As solu\u00e7\u00f5es e tecnologias da informa\u00e7\u00e3o e comunica\u00e7\u00e3o de hoje permitem que poucas pessoas lidem com uma grande quantidade de informa\u00e7\u00f5es e processos (ex.: operadores de bolsa de valores e controladores de tr\u00e1fego a\u00e9reo).<\/p>\n
Enquanto isto \u00e9 bom para aumentar a produtividade, um efeito potencial colateral \u00e9 que estas poucas pessoas podem terminar acumulando conhecimento e\/ou privil\u00e9gios excessivos sobre o ambiente operacional e, caso estejam ausentes ou tenham inten\u00e7\u00f5es maliciosas, isto pode se provar como um risco inaceit\u00e1vel, que precisa ser tratado.<\/p>\n
Este artigo apresentar\u00e1 um conceito amplamente usado para abordar esta situa\u00e7\u00e3o, a segrega\u00e7\u00e3o de fun\u00e7\u00f5es, e como a ISO 27001<\/a> a considera em um SGSI para minimizar o risco de uma \u00fanica posi\u00e7\u00e3o possa ter a oportunidade de comprometer as atividades de uma organiza\u00e7\u00e3o.<\/p>\n Segrega\u00e7\u00e3o de fun\u00e7\u00f5es refere-se a pr\u00e1ticas onde o conhecimento e\/ou privil\u00e9gios necess\u00e1rios para se completar um processo s\u00e3o quebrados e divididos entre m\u00faltiplos usu\u00e1rios de forma que apenas um seja capaz de execut\u00e1-lo ou controla-lo sozinho.<\/p>\n A principal raz\u00e3o de se aplicar a segrega\u00e7\u00e3o de fun\u00e7\u00f5es \u00e9 prevenir a realiza\u00e7\u00e3o e oculta\u00e7\u00e3o de fraude e erro no curso normal das atividades, uma vez que havendo mais de uma pessoa para realizar uma atividade se minimiza a oportunidade de transgress\u00f5es e aumenta as chances de se detect\u00e1-la, assim como de se detecta erros n\u00e3o intencionais.<\/p>\n Os princ\u00edpios que podem ser aplicados a segrega\u00e7\u00e3o de fun\u00e7\u00f5es s\u00e3o:<\/p>\n Voc\u00ea pode notar que estes princ\u00edpios podem ser usados de forma isolada ou em conjunto, dependendo da seguran\u00e7a que uma organiza\u00e7\u00e3o requer para proteger seus processos.<\/p>\n A ISO 27001 considera a segrega\u00e7\u00e3o de fun\u00e7\u00f5es um dos potenciais controles a serem aplicados para controla a implementa\u00e7\u00e3o e opera\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o dentro da organiza\u00e7\u00e3o (controle A.6.1.2 do Anexo A).<\/p>\n O controle da norma requer que atividades e \u00e1reas de reponsabilidade conflitantes sejam segregadas de forma a reduzir o risco de um acesso n\u00e3o autorizado a um ativo ou uma modifica\u00e7\u00e3o ou mau uso n\u00e3o intencional. A determina\u00e7\u00e3o de se o controle \u00e9 aplic\u00e1vel e quais atividades e \u00e1reas deveriam estar sob o controle A.6.1.2 deve ser feita de acordo com os resultados de uma avalia\u00e7\u00e3o de riscos<\/a>.<\/p>\n Uma vez que o conceito de segrega\u00e7\u00e3o de fun\u00e7\u00f5es \u00e9 bem direto, a ISO 27002<\/a>, a norma que prov\u00ea pr\u00e1ticas para controles de seguran\u00e7a, n\u00e3o prov\u00ea muito mais informa\u00e7\u00e3o adicional do que aquela previamente apresentada neste artigo, exceto por dois pontos:<\/p>\n Mas, como a segrega\u00e7\u00e3o de fun\u00e7\u00f5es \u00e9 implementada? Basicamente, estas etapas deveriam ser seguidas como parte de um plano de tratamento de riscos<\/a>:<\/p>\n Para mais informa\u00e7\u00e3o sobre documenta\u00e7\u00e3o de responsabilidades, veja: Como documentar pap\u00e9is e responsabilidades de acordo com a ISO 27001<\/a>.<\/p>\n Algumas vezes a segrega\u00e7\u00e3o de fun\u00e7\u00f5es \u00e9 impratic\u00e1vel porque a organiza\u00e7\u00e3o \u00e9 muito pequena para designer fun\u00e7\u00f5es para pessoas diferentes. Em outros casos, quebrar as atividades pode reduzir a efici\u00eancia do neg\u00f3cio e aumentar os custos, complexidade, e requisitos de pessoa.<\/p>\n Nestas situa\u00e7\u00f5es, controles de compensa\u00e7\u00e3o deveriam estar implementados para assegurar que mesmo sem a segrega\u00e7\u00e3o de fun\u00e7\u00f5es os riscos identificados est\u00e3o sendo apropriadamente tratados. Exemplos de controles de compensa\u00e7\u00e3o s\u00e3o:<\/p>\n Crimes requerem tr\u00eas fatores para serem poss\u00edveis: meios, motivo e oportunidade. Processos extremamente enxutos aumentam o risco de crimes ao concentrar meios e oportunidade (acesso ao, e privil\u00e9gios sobre o, processo). Ao implementar a segrega\u00e7\u00e3o de fun\u00e7\u00f5es, uma organiza\u00e7\u00e3o minimiza os riscos ao separar conhecimento e privil\u00e9gios.<\/p>\n Contudo, os benef\u00edcios da segrega\u00e7\u00e3o de fun\u00e7\u00f5es devem ser equilibrados com o aumento do custo\/esfor\u00e7o requerido. Ao usar os requisitos para avalia\u00e7\u00e3o de riscos da ISO 27001, uma organiza\u00e7\u00e3o pode identificar os elementos mais vulner\u00e1veis e cr\u00edticos a miss\u00e3o do neg\u00f3cio para os quais a segrega\u00e7\u00e3o de fun\u00e7\u00f5es representar\u00e1 valor agregado real ao neg\u00f3cio e a outras partes interessadas.<\/p>\nDefini\u00e7\u00e3o geral de segrega\u00e7\u00e3o de fun\u00e7\u00f5es, prop\u00f3sito e princ\u00edpios<\/h2>\n
\n
Objetivos e orienta\u00e7\u00f5es da s\u00e9rie ISO 27001 sobre segrega\u00e7\u00e3o de fun\u00e7\u00f5es<\/h2>\n
\n
Implementando a segrega\u00e7\u00e3o de fun\u00e7\u00f5es<\/h2>\n
\n
\n
\n
Alternativas a segrega\u00e7\u00e3o de fun\u00e7\u00f5es<\/h2>\n
\n
\u00c0s vezes, ter todos os seus ovos em uma cesta n\u00e3o \u00e9 uma boa ideia<\/h2>\n