Podemos iniciar nossa análise com os seguintes questionamentos: você deixa a chave da sua casa com estranhos? Deixa sua senha e conta bancária nas mãos de terceiros? Se a resposta foi não para as perguntas acima, já conseguiu entender o impacto que tais “privilégios” teriam em sua vida financeira e até mesmo segurança pessoal. Da mesma forma, os acessos dos sistemas da sua empresa podem comprometer o negócio, seja por imprudência dos usuários, ou até mesmo por fraudadores.
No ambiente corporativo cada vez mais digital é natural que os processos ocorram em sua grande maioria, via sistemas, desde a operação até transações estratégicas, desta forma é imprescindível mapear e gerenciar quais transações apresentam riscos à continuidade de negócios, e qual o impacto destas à companhia.
Demonstraremos abaixo alguns cenários de risco e seu impacto ao negócio:
- Concessão de acessos conflitantes: Tem-se por acessos conflitantes, todo o conjunto de transações que se concedidas ao usuário, podem permitir diversos riscos ao negócio tais como, mas não se limitando a: fraudes financeiras, alterações indevidas que ocasionam ressalvas no balanço da empresa e consequentemente perda de investimentos, desvios de mercadorias, ajustes fraudulentos em metas e demais operações.
Aplicabilidade: O usuário possui acesso a cadastrar o fornecedor e cadastrar os dados bancários dos fornecedores, então se aproveita desta fragilidade e insere seus próprios dados bancários para receber os pagamentos em seu nome, e até mesmo cria um fornecedor “fake” para evitar ser descoberto. - Concessão de acessos amplos e sem governança: Ao não contar com uma matriz SOD, é comum, porém não recomendado, recorrer à concessão de acessos via espelhamento dos acessos de algum membro da equipe, ou simplesmente conceder um perfil amplo ao usuário para que atenda sua necessidade primária, em sua grande maioria, concedendo uma gama de acessos muito superior à real necessidade, deixando totalmente de lado a aplicação do “Least Privilege” e estendendo a criticidade das transações, podendo corroborar para possíveis vazamentos de dados pessoais e/ou confidenciais e fraudes financeiras.
Aplicabilidade: O usuário possui diversos acessos, e observa que possui uma transação da base de clientes (Pessoa Física) da empresa e decide vender a base no mercado, e então a ANPD (Autoridade Nacional de Proteção de Dados) identifica o vazamento de dados e pode multar a empresa em até R$ 50 milhões, e além do impacto financeiro incide também o impacto de imagem com seus clientes, uma vez que o vazamento for divulgado ao mercado.
Como podemos observar, o gerenciamento de acessos da empresa é fundamental, pois o impacto de não o realizar pode custar muito caro não apenas nas esferas financeiras, legais e de imagem, mas pode até mesmo ameaçar a continuidade de negócio.