A Ipiranga, uma das principais empresas do setor de combustíveis e energia no Brasil, precisava de um olhar voltado para a gestão de seus sistemas SOX e na definição de estratégias para segregar as funções de seus usuários e perfis de acesso. Por isso, a equipe de especialistas Vennx foi contratada para realizar um diagnóstico completo e implementar um plano de ação eficaz para solucionar desafios.

‍

Objetivo

‍

Realizar um diagnóstico sobre os sistemas SOX da Ipiranga, para fins de definição de estratégia para endereçar a segregação de funções de seus usuários e perfis de acesso.

‍

Etapas

‍

• Elaboração da metodologia de classificação de sistemas sob escopo de SoD. Análise da estratégia de riscos da companhia, dos apontamentos dos auditores e da prática de tecnologia para estabelecimento do processo para definição do Perímetro SoD, considerando critérios de classificação de sistemas, impacto potencial, papeis e responsabilidades.

• Construção da ferramenta de identificação de sistemas expostos a SoD: Desenvolvimento da ferramenta de identificação da exposição de SoD para sistemas, contemplando as regras estabelecidas na etapa #01, para geração automática da avaliação de criticidade de cada aplicação para fins de segregação de funções.

• Classificação dos sistemas e definição do Perímetro SoD: Avaliação dos sistemas SOX da Ipiranga para identificação do nível de exposição de SoD para cada aplicação. Compilação dos resultados, definição do Perímetro SoD e elaboração do roadmap de tratamento dos riscos de SoD para os sistemas mapeados.

• Construção da versão #01 da Matriz SOD dos sistemas do Perímetro: Análise dos códigos fonte e do dicionário de transações, quando aplicável, e realização de entrevistas para levantamento dos riscos SOD dos sistemas.

• Diagnóstico e plano de ação para mitigação dos conflitos: Execução do diagnóstico de conflitos no ambiente da Ipiranga e desenho do plano de ação para mitigação e, se aplicável, apresentação ao auditor externo.

• Execução do plano de ação para mitigação dos conflitos SOD: A partir do plano de ação definido, executar as seguintes ações de mitigação de conflitos:
1) quebra de perfis conflitantes;
2) associação de controles compensatórios;
3) análise mitigatória dos acessos;
4) isolamento de transações e perfis que não impactam SOX.

‍

Resultados alcançados

‍

- 25 sistemas avaliados.
- 20 sistemas classificados para escopo SoD.
- Elaboração de 20 matrizes de riscos SoD em apenas 7 dias.
- Análise de 5.500 transações e 1.262 perfis.
- Avaliação de 23.000 usuários.
- Mapeamento de 15.700 possibilidades de riscos.
- Identificação de 30.600 conflitos intrínsecos.
- Identificação de 1.500.000 conflitos extrínsecos.

O case da Ipiranga demonstra a eficácia da Vennx em implementar soluções de segregação de funções em sistemas SOX, garantindo segurança e conformidade. Em apenas 7 dias, conseguimos criar 20 matrizes de riscos SoD, mostrando a rapidez e a precisão de nossas soluções. Para saber mais sobre como a Vennx pode ajudar sua empresa a implementar estratégias de segregação de funções e fortalecer a governança de TI, entre em contato conosco.

‍

‍