Ipiranga
Diagnóstico e implementação da Segregação de Funções (SoD)
A Ipiranga, uma das principais empresas do setor de combustíveis e energia no Brasil, precisava de um olhar voltado para a gestão de seus sistemas SOX e na definição de estratégias para segregar as funções de seus usuários e perfis de acesso. Por isso, a equipe de especialistas Vennx foi contratada para realizar um diagnóstico completo e implementar um plano de ação eficaz para solucionar desafios.
Objetivo:
Realizar um diagnóstico sobre os sistemas SOX da Ipiranga, para fins de definição de estratégia para endereçar a segregação de funções de seus usuários e perfis de acesso.
Etapas:
- Elaboração da metodologia de classificação de sistemas sob escopo de SoD. Análise da estratégia de riscos da companhia, dos apontamentos dos auditores e da prática de tecnologia para estabelecimento do processo para definição do Perímetro SoD, considerando critérios de classificação de sistemas, impacto potencial, papeis e responsabilidades.
- Construção da ferramenta de identificação de sistemas expostos a SoD: Desenvolvimento da ferramenta de identificação da exposição de SoD para sistemas, contemplando as regras estabelecidas na etapa #01, para geração automática da avaliação de criticidade de cada aplicação para fins de segregação de funções.
- Classificação dos sistemas e definição do Perímetro SoD: Avaliação dos sistemas SOX da Ipiranga para identificação do nível de exposição de SoD para cada aplicação. Compilação dos resultados, definição do Perímetro SoD e elaboração do roadmap de tratamento dos riscos de SoD para os sistemas mapeados.
- Construção da versão #01 da Matriz SOD dos sistemas do Perímetro: Análise dos códigos fonte e do dicionário de transações, quando aplicável, e realização de entrevistas para levantamento dos riscos SOD dos sistemas.
- Diagnóstico e plano de ação para mitigação dos conflitos: Execução do diagnóstico de conflitos no ambiente da Ipiranga e desenho do plano de ação para mitigação e, se aplicável, apresentação ao auditor externo.
- Execução do plano de ação para mitigação dos conflitos SOD: A partir do plano de ação definido, executar as seguintes ações de mitigação de conflitos: 1) quebra de perfis conflitantes; 2) associação de controles compensatórios; 3) análise mitigatória dos acessos; 4) isolamento de transações e perfis que não impactam SOX.
Resultados alcançados:
- - 25 sistemas avaliados.
- - 20 sistemas classificados para escopo SoD.
- - Elaboração de 20 matrizes de riscos SoD em apenas 7 dias.
- - Análise de 5.500 transações e 1.262 perfis.
- - Avaliação de 23.000 usuários.
- - Mapeamento de 15.700 possibilidades de riscos.
- - Identificação de 30.600 conflitos intrínsecos.
- - Identificação de 1.500.000 conflitos extrínsecos.