Muito se fala sobre a matriz de riscos, que em termos de gestão de identidades e acessos, é a relação de acessos conflitantes intra e inter sistemas.
A matriz de riscos é geralmente levantada como parte de um processo de gestão de riscos na empresa, com apoio da área de segurança de TI, que compreende o esquema de permissionamento dos sistemas que fazem parte da cadeia de valor da corporação.
O levantamento é moroso, pois lida com entendimento e revisão de processos de negócio, reuniões com gestores e usuários chave e análise dos sistemas envolvidos, durando vários meses até sua conclusão.
Com o objetivo de aumentar a agilidade e reduzir os custos desta importante empreitada, propomos sua simplificação, pelos seguintes pontos:
1. Selecionar sistemas prioritários para o negócio, baseando-se na exposição ao risco e resultados insuficientes de auditoria anteriores.
2. Comunicar com antecedência os gestores e usuários chave, conscientizando-os da importância da sua participação no processo.
3. Criar controles que mensurem a evolução do processo, fim a fim.
4. Criar relatórios nas aplicações avaliadas para que estes informem os acessos existentes e a relação usuário x acessos.
5. Na medida do possível, agregar acessos atômicos (que não podem ser divididos, com botões, telas, menus, etc) em perfis (seriam conjuntos destes acessos atômicos), para facilitar a sua aplicação, manutenção, operação e revisão futura.
Quer saber como tratar matriz de riscos na sua empresa?
Fale com a gente!!
#ti #netadmin #iam #matrizsod #matrizderisco #lgpd #iso270001 #automação #rastreabilidade #conformidade #segurancadainformacao #software #identidade #acesso #gestão #governanca