A segregação de funções (em inglês Segregation of Duties - SoD) é um princípio que define que funções conflitantes em uma organização devem ser separadas entre diferentes áreas ou pessoas. Resumindo, quem controla não executa e quem executa não controla.

Este é mais um controle da nova ISO 27002: 5.3 - Segregação de funções, antigo controle 6.1.2 da versão 2013, com o objetivo de evitar riscos de erros, desvios e fraudes em processos críticos da organização.

No CIS versão 8, é equivalente à Medida de Segurança 6.8: Defina e mantenha o controle de acesso baseado em funções, determinando e documentando os direitos de acesso necessários para cada função dentro da organização para cumprir com sucesso suas funções atribuídas. Realize análises de controle de acesso de ativos corporativos para validar se todos os privilégios estão autorizados, em uma programação recorrente, no mínimo uma vez por ano ou com maior frequência.

No contexto da segurança da informação, a segregação de funções visa separar atividades críticas entre diferentes indivíduos, evitando que uma mesma pessoa execute potenciais funções conflitantes. A norma também orienta que sejam monitorados acessos privilegiados e atenção para a possibilidade de conluio, citando exemplos de possíveis funções e áreas de responsabilidade que podem necessitar segregação:

• iniciar, aprovar e executar uma mudança;
• solicitar, aprovar e implementar direitos de acesso;
• projetar, implementar e revisar códigos;
• desenvolver software e administrar os sistemas de produção;
• utilizar e administrar as aplicações;
• utilizar aplicações e administrar bancos de dados;
• projetar, auditar e garantir os controles de segurança da informação.

No caso de organizações menores, onde pode ser difícil a segregação de funções, devido a falta de pessoal, convém considerar outros controles compensatórios ou detectivos, como monitoramento, alertas, etapas de aprovação, trilhas de auditoria e supervisão da direção.

A segregação de funções é uma forma de tratamento do processo de gestão de riscos da organização e possui aplicação importante no controle 5.15 - Controle de Acesso, para assegurar que não sejam concedidos papéis conflitantes para os usuários (como por exemplo as atividades de solicitação, autorização, registro e administração de acessos).

Como orientação geral, os acessos nos sistemas e funções devem ser levantados, identificando-se os riscos e avaliando implementar a segregação de funções antes da concessão destes acessos. Periodicamente, os perfis também precisam ser reavaliados e, em certos casos, pode ser útil um sistema automatizado para gerenciar possíveis conflitos.

Alinhado com o princípio da segregação de funções, a aplicação do modelo das Três Linhas do Instituto dos Auditores Internos (IIA) orienta a definição de papéis, responsabilidades e relacionamentos entre áreas operacionais executantes de 1ª linha, as funções de gestão de riscos e compliance da 2ª linha e, a a auditoria interna na 3ª linha.

Por fim, as regras de segregação de funções devem estar adequadamente documentadas na Política de Segurança da Informação e na Matriz de Funções e Responsabilidades da organização, garantindo que uma pessoa não possua permissões para executar ou ter controle total sobre atividades de um processo crítico, ou mesmo que não consiga esconder eventuais erros ou fraudes no curso normal das suas atividades.

Até a próxima, abraços,