ITIL & BPM: Processo de Gestão de Acessos

Conforme comentei no post da semana passada (ITIL & BPM), é minha intenção publicar alguns exemplos referentes aos processos do ITIL que podem ser gerenciados pelo BPM, como o processo de Gestão de Acessos, tema do post de hoje. Essa parceria entre ITIL e BPM tem por objetivo a gestão por processos dos serviços prestados pela área de TI, a padronização e o controle.

O processo de Gestão de Acessos é de extrema importância para assegurar as informações das empresas. Para compreender essa afirmativa, peço que reflita sobre as seguintes questões na empresa que você trabalha:

• As pessoas têm acessos às informações que precisam para o desenvolvimento de suas atividades, e somente a elas?
• Quem é responsável por disponibilizar os acessos dos diretórios, pastas e sistemas aos funcionários e quais são os procedimentos adotados?
• Quando um funcionário é desligado da empresa, quais são as ações tomadas para proteger as informações a que ele tinha acesso?

As informações são bens valiosos e estratégicos, e, apesar disso, são muitas as empresas que não tomam todos os cuidados que deveriam com relação a elas. Já recebemos diversos relatos de ex funcionários que ainda possuem acesso a e-mails, ou então, de funcionários que ao mudarem de área e função permaneceram com os mesmos acessos anteriores somados aos novos relativos ao novo trabalho, sem que tenha sido feita uma revisão se os antigos ainda eram necessários. Analisando os problemas encontrados na gestão de acesso às informações, como os listados, percebemos três principais processos para aprovação, revisão e cancelamento de acessos:

• Pelo processo de aprovação de acessos, os responsáveis pelas informações aprovam suas disponibilidades. Por exemplo, só deverão ser atribuídas as permissões de acesso ao módulo de Fornecedores do sistema ERP que forem aprovadas pelo gestor da área de Compras.
• Com o processo de revisão de acessos, periodicamente é verificada a necessidade de permanência à determinado acesso. Por exemplo, um funcionário transferido da área de RH para a área de Compras provavelmente não precise mais ter acesso aos dados do quadro de funcionários da empresa.
• E por último, o processo de cancelamento, que tem por objetivo atender tanto aos casos de transferência de pessoas entre as áreas da empresa, como ao cancelamento de acessos e e-mail dos funcionários desligados.

Gerenciando o acesso às informações através da metodologia de processos, ganha-se com a padronização de procedimentos, controle de permissões concedidas aos funcionários da empresa, mais segurança e minimização dos riscos.