Visão Geral

As organizações hoje devem ser capazes de demonstrar conformidade com várias regulamentações particulares e da indústria, como Sarbanes Oxley, Basiléia, Bacen, etc. Sarbanes Oxley requer que “acessos a recursos devem ser concedidos somente com as necessidades exatas da pessoa conforme definido em suas funções de trabalho”. A organização e seus executivos devem demonstrar conformidade com os requerimentos, tais como:

• Segregação de Papéis: quem tem a combinação de direitos de acesso que podem representar riscos à companhia, violação aos requisitos regulamentares ou às políticas definidas pelo comitê de auditoria interna?
• Transações sensitivas e Privacidade: quem tem os direitos de acesso que são altamente sensitivos ou possuem informações privadas dos usuários
• Coletores: quem ainda possui direitos a privilégios que não são mais necessários (frequentemente associados com perfis de negócio históricos)?
• Nível de risco: quais privilégios e, mais importante ainda, quais combinações de direitos de acesso representam baixo, alto ou inaceitável nível de risco?

A conformidade regulatória e governança corporativa orientam as organizações a investir mais na melhoria da qualidade dos privilégios e em seu alinhamento com as práticas de negócio. Além disso, uma vez que a organização muda continuamente, e uma vez que as regulamentações também mudam de tempos em tempos, deve-se implementar um sistema e processos flexíveis de demonstração da conformidade. Para ser capaz de realizar estas atividades repetidamente, as empresas estão buscando formas de automatizar os processos de revisão dos privilégios, bem como a verificação periódica da conformidade com a Segregação de Papéis (Segregation of Duties) e outras restrições de negócios na distribuição de direitos de acesso.

A Necessidade

As Organizações necessitam implementar um sistema e processos que permitam automatizar tarefas de gerenciamento da conformidade com políticas de segurança:

• Automatizar demonstração de controles próprios de TI e conformidade com Segregação de Papéis e outras regras de negócio.
• Automatizar o processo de revisão dos privilégios pelos gestores de negócio, permitindo a completa certificação rapidamente e com mínima interrupção aos negócios.
• Identificação automatizada de privilégios excepcionais e reparo e saneamento de privilégios e grupos em vários níveis de granularidade.
• Habilidade para rever os privilégios rapidamente entre os diversos sistemas e aplicações e responder a questões comuns de auditoria.
• É importante que tal sistema seja suficientemente flexível e facilmente adaptável a mudanças no ambiente de negócios e requisitos regulatórios.

As organizações que implementam gestão de conformidade (compliance management) devem garantir que sua solução trabalha adequadamente como uma solução independente bem como conjuntamente com soluções de Gestão e Provisionamento de Identidades, oferecendo o melhor com a qualidade dos privilégios, governança e auditoria das identidades, e gestão do modelo de perfis.

Produtos-chave

O Eurekify Sage ECM oferece um framework poderoso e flexível para governança de TI e compliance:

• Rico e flexível editor para criar e manter políticas organizacionais com regras de Segregação de Papéis e outras restrições dos processos de negócio e entre as múltiplas plataformas e aplicações.
• Processador em lote automatizado recupera os privilégios correntes e verifica-os contra políticas organizacionais identificando uma série atualizada de violações. Facilidade web-based para certificação dos privilégios pelos gestores de negócio, bem como pelos gestores dos recursos. A tecnologia analítica da Eurekify colabora com os gestores de negócio, destacando os privilégios suspeitos que podem requerer maior atenção.
• Detecção automatizada de privilégios fora de padrão e diversas outras exceções e desvios.
• Aplicação interativa que permite o acompanhamento e crítica dos privilégios excepcionais, revisão de privilégios e violações de políticas.
• A interface permite a imediata inspeção visual dos privilégios, bem como o acionamento de todas as funções do Eurekify Sage, que podem ser aplicadas em qualquer nível de granularidade e para quaisquer combinações de sistemas e aplicações.

5 Passos para o Compliance

O Eurekify Sage ERM é projetado para para fornecer uma série de privilégios e controles de TI claramente documentados. Um rápido levantamento de 1 a 2 semanas apontará as áreas que seriam mais benéficas para se investir em esforços de compliance. Além disso, a Eurekify sugere uma abordagem em 5 passos incrementais em direção à completo aderência aos requerimentos dos controles de TI:

• Com as soluções Eurekify, imediatamente se ganha o controle dos privilégios através da consulta dos privilégios entre diversasplataformas em um único repositório de identidades. A rica uncionalidade de auditoria do Sage permite rápida identificação,análise, priorização e correção dos riscos e violações.
  
• Com as ferramentas de análise baseada em padrões, descobre-se centenas ou milhares de privilégios de acesso excepcionais, em dias ou mesmo em horas. Um processo inicial de saneamento facilmente gerencia e lidará com diversos desnecessários ou incorretos privilégios, definições de grupos, etc.
  
• É fácil de configurar uma campanha web-based para atestação e recertificação dos privilégios, e permitirá gestores de negócio facilmente e de forma eficaz a sanear privilégios, ajudando para o saneamento de privilégios em uma camada mais elevada.


• Automatiza rapidamente a detecção e a remediação dos privilégios que violam a segregação de papéis e outras restrições dos processos de negócio. A demonstração e reportes a conformidade regulatória e políticas internas é fácil de se obter.


• A mais longo prazo, gerencia os privilégios baseado em papéis de negócio e de TI. Constrói rapidamente e mantém facilmente um modelo de privilégios baseados em perfis que melhor reflita as práticas de negócio.

Com as soluções Eurekify, rapidamente será implementado um ambiente de resposta à compliance.

• Oferece uma visão centralizada dos privilégios entre as diversas plataformas em um único repositório de identidades.
• Lida com a linguagem comum de negócios e oferece interface para definir facilmente as regras dos processos de negócio.
• Oferece um ambiente de colaboração web-based para auditores, gestores de negócio e TI.