Rhand Leal
novembro 23, 2016
As soluções e tecnologias da informação e comunicação de hoje permitem que poucas pessoas lidem com uma grande quantidade de informações e processos (ex.: operadores de bolsa de valores e controladores de tráfego aéreo).
Enquanto isto é bom para aumentar a produtividade, um efeito potencial colateral é que estas poucas pessoas podem terminar acumulando conhecimento e/ou privilégios excessivos sobre o ambiente operacional e, caso estejam ausentes ou tenham intenções maliciosas, isto pode se provar como um risco inaceitável, que precisa ser tratado.
Este artigo apresentará um conceito amplamente usado para abordar esta situação, a segregação de funções, e como a ISO 27001 a considera em um SGSI para minimizar o risco de uma única posição possa ter a oportunidade de comprometer as atividades de uma organização.
Segregação de funções refere-se a práticas onde o conhecimento e/ou privilégios necessários para se completar um processo são quebrados e divididos entre múltiplos usuários de forma que apenas um seja capaz de executá-lo ou controla-lo sozinho.
A principal razão de se aplicar a segregação de funções é prevenir a realização e ocultação de fraude e erro no curso normal das atividades, uma vez que havendo mais de uma pessoa para realizar uma atividade se minimiza a oportunidade de transgressões e aumenta as chances de se detectá-la, assim como de se detecta erros não intencionais.
Os princípios que podem ser aplicados a segregação de funções são:
Você pode notar que estes princípios podem ser usados de forma isolada ou em conjunto, dependendo da segurança que uma organização requer para proteger seus processos.
A ISO 27001 considera a segregação de funções um dos potenciais controles a serem aplicados para controla a implementação e operação da segurança da informação dentro da organização (controle A.6.1.2 do Anexo A).
O controle da norma requer que atividades e áreas de reponsabilidade conflitantes sejam segregadas de forma a reduzir o risco de um acesso não autorizado a um ativo ou uma modificação ou mau uso não intencional. A determinação de se o controle é aplicável e quais atividades e áreas deveriam estar sob o controle A.6.1.2 deve ser feita de acordo com os resultados de uma avaliação de riscos.
Uma vez que o conceito de segregação de funções é bem direto, a ISO 27002, a norma que provê práticas para controles de segurança, não provê muito mais informação adicional do que aquela previamente apresentada neste artigo, exceto por dois pontos:
Mas, como a segregação de funções é implementada? Basicamente, estas etapas deveriam ser seguidas como parte de um plano de tratamento de riscos:
Para mais informação sobre documentação de responsabilidades, veja: Como documentar papéis e responsabilidades de acordo com a ISO 27001.
Algumas vezes a segregação de funções é impraticável porque a organização é muito pequena para designer funções para pessoas diferentes. Em outros casos, quebrar as atividades pode reduzir a eficiência do negócio e aumentar os custos, complexidade, e requisitos de pessoa.
Nestas situações, controles de compensação deveriam estar implementados para assegurar que mesmo sem a segregação de funções os riscos identificados estão sendo apropriadamente tratados. Exemplos de controles de compensação são:
Crimes requerem três fatores para serem possíveis: meios, motivo e oportunidade. Processos extremamente enxutos aumentam o risco de crimes ao concentrar meios e oportunidade (acesso ao, e privilégios sobre o, processo). Ao implementar a segregação de funções, uma organização minimiza os riscos ao separar conhecimento e privilégios.
Contudo, os benefícios da segregação de funções devem ser equilibrados com o aumento do custo/esforço requerido. Ao usar os requisitos para avaliação de riscos da ISO 27001, uma organização pode identificar os elementos mais vulneráveis e críticos a missão do negócio para os quais a segregação de funções representará valor agregado real ao negócio e a outras partes interessadas.
Para aprender mais sobre segregação de funções de acordo com a ISO 27001, tente nosso ISO 27001:2013 Foundations Course online gratuito.