Qual o papel da Gestão de Identidade em Auditorias externas?

Independentemente do segmento de negócios ao qual a corporação pertence, o seu ativo mais importante são as Informações. Apesar de não ser nova, esta afirmação é mais verdadeira a cada dia que passa. As Informações de uma corporação podem ser categorizadas em 3 dimensões: Usuários (clientes/prestadores de serviço/parceiros de negócios); Propriedade Intelectual (Patentes/Cultivares/Processos/Engenharia); e Financeiras.

Observe que todo acesso indevido a essas informações pode ser muito prejudicial à corporação. Quando se diz corporação, além da pessoa jurídica (ativos e marcas) em si, há o interesse de acionistas, que são pessoas físicas ou outras pessoas jurídicas, e, eventualmente, de fundos de investimentos e bolsas de valores. Num ambiente cada vez mais globalizado, cada vez mais diversificado, como garantir que os ativos da corporação estão devidamente seguros, com os devidos sigilos garantidos?

Organizações de padronização, como a ISO e a ITU, e governos criaram regulações (normas e leis) que devem ser estritamente atendidas, visando à proteção de interesses de consumidores, fornecedores e acionistas. A não observância dessas normas podem implicar na perda de valor de mercado das empresas, na dificuldade de contratar empréstimos, na dificuldade de compra de insumos, perda de concessões e pode implicar até na responsabilização penal de presidentes, diretores e gerentes de corporações.

Existem normas gerais, como é o caso da ISO 27000 (que é um conjunto de normas de segurança, das quais a ISO 27001 é a mais famosa), e existem leis específicas como é o caso da SOX (mercado financeiro), HIPAA (mercado de saúde) e LGPD (proteção de dados de pessoas físicas). Todas essas regulações definem uma série de procedimentos, que devem ser seguidos, e evidências, diretas e indiretas, que devem ser coletadas, em todos os acessos de usuários a ativos das corporações.

Auditorias externas são empresas contratadas, muitas vezes por imposição de regulações, para garantir que uma terceira-parte, independente e com reconhecida idoneidade, verifique a adesão da corporação à regulação aplicável, em termos de procedimentos especificados, e verifique a qualidade das evidências coletadas pela corporação no cumprimento desses procedimentos.

A Gestão de Identidade e Acesso é uma ferramenta que tem importância fulcral no controle de acessos de usuários aos ativos da corporação, em várias circunstâncias, sendo duas delas vitais para uma boa avaliação de auditorias:

  • Garantir que somente usuários devidamente credenciados, com permissões de acessos válidas, têm permissão para acessar os ativos, principalmente aqueles passíveis de auditoria; e,
  • Coletar todas as informações de controle de acesso que garantam que as evidências, tanto diretas quanto indiretas, foram apropriadamente coletadas.

Ao requerer, ou receber, uma credencial de acesso, é fundamental que a Gestão de Identidade e Acesso registre qual usuário (Identidade) está recebendo as credenciais, qual o motivo pelo qual esta credencial foi requerida, quem autorizou a emissão desta credencial, qual a validade da credencial e, eventualmente, quais os locais válidos para os acessos do usuário.

Por exemplo, a SOX define que certas informações (que podem influenciar no valor da empresa na bolsa) somente podem ser acessadas por pessoas específicas, de determinados locais físicos dentro da empresa e em determinados horários. O que acontece se um usuário tenta acessar estas informações fora do horário especificado ou fora do local determinado? Um sistema de IAM deveria negar estes acessos e coletar evidencias de que houve a tentativa de acesso e até gerar uma notificação para quem de direito.

O não cumprimento da regulação aplicável, como dito anteriormente, pode trazer implicações financeiras e/ou legais (cível ou criminal), com a consequente implicação para o corpo diretivo da corporação e para a própria corporação, em termos de sua credibilidade e de seu valor de mercado. Empresas têm sido penalizadas nos Estados Unidos, no Reino Unido e na Europa, em processos por violação de regulações, em casos de acessos indevidos de ex-colaboradores, que continuaram ativos mesmo após demissões.

Contudo, se a empresa provar à auditoria externa, com evidências diretas e indiretas, que o acesso foi provido cumprindo os aspectos procedimentais da regulação aplicável e apresentando as evidências de que o acesso foi autorizado de acordo com a referida regulação, a pessoa que autorizou indevidamente o acesso será penalizada e não a corporação. Caso contrário, em última instância, o CEO será penalizado civil e/ou criminalmente.

Uma empresa pode ver os aspectos regulatórios como um fardo, mas formalizar os (muitos) controles existentes – e melhorá-los – pode ter um efeito positivo em uma organização, com reflexos na proteção de ativos e na produtividade de acessos. Deste ponto de vista, a Gestão de Identidade e Acesso pode melhorar os controles de acesso e proteger a corporação, em termos das implicações negativas de mercado, e as pessoas (obviamente não implicadas – como seria em última instância o CEO, por exemplo) de violações das regulações aplicáveis, reportadas por auditorias externas.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Os acessos de colaboradores e parceiros gerenciados de forma centralizada, auditável e segura.
SAIBA MAIS
Blazon Blog