Julho de 2018 – De
acordo com a pesquisa “2018 Thales Data
Threat Report” 67% das empresas do mundo já sofreram violação de dados,
dessas 42% já haviam sido fraudadas. Há muitas empresas que mantêm por vários
meses acessos de ex-funcionários em seus sistemas de ERP, o que acarreta um
custo maior no pagamento de licenças desnecessárias. Algumas companhias têm
recorrido ao serviço de Gestão de Identidade ou Identity and Access Management (IAM) com o objetivo de realizar um
monitoramento das contas dos usuários e os perfis correspondentes; minimizar a
vulnerabilidade dos sistemas e do banco de dados de uma empresa; prevenir
fraudes e prejuízos gigantescos.
Não
é uma tarefa fácil. Em média uma pessoa tem que decorar pelo menos o login de cinco sistemas diferentes como login de rede, ERP, e-mail, portal RH,
VOIP além de outros mais específicos de cada área da empresa. É preciso realizar um trabalho em conjunto
que envolva departamentos importantes como TI, Controladoria e RH. Vamos a um
exemplo bem prático.
Recentemente
foi descoberto que um ex-funcionário de uma operadora de TV tinha acesso ao
banco de dados da empresa por meio do seu computador pessoal. Realizava
procedimentos invasivos e alterava o valor das contas dos clientes, que
intermediava, em pelo menos três cidades da região metropolitana de São Paulo.
Só para ter uma ideia, em alguns casos o valor contratado era reduzido para 10%
do valor contratado, resultando num prejuízo de quase R$3 milhões para as
operadoras. Outro caso de violação de dados ocorreu numa empresa dos Estados
Unidos, onde um funcionário insatisfeito criou um usuário com poderes de
administrador. Na véspera de se desligar da empresa, apagou informações chaves
que impactaram a operação de 88 servidores, provocando um caos.
Mas, afinal como funciona a
Gestão de Identidade?
Quando
a empresa opta pelo serviço de Gestão de Identidade o risco de fraude ou erro
não intencional é minimizado. Com este processo implementado, o usuário terá
acesso somente aos dados importantes para desempenhar suas funções e o que for
excesso será removido, para que não haja mal-uso.
A
Gestão de Identidade trabalha com a segregação de acessos, ou seja, considera a
função exercida pelo usuário e as correlações com outros integrantes e
sistemas. Para evitar surpresas e diminuir fraudes, revisões periódicas e
análises no perfil dos funcionários são imprescindíveis, para que identifiquem
acessos desnecessários em seus sistemas.
Além
da análise individual das contas, a Empresa precisa atentar-se aos
inter-relacionamentos de sistemas. Um funcionário, por exemplo, que tenha
acesso aos sistemas de “supply chain” e contas a pagar, pode aumentar o risco
de fraude. Ele pode facilmente simular necessidade de compras de peças em um
sistema e autorizar o pagamento no outro.
Para
auxiliar as empresas, existem no mercado alguns softwares especialistas na
gestão de identidade e são integrados com os principais sistemas de ERPs.
As
melhorias que a Gestão de Identidade traz para as empresas são:
·
Disponibilização dos usuários, perfis
e acessos mais rápidos
·
Melhoria nos relatórios de auditoria e
na satisfação dos usuários
·
Gerenciamento centralizado, tornando mais
simples o atendimento de normas e regulamentações
·
ROI (Retorno do Investimento)
o
Melhoria da gestão das informações por
volta de R$ 1 mil/ano por usuário
o
Economia de aproximadamente R$ 10 mil
por auditoria, pois as informações já estão controladas
o
Economia média de R$ 650,00/mês por
usuário com licenças de softwares para ex-funcionários ainda ativos nos
sistemas da empresa
o
Redução dos custos do Service Desk,
quase 30% do custo é relacionado a acesso de usuários
Dicas importantes na Gestão de
Identidade
• Todo login deve ter apenas um responsável
• Não compartilhar login
· Utilize Acesso Simplificado (Single
Sign-on) sempre que possível
• Validar regularmente a base de usuários
ativos
• Em caso de desligamento, bloquear os
acessos imediatamente e eliminar conforme política de retenção
• Tenha a política de expiração de
usuários automatizada
Artigo escrito por: Marcos Gomes - Executivo de Segurança e Tecnologia
da Informação da innovativa
Para mais informações sobre a Gestão de Identidade, contate: www.innovativa.com.br/gestaodeidentidade