Monday, March 17, 2003

Segurança de Pessoas: Separation of Duties & Job Rotation

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Um dos principais aspectos da administração de segurança de uma empresa é ter de gerir recursos humanos. Na configuração de um sistema seguro – utilizando o termo sistema em uma perspectiva de negócio -, o elemento humano é o que costumamos chamar “o elo mais fraco” na cadeia de segurança da informação. Duas das principais técnicas utilizadas pelos departamentos de Recursos Humanos, em conjunto com o departamento de Segurança da Informação, é o separation of duties (separação de atividades) e job rotation (rotação de postos).

O objetivo do “separation of duties” é garantir que, em última instância, uma só pessoa – independente dos privilégios de sistema que possua - não consiga realizar atividades danosas à organização. Lembram do esteriótipo do militar durante a guerra fria, onde o general só conseguiria premer o botão de lançamento da bomba nuclear caso fossem acionadas duas chaves distantes entre si? Independente de possuir as duas chaves, o sujeito fica impedido de executar a ação; seria necessário pedir ajuda a um segundo elemento para realizar esta tarefa, classificada pelo impacto.

Recomenda-se que atividades consideradas de alto risco sejam divididas em pequenas partes e distribuídas para diferentes funcionários, preferencialmente – e quando aplicável – pessoas de áreas ou departamentos distintos, e sem vínculo profissional direto. Esta é uma forma de não correr riscos pelo “excesso de confiança”. É saudável para a empresa e também para o funcionário, que fica impossibilitado de gerar ações prejudiciais à informação mesmo que acidentalmente.

Além de previnir ações intencionais, a técnica de “separation of duties” é um eficiente mecanismo de prevenção para a ocorrência de incidentes não intencionais, freqüentes em atividades onde uma única pessoa executa a tarefa do início ao fim. Um resultado prático desta realidade é quando o sistema operacional instalado pelo administrador é homologado pela equipe de segurança; existe aí uma configuração de separação de atividades, seria muito pouco provável que o administrador encontrasse erros na sua própria instalação. É sempre bom contar com uma segunda opinião. Existem teorias bastante avançadas sobre divisão de atividades e definição de papéis, com responsabilidades para o gestor, custodiador e para o usuário da informação.

A técnica de “job rotation” transcende ao simples fato de alguém realizar atividades no lugar de outra pessoa. Significa alternar, periodicamente, pessoas que ocupam cargos operacionais. Esta prática é muito utilizada quando a análise de risco identifica demasiada dependência de um processo de negócio ou sistema a um operador, administrador e etc. Através da técnica de “ job rotation” outra pessoa pode ser preparada para ocupar o lugar do administrador, operador, analista ou quem quer que seja, servindo como redundância para a função, caso o funcionário deixe a empresa repentinamente ou fique indisponível à empresa por um longo período.

O segundo benefício direto do “job rotation”, e não menos importante que o primeiro, é a condição onde a empresa pode facilmente detectar o encaminhamento ou a realização de fraude como “data diddling” ou outras.

Seja na substituição do ocupante oficial do cargo por férias obrigatórias ou na familiarização das atividades executadas pelo elemento substituinte, a empresa poderá identificar a existência de indícios de atividades ilícitas ou ações que não condizem com as atribuições do cargo.

Estas são duas técnicas bastante utilizadas em empresas que trabalham com operações que envolvem finanças, compra ou venda de ativos. Considerando que a informação representa – e cada vez mais representará – o ativo de maior importância para uma organização, e para isso tomemos como referência o grande número de organizações que já estão utilizando sistemas de Business Intelligence e Balanced Scorecard, os custodiadores da informação serão os elementos mais visados dentro das operações de negócio. Com técnicas como as apresentadas, somadas à administração do risco tecnollógico, a implementação e divulgação da Política de Segurança e a uma gestão baseada em indicadores de resultado, o risco operação tende a ser minimizado e controlado.

1 comment: