Segregação de funções em seu SGSI de acordo com a ISO 27001 A.6.1.2

Advisera Rhand Leal Rhand Leal
novembro 23, 2016

As soluções e tecnologias da informação e comunicação de hoje permitem que poucas pessoas lidem com uma grande quantidade de informações e processos (ex.: operadores de bolsa de valores e controladores de tráfego aéreo).

Enquanto isto é bom para aumentar a produtividade, um efeito potencial colateral é que estas poucas pessoas podem terminar acumulando conhecimento e/ou privilégios excessivos sobre o ambiente operacional e, caso estejam ausentes ou tenham intenções maliciosas, isto pode se provar como um risco inaceitável, que precisa ser tratado.

Este artigo apresentará um conceito amplamente usado para abordar esta situação, a segregação de funções, e como a ISO 27001 a considera em um SGSI para minimizar o risco de uma única posição possa ter a oportunidade de comprometer as atividades de uma organização.

Definição geral de segregação de funções, propósito e princípios

Segregação de funções refere-se a práticas onde o conhecimento e/ou privilégios necessários para se completar um processo são quebrados e divididos entre múltiplos usuários de forma que apenas um seja capaz de executá-lo ou controla-lo sozinho.

A principal razão de se aplicar a segregação de funções é prevenir a realização e ocultação de fraude e erro no curso normal das atividades, uma vez que havendo mais de uma pessoa para realizar uma atividade se minimiza a oportunidade de transgressões e aumenta as chances de se detectá-la, assim como de se detecta erros não intencionais.

Os princípios que podem ser aplicados a segregação de funções são:

  • Separação sequencial, quando uma atividade é quebrada em etapas realizadas por diferentes pessoas (ex.: solicitação, autorização e implementação de direitos de acesso)
  • Separação individual, when at least two persons must approve an activity before it is done (ex.: pagamento de empreiteiro)
  • Separação espacial, quando diferentes atividades são realizadas em diferentes locais (ex.: localizações diferentes para receber e armazenar matéria prima)
  • Separação fatorial, quando vários fatores contribuem para se completar a atividade (ex.: acesso por autenticação de dois fatores).

Você pode notar que estes princípios podem ser usados de forma isolada ou em conjunto, dependendo da segurança que uma organização requer para proteger seus processos.

Objetivos e orientações da série ISO 27001 sobre segregação de funções

A ISO 27001 considera a segregação de funções um dos potenciais controles a serem aplicados para controla a implementação e operação da segurança da informação dentro da organização (controle A.6.1.2 do Anexo A).

O controle da norma requer que atividades e áreas de reponsabilidade conflitantes sejam segregadas de forma a reduzir o risco de um acesso não autorizado a um ativo ou uma modificação ou mau uso não intencional. A determinação de se o controle é aplicável e quais atividades e áreas deveriam estar sob o controle A.6.1.2 deve ser feita de acordo com os resultados de uma avaliação de riscos.

Uma vez que o conceito de segregação de funções é bem direto, a ISO 27002, a norma que provê práticas para controles de segurança, não provê muito mais informação adicional do que aquela previamente apresentada neste artigo, exceto por dois pontos:

  • O projeto do controle deve considerar a possibilidade de conluio (quando duas ou mais partes concordam em cometer fraude ou obter uma vantagem injusta ao comprometer a execução do processo)
  • Quando a segregação de funções é difícil ou impossível de se atingir, controles de compensação deveriam ser aplicados (informação detalhada será apresentada mais adiante neste artigo)

Implementando a segregação de funções

Mas, como a segregação de funções é implementada? Basicamente, estas etapas deveriam ser seguidas como parte de um plano de tratamento de riscos:

  1. Identificação das funções que são indispensáveis para as atividades da organização, e potencialmente sujeitas a abuso, considerando tanto os direcionadores de negócio como a conformidade regulatória (ex.: SOX)
  2. Divisão da função em etapas separadas, considerando tanto o conhecimento necessário para a função trabalhar como os privilégios que possibilitam que a função seja abusada
  3. Definição de um ou mais princípios de segregação a serem aplicados. Exemplos de funções e princípios de segregação a serem aplicados são:
    1. Funções de autorização (ex.: duas pessoas precisam autorizar um pagamento)
    2. Funções de documentação (ex.: uma pessoa cria um documento e outra o aprova)
    3. Custódia de ativos (ex.: criação e armazenamento de cópia de segurança em sites diferentes)
    4. Reconciliação ou auditoria (ex.: uma pessoa realiza o inventario e outra o valida)

Para mais informação sobre documentação de responsabilidades, veja: Como documentar papéis e responsabilidades de acordo com a ISO 27001.

Alternativas a segregação de funções

Algumas vezes a segregação de funções é impraticável porque a organização é muito pequena para designer funções para pessoas diferentes. Em outros casos, quebrar as atividades pode reduzir a eficiência do negócio e aumentar os custos, complexidade, e requisitos de pessoa.

Nestas situações, controles de compensação deveriam estar implementados para assegurar que mesmo sem a segregação de funções os riscos identificados estão sendo apropriadamente tratados. Exemplos de controles de compensação são:

  • Monitoramento de atividades: este permite que as atividades sejam supervisionadas enquanto em progresso, como uma forma de assegurar que elas estão sendo realizadas adequadamente. Para mais informação, veja: Logging and monitoring according ISO 27001 A.12.4.
  • Trilhas de auditoria: estas permitem a organização recriar os reais eventos desde o início até a sua situação atual (ex.: quem iniciou o evento, a hora do dia e data, etc.). Para mais informação sobre como determinar as informações a serem rastreadas, veja: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.
  • Supervisão pela gestão: isto permite avaliação e tratativa apropriada e em tempo hábil de situações excepcionais.

Às vezes, ter todos os seus ovos em uma cesta não é uma boa ideia

Crimes requerem três fatores para serem possíveis: meios, motivo e oportunidade. Processos extremamente enxutos aumentam o risco de crimes ao concentrar meios e oportunidade (acesso ao, e privilégios sobre o, processo). Ao implementar a segregação de funções, uma organização minimiza os riscos ao separar conhecimento e privilégios.

Contudo, os benefícios da segregação de funções devem ser equilibrados com o aumento do custo/esforço requerido. Ao usar os requisitos para avaliação de riscos da ISO 27001, uma organização pode identificar os elementos mais vulneráveis e críticos a missão do negócio para os quais a segregação de funções representará valor agregado real ao negócio e a outras partes interessadas.

Para aprender mais sobre segregação de funções de acordo com a ISO 27001, tente nosso  ISO 27001:2013 Foundations Course online gratuito.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001
Post anterior Como é o treinamento de Implementador da ISO 27001?
Próximo post Como a ISO 27001 pode ajudar a proteger sua organização contra ransomware?

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Política de mesa limpa e tela limpa – O que a ISO 27001 requer?
by Rhand Leal