Protiviti - Segregação de funções

Matriz de Riscos SoD

Os serviços de Análise de Riscos de SoD e Revisão de Perfis de Acesso da Protiviti ajudam as organizações a compreender seus principais riscos relacionados a acessos conflitantes ou críticos e como elas podem estabelecer controles para tratar esses riscos, seja por meio da correção de segurança na revisão de Perfis de Acesso aos mais diversos sistemas e funcionalidades sistêmicas, no redesenho dos processos de negócio, para que as responsabilidades atribuídas aos usuários sejam alteradas ou no estabelecimento de controles compensatórios para mitigação do risco de SoD para um nível aceitável.

ENTRE EM CONTATO

IAM, IGA, PAM e SOD: entenda as diferenças

IAM (Identity and Access Management): solução de gerenciamento de identidade e acesso que fornece controle centralizado e seguro sobre o acesso aos recursos de TI de uma organização. É usado para gerenciar o acesso de usuários, aplicativos e serviços a sistemas, aplicativos e dados.

IGA (Identity Governance and Administration): solução mais avançada de gerenciamento de identidade que inclui recursos de governança e permite gerenciar de forma mais granular os acessos, incluindo funções e papéis específicos.

PAM (Privileged Access Management): solução de gerenciamento de acesso privilegiado que gerencia e monitora o acesso de usuários com privilégios elevados, como administradores de sistemas. Protege contra ameaças internas e externas, limitando o acesso de administradores a recursos críticos e monitorando o uso desses recursos.

SOD (Segregation of Duties): essa solução de gerenciamento de segregação de funções garante que as funções críticas da organização não sejam desempenhadas pela mesma pessoa. É  essencial para garantir a integridade dos dados e reduzir o risco de fraudes internas.

Análise e Tratamento de Riscos causados pela falta de Segregação de Funções

Uma das formas de se evitar falhas ou fraudes nas organizações é a descentralização do poder, estabelecendo independência para as funções de execução operacional e custódia de ativos, autorização ou aprovação de transações relacionadas a esses ativos e monitoramento das ações tomadas sobre os ativos. Ou seja, ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação. Esse é o princípio da Segregação de Funções, cujo acrônimo bastante utilizado é SoD, do Inglês Segregation of Duties. A ideia básica é que nenhum funcionário ou grupo de funcionários tenha poderes ou esteja em posição de cometer ou ocultar erros e fraudes.

Os serviços de Análise de Riscos de SoD e Revisão de Perfis de Acesso da Protiviti ajudam as organizações a compreender seus principais riscos relacionados a acessos conflitantes ou críticos e como elas podem estabelecer controles para tratar esses riscos, seja por meio da correção de segurança na revisão de Perfis de Acesso aos mais diversos sistemas e funcionalidades sistêmicas, no redesenho dos processos de negócio, para que as responsabilidades atribuídas aos usuários sejam alteradas ou no estabelecimento de controles compensatórios para mitigação do risco de SoD para um nível aceitável.

A Protiviti oferece serviços relacionados a SoD que permitem as organizações aumentarem sua maturidade no assunto, aumentando suas chances de sucesso na gestão dos riscos associados.

Nossa abordagem

O processo de Análise de Riscos de SoD e Revisão de Perfis de Acesso baseia-se em nossa experiência na Identificação dos possíveis conflitos de segregação de funções (SoD) e das transações críticas e na revisão do desenho dos perfis de acesso, bem como na recomendação de controles compensatórios para os riscos de SoD aceitos pelas organizações.

ENCONTRO DE USUÁRIOS ALTERYX

Confira a apresentação AlteryxSOD: Domine o Gerenciamento de Riscos de SOD com a Eficiência do Alteryx, com Erick Santos e Rafael Carniato, da Protiviti

ASSISTIR AGORA

Nossos diferenciais

  • Gestores com mais de 15 anos de experiência em TI, Segurança da Informação, auditoria, gestão de riscos e desenvolvimento e implantação de estratégias de Tecnologia e Segurança da Informação.
  • Equipe de profissionais multidisciplinar com visão integrada de GRC nas camadas processos, sistemas, pessoas, gestão e infraestrutura.
  • Alcance global, via nossa rede de escritórios Protiviti.

Nossos parceiros

INDICAMOS PARA VOCÊ

A importância da proteção de identidades e acessos

24 de maio de 2024

A proteção de identidade e acessos é parte fundamental do processo de fortalecer a segurança da sua empresa.

Leia mais

Análise de dados: a diferença entre o sucesso e o fracasso nas fusões e aquisições

3 de fevereiro de 2023

A implementação de uma ferramenta de análise de dados massivo é uma etapa crítica na jornada de migração em fusões e aquisições.

Leia mais

Segregação de funções na SOX permite aprimorar a auditoria com menor esforço

31 de janeiro de 2023

Para os auditores independentes para certificação SOX, quanto maior a preocupação com a SoD, maior é o nível de maturidade de governança.

Leia mais

Inovação e novas maneiras de proteção de dados

16 de junho de 2020

É crucial a adoção de medidas de segurança para proteção de dados, evitando que eles caiam nas mãos erradas em qualquer etapa.

Leia mais

Eduardo Maia

Diretor Associado de Tech Governance da Protiviti, formado em engenharia da computação, com MBA em Gestão de Negócios pela FGV, possui cerca de 15 anos de experiência em Consultoria de Tecnologia com foco em Riscos, Auditoria de TI, Segurança da Informação, Governança de TI e Continuidade de Negócios.

Erick Matheus Santos

Gerente Associado de Tech Governance. Formado em Análise e Desenvolvimento de Sistemas, com mais de 10 anos de experiência em IT Risk. Em 2016, Erick aceitou o novo desafio e sua função foi incorporada à equipe da Protiviti.

Artigo: Inovação e novas maneiras de proteção de dados

Ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação.

Confira na íntegra

SOLICITE UMA PROPOSTA COMERCIAL






    Ao informar meus dados, reconheço que li e compreendi os termos expressos na Política de Privacidade da ICTS e concordo, de maneira livre, informada e inequívoca, em fornecer estes dados.