Estudo de Caso

Cenário Anterior

No cenário anterior encontramos diversos sistemas de dois segmentos distintos, dos quais os principais eram concedidos manualmente através de três controladores de acesso a partir de recursos como menus e telas. Em alguns casos através de perfil de sistema, porém naturalmente com o tempo os perfis começaram a agregar acessos e em outros casos para não ocorrer excesso de privilégios os perfis eram criados conforme a necessidade do usuário. Quando um colaborador novo ingressava na empresa, os acessos eram solicitados um a um e deviam seguir o fluxo de aprovação pelo proprietário do sistema e pelo gestor do usuário.

Para atender a auditoria e diversas regulamentações, periodicamente e de acordo com a criticidade do sistema ocorria a revisão de acessos de cada sistema pelo proprietário do sistema através de arquivos excel, texto e pdf.

Não havia remoção de acessos para caso de mudança de área.

Havia revogação manual de acessos para desligamentos de usuários.

Resumo das Expectativas

Resumos dos benefícios a serem obtidos:

• Saneamento (Cleanup) de privilégios de acesso legados;
• Mapeamento e concessão automática de acessos básicos de acordo com o organograma;
• Automação da gestão de acessos no processo de mudança de área e desligamento de um colaborador;
• Revisão automatizada dos privilégios de acesso e dos perfis de negocio mapeados pelos Gestores e Usuários Finais;
• Auditoria nos privilégios de acesso de acordo com regras de negócio (exemplo: conflito de funções).

Cenário Posterior

• Através do CA RCM (Role & Compliance Manager), pudemos mapear os acessos e definir os perfis básicos e perfis por atividade de negócio.
  
  Para definição dos perfis foi feito levantamento e análise das informações e foram encontrados alguns pontos logo no inicio do projeto:

  • Inconsistências entre registros no RH;
  • Evidencias de usuários inativos no RH, porém ativos nos sistemas;
  • Agrupamentos e Perfis sem usuários ou sem recursos;
  • Agrupamentos e Perfis similares (mesmos usuários e/ou mesmos recursos);
  • Suspeitas de excessos de privilégios, de acordo com os padrões correntes de acesso.

  Após o levantamento e análise foi realizado o processo de Engenharia de Perfis para descoberta da similaridade de acessos para compor o perfil de negócio e propor ao gestor responsável. Foi solicitada a validação dos acessos para o gestor da área, através da campanha de certificação de acessos utilizando a ferramenta CA RCM Portal (interface web).
  
  Como os perfis básicos seriam concedidos automaticamente logo após a contratação do colaborador, foi necessário colher aprovação do proprietário do sistema para atender ao processo de aprovação de solicitação de acesso já existente. O processo de aprovação do proprietário do sistema também foi realizado através do CA RCM Portal.
  
  Os perfis mapeados e aprovados foram carregados no CA IDM (Identity Manager) para automação do processo de concessão, mudança de área e revogação de acessos.

Status

A partir da integração do CA RCM (Role & Compliance Manager) com o CA IDM (Identity Manager), houve automação de diversos processos evitando falha humana e fortalecendo os três pilares da segurança da informação (integridade, confidencialidade e disponibilidade).

A revisão de acessos pode ser realizada através de perfil por atividade de negócio onde abrange não somente um único sistema, mas um grupo de sistemas facilitando a visão dos gestores e melhorando o controle interno.

Gradativamente, está se implementando regras de negócio no CA RCM, que estão tornando-se mais conhecidas e aplicadas corporativamente.

Os perfis aprovados e certificados serão integrados a interface de workflow de solicitação de acesso.

Todos os resultados são apresentados em relatórios executivos as Diretorias e Auditorias.