências de compras, são alguns exemplos de controles compensatórios que minimizam o risco, mas não deixam de onerar o processo. Tendo conhecimento sobre o risco, é mais fácil mitigá-lo criando os controles de acesso. Como dito anteriormente, controles preventivos são mais eficazes que controles detectivos.

Permissões e funções são suficientes?

As organizações precisam fornecer acesso a todos os usuários de acordo com sua função e atividades a serem executadas. O controle de acesso bem implementado indica que um de seus controles preventivos estão devidamente aplicados.

A Matriz de SoD irá mapear quais são as funções conflitantes que não devem existir no ambiente da Empresa, definindo as regras de concessão de acesso e os “donos” das informações críticas de cada processo.

Recomendamos que sua Empresa tenha sua própria Matriz de SoD e não se utilize de uma Matriz genérica, pois cada Empresa possui sua característica e estratégia de operação/negócio.

Periodicamente, a revisão de perfis e usuários é necessária e a mitigação dos riscos neste controle é de extrema importância devido ao impacto que um erro pode ocasionar.

A empresa pode tomar medidas preventivas revisando os riscos e aplicando treinamentos e conscientizando os usuários.

A aplicação de controles de SoD é uma das melhores respostas quanto à mitigação de riscos do Negócio, de forma a trazer maior confiabilidade as operações, aos acionistas e donos da Empresa e para auditorias contábeis externas que são responsáveis por avaliarem e emitirem pareceres sobre as Demonstrações Financeiras.

A segregação de funções é um controle trabalhoso, mas obrigatório e eficaz.

(*) Renato Araujo é Gestor da AuditSafe, especializado em Segurança Cibernética, Gestão de Riscos e Privacidade.

Com a AuditSafe, o seu processo de Diagnóstico, Plano de Ação e Adequação é feito por profissionais certificados nas mais importantes e conceituadas normas internacionais de Segurança da Informação, de Proteção de Dados e Privacidade.

Agende agora uma conversa para conhecer nossa metodologia e os profissionais que poderão atuar com você!