Разграничение полномочий в ИТ-системах (Segregation of Duties)

Мы разрабатываем инструменты, позволяющие управлять рисками, связанными с совершением пользователями ошибок и/или злоупотреблений при работе в информационных системах.

Предпосылки

• Необходимость выявить избыточные и/или конфликтующие прав доступа, чтобы предотвратить риски искажения финансовой отчетности и и минимизировать риски осуществления мошеннических операций.
• Необходимость выявить неавторизованное осуществление операций, а также неавторизованный доступа к критичной и/или конфиденциальной информации.

Методология Kept

При выявлении потенциальных рисков совмещения полномочий Kept придерживается правила, что необходимо исключить конфликтующие функции в отношении одной операции у одного сотрудника. Речь идет о функциях, связанных с обеспечением сохранности активов, с инициацией каких-либо операций в системе и их утверждением, а также отражением операций в учете и выполнением процедур внутреннего контроля в отношении операции.

Ценность для бизнеса

• Снижение рисков совершения пользователями преднамеренных и непреднамеренных ошибок и злоупотреблений.
• Выявление случаев конфликтных и излишних полномочий у пользователей как в бизнес-процессах, так и в информационных системах.
• Снижение трудозатрат специалистов ИТ, внутреннего контроля, аудита, информационной безопасности в процессах предоставления доступа пользователям, анализе и аудите существующих прав доступа в информационных системах.

В Kept также разработано собственное решение – Kept Access Monitor, предназначенное для проведения анализа разграничения полномочий пользователей корпоративных ИТ-систем. Подробнее читайте в брошюре по ссылке.