O que é segregação de funções e por que é tão importante para a conformidade?
Segregação de funções (SoD), também chamada de separação de funções, é um conceito que afirma que tarefas críticas devem ser divididas entre vários usuários e nenhuma única pessoa deve ter controle total de todas as etapas em um processo sensível.
Isso elimina o risco de atividades fraudulentas e cria um sistema de checagens e equilíbrios que limita os danos que um indivíduo pode causar, independentemente de sua intenção.
Embora o conceito tenha se originado na indústria financeira, ele se tornou um dos princípios mais importantes na Governança e Administração de Identidade (IGA) moderna. Ela ajuda as organizações a prevenir o abuso de acesso privilegiado, implementar controles internos e manter a conformidade com padrões regulatórios.
Os quatro pilares da segregação de funções
A SoD divide as funções de uma operação em quatro categorias funcionais principais:
1. Autorização
A pessoa que autoriza uma transação ou processo não deve ser a mesma que inicia ou registra. Apenas certas pessoas devem ter a autoridade para autorizar gastos, pagar fornecedores ou fazer lançamentos contábeis.
2. Custódia
Quem tiver controle físico ou digital sobre ativos — como dinheiro, inventário, senhas de sistema ou informações sensíveis — não deve ser a mesma pessoa que aprova ou registra transações envolvendo esses ativos.
3. Registro
O indivíduo que escreve entradas no livro-razão ou sistemas de ERP não deve também lidar com ativos ou aprovar transações. Manter registros separados da aprovação e custódia cria um relato independente do que aconteceu.
4. Conciliação
Atividades de auditoria e conciliação devem ser tratadas por alguém independente daqueles que autorizaram, mantiveram ou registraram as transações.
Segregação de funções em contabilidade vs. IGA
Na contabilidade, a SoD significa que a pessoa que insere faturas em um sistema de pagamento não é a mesma que aprova essas faturas para pagamento. O funcionário que cria uma conta de fornecedor não deve ser também quem autoriza os pagamentos a esse fornecedor. Essas separações existem para prevenir desvio e fraudes financeiras.
Na IGA, a mesma lógica se aplica à camada de identidade. Em vez de transações financeiras, a preocupação está com eventos do ciclo de vida da identidade e se aplica a usuários que provisionam contas, aprovam solicitações de acesso, modificam membros de grupos, revisam direitos e gerenciam os logs de auditoria que registram tudo isso. Em grandes empresas que gerenciam milhares de identidades no Active Directory, Microsoft Entra ID e aplicações empresariais, o risco de um único administrador ter controle total sobre qualquer uma dessas funções é o equivalente à IGA do mesmo contador elaborando e assinando seus próprios cheques.
Por que a segregação de funções é importante?
As equipes de TI atuam na intersecção entre o provisionamento de acesso, a gestão do ciclo de vida das identidades e a conformidade, o que as expõe a riscos e as torna responsáveis por resolvê-los.
Prevenindo combinações de papéis tóxicos e abuso de privilégios
Em ambientes de IGA, combinações de papéis tóxicos são as combinações específicas de direitos que nunca devem coexistir dentro de uma única identidade. Quando um técnico é alguém que pode tanto configurar políticas de acesso quanto certificar a conformidade com essas políticas, a independência que a certificação se propõe a fornecer é eliminada. A SoD impõe limites que evitam que essas combinações existam em primeiro lugar.
Gerenciando o risco do ciclo de vida da identidade através da automação JML
A automação do joiner-mover-leaver (JML) é onde as violações se acumulam com maior frequência em ambientes de TI. Quando um usuário entra, ele é provisionado com acesso apropriado ao papel e, ao mover-se para uma nova equipe ou função, um novo acesso é adicionado.
Porém, as antigas permissões raramente são removidas na mesma ação. Com o tempo, uma única identidade pode manter as permissões residuais de cada papel que já ocupou, criando combinações tóxicas que nenhum evento de provisionamento criou intencionalmente. Isso leva ao aumento de privilégios, uma condição comum em organizações sem controles de governança automatizados.
Apoiando a prontidão de auditoria e conformidade regulatória
Regulamentações como SOX, HIPAA, a GDPR ou a PCI DSS exigem que as organizações implementem SoD. Elas requerem separação demonstrável de funções críticas de identidade e a documentação necessária para prová-la. Uma equipe de TI que não consegue mostrar aos auditores como as funções são divididas entre provisionamento, aprovação e fluxos de revisão já está exposta, independentemente de quão bem os controles técnicos subjacentes estão configurados.
Como implementar a segregação de funções
A aplicação de SoD é uma prática de governança contínua, não uma configuração única. Requer decisões de arquitetura de papel, design de fluxos de trabalho de provisionamento, ferramentas de governança automatizadas e disciplina de revisão de acesso sustentada.
Mapear fluxos de trabalho de identidade e identificar combinações de papéis de alto risco
Comece mapeando os fluxos de trabalho do ciclo de vida da identidade para identificar onde o controle de ponta a ponta por uma única identidade cria risco. Isso inclui provisionamento e desprovisionamento de contas de usuário; iniciação e aprovação de solicitações de acesso; gerenciamento de adesão a grupos e autorização; definição e atribuição de papéis; acesso a logs de auditoria e execução de mudanças; e configuração de identidade e certificação de conformidade.
Para cada fluxo de trabalho, identifique quais etapas devem ser separadas e quais associações específicas de funções constituiriam uma combinação tóxica. Construa isso em uma matriz de SoD, uma grade estruturada que mapeia papéis entre si para evidenciar emparelhamentos de acesso incompatíveis. A matriz se torna tanto uma referência de design para configuração de papéis quanto uma referência de auditoria que demonstra que uma política de SoD está formalmente definida.
Definir e documentar políticas
Uma política formal deve especificar: quais combinações de funções são proibidas na camada de identidade; o processo para documentar e gerenciar exceções; controles compensatórios que se aplicam quando a separação não é viável; e como as violações serão detectadas, escaladas e remediadas.
Aplicar o princípio do menor privilégio e delegação granular de papéis
O Controle de Acesso Baseado em Funções (RBAC) é a base técnica de SoD na maioria dos ambientes. O ADManager Plus aborda isso diretamente por meio de um modelo de delegação baseado em papéis que, em vez de elevar os direitos nativos de um técnico, aplica funções delegadas dentro da ferramenta. As permissões são específicas por função e limitadas à OU, garantindo que nenhuma identidade na cadeia de delegação tenha mais acesso do que sua função de trabalho definida.
Construir fluxos de trabalho de aprovação em múltiplos níveis no provisionamento de acesso
Quando o provisionamento é informal ou aprovado em alto volume, a pessoa que levanta a solicitação efetivamente controla tanto a solicitação quanto sua aprovação, uma violação direta no fluxo de trabalho de provisionamento.
As capacidades de fluxo de trabalho do ADManager Plus permitem que as equipes configurem fluxos de trabalho de aprovação estruturados em múltiplos níveis para todas as tarefas críticas. Regras de atribuição condicionais podem direcionar tipos específicos de solicitação a aprovadores designados com base na sensibilidade da ação, resultando em uma cadeia de provisionamento na qual o solicitante e o aprovador são sempre identidades separadas.
Realizar campanhas regulares de certificação de acesso para detectar desvios de permissões
Uma campanha de certificação de acesso é o processo de solicitar sistematicamente aos gerentes, responsáveis por funções e revisores de acesso que verifiquem se os direitos detidos pelos membros de suas equipes ainda são adequados para suas funções atuais e que identifiquem combinações que gerem conflitos.
As campanhas de certificação de acesso do ADManager Plus permitem que as equipes programem e automatizem essas revisões no Active Directory e no Microsoft 365.
Gerar relatórios de auditoria prontos para conformidade
O ADManager Plus fornece mais de 200 relatórios integrados abrangendo contas de usuários, adesões a grupos, permissões de acesso, contas inativas e todas as ações administrativas realizadas dentro do ambiente. Relatórios específicos de conformidade mapeiam diretamente para os requisitos do SOX, HIPAA, GDPR e PCI DSS e podem ser agendados, gerados automaticamente e exportados nos formatos PDF, CSV, XLSX e HTML para atender aos requisitos de auditoria.
Manter a segregação de funções ao longo do ciclo de vida da identidade
O SoD não é um mecanismo de controle que se configura uma vez e depois se esquece. Cada evento, mudança de função e novo pedido de acesso representa uma oportunidade para que o desvio de direitos recrie as combinações perigosas que o seu modelo de governança foi projetado para evitar. As organizações que se mantêm à frente desse desvio são aquelas que tratam a SoD como um processo contínuo de governança, em vez de uma mudança pontual. O ADManager Plus oferece suporte a isso em todas as camadas — desde delegação granular de funções e workflows de aprovação em múltiplos níveis para certificação de acesso automatizada e relatórios de conformidade — para que a governança permaneça operacional à medida que seu ambiente de identidade cresce, não apenas conforme é primeiramente configurado.
Perguntas Frequentes
1. O que é segregação de funções?
A segregação de funções (SoD) é o princípio de governança que garante que nenhuma identidade única possua uma combinação de direitos que lhe permita controlar um processo sensível — como provisionamento, autorização, execução e supervisão — sem revisão independente. É aplicada por meio da arquitetura de funções, design de fluxo de trabalho de provisionamento, certificação de acesso e controles de auditoria.
2. Qual é a diferença entre segregação de funções e separação de funções?
Os dois termos descrevem o mesmo princípio e são usados de forma intercambiável na Governança e Administração de Identidade (IGA). A segregação de funções tende a aparecer em plataformas de IGA e documentação de conformidade, enquanto a separação de funções é utilizada de forma mais ampla em outras indústrias.
3. Quais são as combinações de funções tóxicas na IGA?
Combinações de funções tóxicas são emparelhamentos específicos de direitos que, quando detidos por uma única identidade, criam controle total sobre um processo sensível sem supervisão independente. Exemplos comuns incluem ter direitos de provisionamento de conta e aprovação de acesso, ou combinar definição de função com autoridade de atribuição de função.
4. A segregação de funções é um controle preventivo ou detectivo?
A SoD é principalmente um controle preventivo que é incorporado na arquitetura de funções e no fluxo de trabalho de provisionamento para evitar que direitos conflitantes coexistam. Controles detectivos, como campanhas de certificação de acesso, revisões de logs de auditoria e monitoramento de direitos identificam violações que se acumularam ao longo do tempo.
5. Como a automação JML cria violações de segregação de funções na IGA?
Quando os usuários mudam de funções, novos direitos são adicionados, mas os antigos muitas vezes não são removidos. Com o tempo, uma identidade acumula acesso de múltiplas funções anteriores, criando combinações tóxicas que nenhuma decisão de provisionamento única criou intencionalmente. A certificação de acesso automatizada é o principal mecanismo dentro da IGA para identificar e remediar essa deriva.
6. Quais regulamentações exigem a aplicação da segregação de funções em ambientes de IGA?
SOX, HIPAA, GDPR, PCI DSS e outras regulamentações exigem que as organizações implementem a SoD. Todas essas estruturas exigem não apenas que controles internos existam, mas que as organizações possam produzir evidências documentadas de que esses controles estão ativamente mantidos e revisados.
Artigo traduzido. Conteúdo original escrito por Pavithra Dc.