Alguém autorizado vai acessar!
Ainda existem organizações que não estão adequadas a esse requisito de segurança, mas, com certeza, a maioria das organizações segue essa orientação. Porém, estando nesse patamar de controle, a organização se defronta com novos requisitos de controles. Se um usuário (autorizado) vai poder realizar determinada função, como podemos evitar ou minimizar uma ação de má fé desse usuário? Nos últimos meses a mídia tem anunciado fraudes cometidas por usuários que estavam autorizados a realizar determinadas transações em sistemas de informação. No caso, foram dívidas com a União que simplesmente desapareceram ou tiveram seus valores muito reduzidos.
Sempre alguém vai ter acesso à informação e nesse caso, ações fraudulentas podem acontecer. Para minimizar o risco da realização de ações de má fé podemos destacar algumas regras e procedimentos:
a) A autorização de acesso não é para semprePeriodicamente deve-se rever a situação dos acessos de cada usuário. Se o usuário mudar de função ou de área deve-se reavaliar o acesso àquela informação.
b) Considere os diversos níveis de acessoExiste acesso de leitura, alteração, remoção e criação de informação. Além de ter acesso o usuário precisa ter o nível adequado de acesso. Muitas vezes os programas e sistemas de controle não consideram esses níveis e isso cria vulnerabilidades.
c) Restrição de horário e localizaçãoInformações críticas e de grande valor devem ter restrições de horário e de localização do usuário para serem acessadas.
d) Trilha de auditoria sempreTodas as ações realizadas devem ser registradas em arquivo de auditoria. O custo da existência e guarda dessa trilha deve ser coerente com a criticidade e valor da informação.
e) Relatórios de ocorrências tem que ser revisadosRelatórios inteligentes de ocorrências têm que ser verificados por outras áreas que serão afetadas pelo uso da informação. Uma redução maior do que 10% (ou outro percentual acordado) de uma dívida deve ser analisada por uma outra área.
f) Segregação de funçãoQuem faz não confere; quem confere não pode fazer; são algumas das máximas de segregação de função. Quanto maior os valores e impactos para o negócio da organização mais necessário é segregar.
g) Auditoria periódicaDeve-se ter auditorias constantes sobre os controles existentes no sistema de informação.
f) Sistema de controle de acesso à informação não é tudoUm bom sistema de controle de acesso permite evitar situações de erro e de fraude, mas o sistema de informação pertence a uma organização. Se essa organização possuir outros males é importante que os controles considerem todas essas fraquezas e tudo seja ponderado para que se alcance uma adequada proteção à informação do negócio.
Quando existe uma determinação para a fraude no mundo virtual, de forma semelhante ao mundo real, existem ações básicas que vão dificultar e algumas vezes evitar a sua ocorrência. As organizações precisam apenas deixar de pensar que isso só acontece nos outros. Mãos à obra! Vamos fazer o nosso dever de casa!
