Cases

A Ipiranga, uma das principais empresas do setor de combustíveis e energia no Brasil, precisava de um olhar voltado para a gestão de seus sistemas SOX e na definição de estratégias para segregar as funções de seus usuários e perfis de acesso. Por isso, a equipe de especialistas Vennx foi contratada para realizar um diagnóstico completo e implementar um plano de ação eficaz para solucionar desafios.

Objetivo:

Realizar um diagnóstico sobre os sistemas SOX da Ipiranga, para fins de definição de estratégia para endereçar a segregação de funções de seus usuários e perfis de acesso.

Etapas:

1. Elaboração da metodologia de classificação de sistemas sob escopo de SoD. Análise da estratégia de riscos da companhia, dos apontamentos dos auditores e da prática de tecnologia para estabelecimento do processo para definição do Perímetro SoD, considerando critérios de classificação de sistemas, impacto potencial, papeis e responsabilidades.
2. Construção da ferramenta de identificação de sistemas expostos a SoD: Desenvolvimento da ferramenta de identificação da exposição de SoD para sistemas, contemplando as regras estabelecidas na etapa #01, para geração automática da avaliação de criticidade de cada aplicação para fins de segregação de funções.
3. Classificação dos sistemas e definição do Perímetro SoD: Avaliação dos sistemas SOX da Ipiranga para identificação do nível de exposição de SoD para cada aplicação. Compilação dos resultados, definição do Perímetro SoD e elaboração do roadmap de tratamento dos riscos de SoD para os sistemas mapeados.
4. Construção da versão #01 da Matriz SOD dos sistemas do Perímetro: Análise dos códigos fonte e do dicionário de transações, quando aplicável, e realização de entrevistas para levantamento dos riscos SOD dos sistemas.
5. Diagnóstico e plano de ação para mitigação dos conflitos: Execução do diagnóstico de conflitos no ambiente da Ipiranga e desenho do plano de ação para mitigação e, se aplicável, apresentação ao auditor externo.
6. Execução do plano de ação para mitigação dos conflitos SOD: A partir do plano de ação definido, executar as seguintes ações de mitigação de conflitos: 1) quebra de perfis conflitantes; 2) associação de controles compensatórios; 3) análise mitigatória dos acessos; 4) isolamento de transações e perfis que não impactam SOX.

Resultados alcançados:

• - 25 sistemas avaliados.
• - 20 sistemas classificados para escopo SoD.
• - Elaboração de 20 matrizes de riscos SoD em apenas 7 dias.
• - Análise de 5.500 transações e 1.262 perfis.
• - Avaliação de 23.000 usuários.
• - Mapeamento de 15.700 possibilidades de riscos.
• - Identificação de 30.600 conflitos intrínsecos.
• - Identificação de 1.500.000 conflitos extrínsecos.