Política de Revisão e Auditoria Periódica de Usuários

Política de Revisão e Auditoria Periódica de Usuários

1. Objetivo

2. Escopo

• ADM Crefaz
• ADM-CP
• Cobrança
• Webscm
• Datacob
• Crefazon
• LIS CrefazMais

3. Periodicidade

4. Responsabilidades

4.1 Time de Operações de Sistemas

• Consolidar listas de usuários por sistema
• Conduzir o processo de auditoria
• Documentar evidências
• Acompanhar e garantir a execução das correções

4.2 Gestores dos Sistemas

• Validar os acessos sob sua responsabilidade
• Aprovar ou revogar permissões
• Justificar exceções

4.3 Segurança da Informação (quando aplicável)

• Apoiar na definição de critérios
• Auditar o processo
• Avaliar riscos identificados

5. Metodologia da Auditoria

5.1 Levantamento de Acessos

• Extração da lista completa de usuários por sistema
• Identificação de perfis, papéis e níveis de acesso
• Identificação de contas inativas e contas técnicas

5.2 Classificação de Usuários

• Usuários ativos
• Usuários inativos
• Usuários com privilégios elevados
• Contas genéricas/compartilhadas

5.3 Validação com Gestores

• Envio da lista consolidada para os responsáveis por área
• Validação formal (e-mail, sistema ou ferramenta controlada)
• Registro de aprovação, ajustes ou revogações

5.4 Análise de Conformidade

• Verificação de aderência ao princípio do menor privilégio
• Identificação de acessos incompatíveis com a função
• Verificação de segregação de funções (SoD)

5.5 Correções e Ajustes

• Revogação de acessos indevidos
• Ajuste de perfis de acesso
• Remoção de contas inativas

5.6 Documentação e Evidências

• Registro da auditoria realizada
• Evidência de aprovações
• Lista de inconsistências encontradas
• Registro das ações corretivas

5.7 Relatório Final

• Sumário executivo
• Principais achados
• Riscos identificados
• Plano de ação

6. Metodologia por Sistema

6.1 ADM Crefaz

• Extração via base de usuários do sistema
• Validação por perfil funcional
• Atenção para perfis administrativos e acessos financeiros

6.2 ADM-CP

• Extração feita via tela do sistema
• Revisar acessos de acordo com usuários da base do RH e apontar modal de usuários terceiros, sistemáticos e administradores para análise.
  

6.3 Cobrança (RBM)

• Extração feita via banco.
• Revisar acessos de acordo com usuários da base do RH e apontar modal de usuários terceiros, sistemáticos e administradores para análise.
  

6.4 Datacob

• Extração feita via tela do sistema
• Revisar acessos de acordo com usuários da base do RH e apontar modal de usuários terceiros, sistemáticos e administradores para análise.
  

6.5 Crefazon

• Extração feita via banco de dados, com filtros específicos. 
• Revisar acessos de acordo com usuários da base do RH e apontar modal de usuários terceiros e sistemáticos para análise.
  

6.6 LIS CrefazMais

• Extração feita via tela
• Revisar acessos de acordo com usuários da base do RH e apontar modal de usuários terceiros, sistemáticos e administradores para análise.
  

7. Pontos de Atenção

• Existência de usuários inativos ainda habilitados
• Contas com privilégios excessivos
• Contas genéricas sem responsável definido
• Falta de segregação de funções críticas
• Usuários com múltiplos perfis conflitantes
• Falta de evidência de aprovação de acesso privilegiado. 
• Acessos não utilizados por longos períodos

8. Indicadores de Controle

• Quantidade de acessos revogados
• Quantidade de inconsistências identificadas
• Tempo médio de correção

9. Conformidade

• Princípio do menor privilégio
• Segregação de funções (SoD)
• Gestão de Identidades e Acessos (IAM)

10. Disposições Finais

• Esta política deve ser revisada anualmente ou conforme necessidade