Che cos'è la segregazione dei diritti?
Separazione dei doveri (SoD), noto anche come Separazione dei doveri, è un sistema di controlli interni all’interno di un’organizzazione. Le politiche SoD fungono da prima linea di difesa quando proteggono le organizzazioni dalla non conformità normativa e dalle attività fraudolente.
Molti processi aziendali, se eseguiti da una sola persona, creerebbero un conflitto di interessi. Ad esempio, un dipendente non dovrebbe essere in grado di inviare e approvare i propri ordini di acquisto. I principi SoD impongono che questi processi debbano essere distribuiti tra più persone all’interno di un’organizzazione. Un processo può anche richiedere più approvatori per processi ad alto rischio.
Non è possibile acquistare semplicemente concetti SoD. Le organizzazioni attuano la separazione dei compiti attraverso pratiche di gestione del rischio. Tuttavia, esistono soluzioni software che aiutano a far rispettare le politiche SoD. Lo fanno rafforzando i controlli di accesso, oltre a fornire il monitoraggio e la capacità di tenere traccia delle tracce di controllo.
Esempi di SoD
Ecco alcuni altri esempi di processi che utilizzano il SoD:
- I dipendenti non possono scrivere i propri assegni di rimborso o eseguire i propri ordini di acquisto.
- I project manager dovrebbero esaminare e convalidare il lavoro o la documentazione del proprio team.
- Il personale delle risorse umane non può impostare livelli salariali
I controlli interni separano le attività incompatibili per prevenire le frodi e ridurre al minimo le tentazioni o gli errori. Il ricatto e la coercizione sono le principali preoccupazioni per i dipendenti che ricoprono ruoli importanti o che gestiscono dati preziosi. Senza le politiche SoD, ecco alcuni esempi:
- I dipendenti potrebbero effettuare in modo fraudolento trasferimenti a loro favore:
- I dipendenti che controllano il proprio lavoro potrebbero non rilevare un errore o abusare di accessi non conformi.
- La persona che assume personale può offrire a un amico una posizione o uno stipendio esagerato rispetto ad altri candidati.
- Un dipendente potrebbe creare e coprire una varianza dell’ordine per prendere la merce per sé.
La SoD e le normative (Sarbanes-Oxley)
Nel 2002, gli Stati Uniti hanno introdotto il Sarbanes-Oxley (SOX) Act. Ciò è stato fatto a seguito di numerosi atti fraudolenti di alto profilo nel settore finanziario. Questa nuova normativa ha influenzato direttamente i requisiti di SoD e auditing per le istituzioni finanziarie e pubbliche. La conformità SOX ha richiesto la rigorosa applicazione dei controlli di audit interno. In particolare, richiedeva alle organizzazioni di assumere revisori indipendenti per rivedere le loro pratiche contabili, piuttosto che utilizzare revisori interni.
Questi audit indipendenti hanno reso molto più difficile nascondere la frode. SOX ha ulteriormente rafforzato la conformità impedendo ai revisori indipendenti di fornire determinati servizi diversi dalla revisione per eliminare i conflitti di interesse [1].
SoD e Identity and Access Management
SOX ha contribuito in modo significativo allo sviluppo iniziale dei moderni sistemi di Identity and Access Management (IAM). Le società finanziarie inizialmente hanno lottato per adattarsi alle nuove normative. I processi dovevano essere rivisti. Improvvisamente sono state necessarie risorse legali e di audit a livelli senza precedenti. I sistemi IAM hanno affrontato queste nuove sfide aziendali su due fronti: controllo degli accessi e audit trail.
L’applicazione da parte di IAM dei controlli di accesso basati sui ruoli (RBAC) è alla base di molte pratiche SoD. Con RBAC, è possibile imporre restrizioni ai sistemi informativi in base al ruolo di un dipendente. I ruoli possono essere determinati dal dipartimento, dalla gerarchia o dalla funzione. RBAC garantisce che gli utenti abbiano accesso solo alle risorse specifiche richieste dai loro ruoli; Ne più ne meno.
I sistemi IAM compilano anche audit trail registrando l’attività dell’utente. Gli amministratori IT possono generare report su questi audit trail per dimostrare la conformità. Inoltre, gli audit trail aiutano a identificare e risolvere eventuali problemi all’interno della struttura RBAC. Queste piste di controllo riducono l’onere della preparazione per gli audit del governo o di terze parti. La preparazione manuale, d’altra parte, può richiedere mesi di sforzo analitico da parte di grandi team.
Tuttavia, i ruoli più ampi non si applicano sempre a tutti gli utenti. In quasi tutte le organizzazioni sono necessarie modifiche e incarichi ad hoc. Questi requisiti devono essere soddisfatti s pur rimanendo conformi sia alla SoD che alla normativa applicabile. A tal fine, molti sistemi IAM incorporano un metodo di richiesta self-service e piattaforme di flusso di lavoro di approvazione.
Con una piattaforma self-service, gli utenti possono richiedere un accesso aggiuntivo a propria discrezione. Le loro richieste vengono poi inoltrate per l’approvazione a uno o più soggetti responsabili. Alcune piattaforme considerano le politiche SoD durante la fase di richiesta, impedendo agli utenti di richiedere l’accesso che violerebbe le politiche interne.
Nuove normative e privacy dei dati
L’ultima ondata di normative che interessano le organizzazioni pubbliche e private si concentrerà principalmente sulla protezione dei dati. Il regolamento generale sulla protezione dei dati (GDPR) dell’UE ha già apportato modifiche radicali alla raccolta, all’archiviazione e all’accesso dei dati. Ora, sapere quali utenti hanno accesso ai dati del file system della tua organizzazione è necessario per la conformità.
[1] https://searchcio.techtarget.com/definition/Sarbanes-Oxley-Act
