Controle de acesso teste sem HTML

Resumo Todos os acessos aos sistemas e informações da Elektro são definidos e normatizados por meio do padrão de trabalho P-TIN-012 “Controle de Acessos”, que estabelece diretrizes para solicitação, revisão, bloqueio ou remoção de acessos, além de estruturar a política de senhas dos usuários e outros temas relacionados. Neste contexto, insere-se a prática de Revisão de Usuários, em que é feita a revisão de acessos de todos os usuários do ambiente Elektro, incluindo colaboradores próprios e terceiros, pelos seus respectivos gestores. O resultado final desta prática é a conformidade dos acessos de cada colaborador com relação à função exercida por ele.

Para acessar, faça o login

Metodologia

Quais as características de funcionamento (o que?) O Controle de Acessos é uma prática que faz parte do processo gerencial Segurança da Informação, sendo controlado e monitorado pela Gerência de Tecnologia da Informação. Todos os acessos aos sistemas e informações são definidos previamente pelas gerências das áreas, garantindo desta forma a confidencialidade das informações. Todas as solicitações de acessos e modificação de perfis de autorização são gerenciadas através do ITSM e normatizadas pela sistemática de Controle de Acessos e aprovados pela gerência do solicitante. É válido destacar outras atividades que visam garantir a confiabilidade, integridade e disponibilidade das informações, como é o caso da remoção de acessos por desligamento e transferência de área funcional, bloqueio de usuários por período de inatividade, políticas de senha, restrição de acesso físico ao Datacenter, backups diários e, também, a fim de reforçar e direcionar todo o trabalho envolvido neste assunto, foi estabelecido um pacote de regras globais definidas por um grupo especializado neste tema. A prática em questão, notada como exemplar e chamada de Revisão de Usuários é executada trimestralmente e busca zelar pela conformidade dos acessos aos sistemas corporativos e drives compartilhados. Trata-se de uma revisão dos acessos de todos os usuários (colaboradores e fornecedores) do ambiente tecnológico, por meio de uma ferramenta interna, onde os gestores conseguem revogar ou manter os acessos atuais de seus times, no que tange aos sistemas corporativos e rede compartilhada de dados.

Responsabilidade

Quem implanta, controla e mantém? A Gerência de Tecnologia da Informação é responsável pelo cumprimento de todas as atividades estabelecidas nas políticas e procedimentos definidos pela área de Governança de TI, em conjunto com a gestão sênior de TI e as áreas de negócio, de acordo com as necessidades de todas as partes envolvidas. Resumindo, a área de Governança de TI fica responsável por todo o ciclo de vida de melhoria de processos e práticas de TI, desde sua elaboração, atingimento do nível de maturidade adequado e, por fim, sua reformulação completa para dar lugar a um novo processo totalmente aderente às novas necessidades da realidade em vigor. Controle Como é assegurada a execução conforme previsto na metodologia? Todas as práticas são auditadas periodicamente pelas Auditorias Internas e Externas do Sistema de Gestão Integrada, Auditorias Internas de Compliance, Controles Internos,  Auditoria Externa (Financeira), Auditoria Global de Gestão de Riscos (Grupo Iberdrola) e Auditoria Interna Global (Grupo Iberdrola).

Proatividade

Como são prevenidas situações indesejáveis? Mensalmente é elaborado um relatório de qualidade (IT QA Report) para garantir a correta execução dos processos e práticas de TI, monitorar possíveis desvios de procedimento, acompanhar tendências a fim de evitar futuros problemas e, ao se elaborar este relatório, a equipe de governança tem uma clara visão das oportunidades de melhoria e necessidades de se criar controles para que seja assegurado o cumprimento das políticas e evitar situações indesejáveis.

Disseminação

Onde a prática está aplicada? A prática se aplica a todos os usuários do ambiente tecnológico da Elektro. As políticas estão disponíveis na ferramenta de gestão de documentos corporativos e sua disseminação é feita em toda atualização através do e-mail corporativo enviado a todos os usuários presentes no ambiente. Existe um controle, monitorado pelo time de Controles Internos, que garante a atualização anual deste documento e posterior notificação a todos os impactados.

Continuidade

Desde quando está implantada? A prática foi implantada em 2011.

Refinamento

Como é analisada e melhorada? Embasado nos insights gerados pela execução do processo e pela percepção da equipe que conduz esta prática, é feita uma reunião pós-execução com o time TI, para que sejam levantadas as dificuldades encontradas, lições aprendidas e oportunidades de melhoria. Nesta reunião são discutidos também os planos de ação em busca da melhoria da prática. São essas, algumas destas melhorias: Em 2013 foi realizada uma reavaliação da sistemática de acesso para a inclusão de novos sistemas informatizados, tais como: ZEUS e UE. Em 2014 foram identificados mais dois sistemas que são considerados críticos para os resultados financeiros da empresa e julgou-se necessário inclui-los no escopo desta prática, além da inclusão de novas funcionalidades como delegação em período de férias, fluxo de aprovação de revisão, notificação, entre outras. No ano de 2015 foi feita uma reavaliação total da prática, incluindo a readequação das regras da ferramenta, reformulação da interface para deixá-la mais amigável e intuitiva e, também foi implantada a automatização da carga de dados.

Integração

Como é a interação com as áreas, processos, práticas e estratégias? Coerência: esta prática está relacionada ao objetivo estratégico “Melhorar a excelência operacional, os sistemas e práticas de gestão através da otimização de processos e uso de novas tecnologias”, por garantir a continuidade do acesso aos sistemas informatizados da Elektro. Inter-relacionamento: esta prática se inter-relaciona com várias outras práticas como por exemplo, a aplicação do modelo de login integrado, que consiste na unificação do acesso utilizando apenas um login e uma senha, permitindo aumentar o controle e garantir a segurança das informações, garantindo a restrição dos acessos a todo o ambiente através de um ponto único de controle (Microsoft AD). A ferramenta que suporta esta prática é utilizada por outras áreas da companhia para realizar o controle de acesso às informações críticas, tanto através de pastas de rede, quanto através de perfis dos sistemas. Cooperação: na execução contínua da prática, é envolvida diretamente a Gerência de Tecnologia da Informação na condução da prática e participação de todas as áreas de empresa, representadas pelo time de liderança da Elektro ou respectivos encarregados (em caso de férias, por exemplo), isto é, supervisores, gerentes, gerentes executivos, diretores e presidente.

Resultados

Que benefícios trouxe após a implantação? O que melhorou? Resultados Quantitativos: Observa-se o posicionamento do indicador “Disponibilidade dos Sistemas de Informações” a patamares de nível de excelência nos últimos ciclos de avaliação, sendo verificados pelos resultados de 99,8% em 2013; 99,9% em 2014 e 2015. Resultados Qualitativos: A implantação dessa prática promoveu maior segurança aos dados corporativos, pois somente usuários autorizados tem acesso às informações, bem como, se estabeleceu um processo eficaz para controle de usuários de colaboradores terceirizados, para que não haja acessos externos indevidos. Essa prática contribui para a gestão de um tema muito abordado pelas auditorias, que é a segregação de função, em que é necessário particionar processos críticos em etapas para que seja concedido acesso a pessoas diferentes, visando evitar desvios devido ao excesso de “poder”. Por fim, essa prática possibilita maior confiabilidade das informações presentes no ambiente corporativo, que representa segurança e credibilidade na demonstração dos resultados financeiros da empresa para os acionistas.   

Compartilhe este post