€¦ · web viewncc tem como propósito ser o único software legado reconhecido pelo sap grc/ ac,...
TRANSCRIPT
Questionário de entendimento da empresa - NIdM
versão 1.0
”NCC tem como propósito ser o único software legado reconhecido pelo SAP GRC/
AC, SAP IDM e/ou outros sistemas legados como sendo o responsável pelas
integrações de usuários, perfis e acessos na empresa, além de possibilitar de
maneira automática, a gestão do risco de acesso nas atribuições e permitir, de
maneira simplificada, a revisão dos perfis atribuídos.
Possibilitar a automação dos eventos gerados pelo RH com os demais sistemas
legados da empresa garantindo segurança, padronização, controle, rapidez, tracking
e auditoria das transações, visando a redução de custos e melhora na gestão dos
acessos.“
O questionário a seguir tem como objetivo obter informações para melhor
qualificação da demanda para Gestão de Identidades e Gestão de Acessos e
permitir que seja apresentado um estudo sobre como a NAI-IT pode realizar o
atendimento.
Documento de uso confidencial. Distribuição não autorizada, sem a formalização da NAI-IT
Norberto Tordin – Diretor comerciale-mail: [email protected]
Telefone: (19) 99162-6307
Questionário de entendimento da empresa - NIdM
versão 1.0
Entendendo a empresa - RH
1. Quantos funcionários contratados tem a empresa?2. Quantos funcionários terceiros tem a empresa?3. Quantos funcionários e/ou terceiros (usuários) acessam sistemas na
empresa e demandam controle de acesso?4. Qual o sistema de RH da empresa?5. Qual o sistema de gestão de terceiros da empresa?6. Além de funcionários e terceiros, tem algum outro tipo de contratação?7. Qual o processo de contratação e demissão executado pelo RH?8. Como está a qualidade das informações no sistema de RH?
a. Os campos sensíveis (Centro de custo, cargo, Localidade, etc) estão com entrada padronizada?
9. Qual a volumetria média de contratações (funcionários) anuais?10. Qual a volumetria média de demissões anuais?11. Qual a volumetria média de afastamentos, férias, etc anuais?12. Qual a volumetria média de transferências, promoções de cargo e demais
itens relacionados anuais?13. A empresa ou o departamento de RH possui definição atualizada referente
aos cargos com os perfis e acessos aos diversos sistemas (ERP, legados e MS AD)? Pode citar um exemplo?
14. Quando há uma nova contratação, como o departamento de RH informa TI quais são os sistemas e acessos que precisam ser atribuídos ao novo funcionário?
a. E-mail, Abertura de Ticket, outros?b. Em média, quantos e-mails ou tickets precisam ser abertos por
processo?c. Quanto tempo o funcionário de RH gasta com a atividade de aviso a
TI?15. A empresa possui algum processo automatizado para leitura do RH e
atribuição dos acessos nos sistemas da empresa (ERP, Legados e MS AD), sem que o responsável pelo RH tenha que abrir tickets?
16. O sistema de RH da empresa tem espaço para registro de informações específicas relacionados ao cargo referentes, por exemplo, para entrega de aparelho celular, entrega de notebook, liberação de veículo da empresa, vaga de portador de necessidades especiais, ou outros?
Documento de uso confidencial. Distribuição não autorizada, sem a formalização da NAI-IT
Questionário de entendimento da empresa - NIdM
versão 1.0
Entendendo a empresa – TI
1. Qual o sistema de ERP da empresa?2. Quantos são os principais sistemas legados da empresa (sistemas
considerados como críticos), além do MS AD?3. Qual o nome dos principais sistemas legados da empresa?4. Quantos e quais são os sistemas com auditoria por SOX?5. Algum destes sistemas legados é desenvolvimento interno? Qual(is)?6. Algum destes sistemas legados é baseado na plataforma AS400 ou
mainframe? a. Quantos e quais? b. Como é feito a gestão de acesso (concessão ou revogação) nestes
sistemas, por ação manual de cadastro de usuários e perfis?7. Algum destes sistemas legados faz autenticação no MS AD?8. Quantas instâncias de MS AD a empresa possui?9. Estas instâncias do MS AD estão centralizadas ou distribuídas?10. Alguma destas instâncias de MS AD possui característica específica, como
por exemplo, uma instância do MS AD responsável pelos grupos de e-mail?11. A empresa possui instâncias do MS AD fora do país? Caso positivo, quantas
e em quais países?12. A empresa usa o log do MS AD ligado?13. Existe algum controle de validação de login duplicado no MS AD?14. Quantas pessoas na empresa possuem privilégio de gestão no MS AD?15. A empresa possui algum Portal (próprio ou desenvolvido por terceiros) para
que os usuários registrem suas solicitações de novos acessos, de senha, ou qualquer outra interação com os gestores?
16. A empresa possui alguma metodologia definida para reset de senha?17. Reset de senha é um problema para TI ou para a empresa?18. Qual a quantidade de chamados para reset de senha anual?19. A empresa possui sistema para GRC, com foco na gestão de perfis de
acesso (SAP GRC/AC, por exemplo)?20. Em caso positivo, está completamente implementado? Possui contratos com
consultoria externa para gestão e revisão dos perfis?21. A empresa possui sistema de Gestão de Identidades? Caso positivo, qual?22. Qual o sistema de gestão de tickets da empresa? Interno ou terceirizado?23. A abertura dos tickets referentes a concessão, revogação de acessos é
manual ou automatizado?24. O departamento de TI sabe informar qual o custo de atendimento de um
ticket? Pode informar qual é o valor?25. TI tem alguma atividade complementar para detalhar o ticket e descobrir
quais sistemas devem ser acessados para que a ação solicitada seja executada?
26. Qual o procedimento de TI a ser seguido quando o ticket (ou e-mail) não contém todas as informações necessárias para que a ação seja realizada nos sistemas?
Documento de uso confidencial. Distribuição não autorizada, sem a formalização da NAI-IT
Questionário de entendimento da empresa - NIdM
versão 1.0
27. Quanto tempo, em média, demora para que uma nova contratação seja efetivada nos diversos sistemas (ERP, legados e MS AD), a ponto do contratado poder, efetivamente, ter os acessos e equipamentos para poder trabalhar?
28. Existe alguma regra complementar para que um acesso seja concedido (treinamento, por exemplo)?
29. Quanto tempo, em média, demora para que uma revogação de acesso seja efetivada nos diversos sistemas da empresa?
30. Existe alguma forma de auditar que as revogações foram efetivamente realizadas e que todos os acessos foram revogados?
31. A empresa já verificou algum tipo de acesso indevido por funcionários demitidos? Tem como validar se algum acesso deste tipo foi tentado com ou sem sucesso?
Documento de uso confidencial. Distribuição não autorizada, sem a formalização da NAI-IT
Questionário de entendimento da empresa - NIdM
versão 1.0
Entendendo a empresa – Governança
1. Compliance é quesito crítico na empresa?2. A empresa está cadastrada em Bolsa de Valores?3. Quais os principais motivos apontado nas auditorias como não atendidos?4. A empresa possui auditoria externa para a gestão dos perfis de acesso?5. Qual a quantidade aproximada de perfis de acesso na empresa?6. Como é feito o controle dos acessos que precisam ser concedidos? Tem
workflow para solicitação e aprovação?7. Quem tem o conhecimento sobre quais acessos precisam ser concedidos
quando tem uma nova contratação de funcionário, para um determinado cargo?
8. Como é feito o controle de segregação de funções?9. A empresa possui algum controle para auditoria dos acessos solicitados,
concedidos e histórico das transações de concessão e vigência?10. Como é feito o controle de validade dos acessos concedidos a terceiros?11. Qual a periodicidade de revisão dos perfis e acessos?12. Como a área de governança corporativa identifica a necessidade de executar
a revisão dos perfis?13. Existe algum controle quanto a concessão de perfis baseado na Matriz de
Risco, envolvendo o ERP e sistemas legados? Ou somente ao ERP?14. Existe uma matriz de risco definida na empresa?15. Existe controles mitigatórios para os riscos de acessos e perfis identificados?16. Existe controles compensatórios para os riscos de acessos e perfis
identificados?17. A área de governança (ou outra responsável) consegue atender as
demandas de auditoria quanto as exigências da gestão de acessos e identidades?
18. Como é feito o controle dos perfis específicos, desde a definição de quais perfis poderão ser considerados como específicos e como é o processo de aprovação da concessão e revogação?
19. Existe algum tipo de benefício atrelado ao atendimento do tempo, segurança e qualidade na gestão dos perfis e acessos?
20. A empresa já teve casos anteriores de solicitação de revogação dos acessos que não foram completamente realizadas?
Entendendo a empresa – Financeiro1. A empresa tem orçamento aprovado para investimento em Gestão de
Identidades e Acessos?2. Caso negativo, tem intenção de prever orçamento? Para quando?3. Como é o processo de contratação de um fornecedor?
a. Toda demanda precisa ser aberto RFP?4. Existe alguma política de contratação baseada em serviços (Saas), nuvem,
contratação por Licença de Uso e projeto? Qual o modelo preferido?
Entendendo a sua empresa – Geral
Documento de uso confidencial. Distribuição não autorizada, sem a formalização da NAI-IT
Questionário de entendimento da empresa - NIdM
versão 1.0
1. Complemente o questionário com informações que julgar conveniente.
Documento de uso confidencial. Distribuição não autorizada, sem a formalização da NAI-IT