Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Um mergulho profundo nos papéis e permissões do NetSuite

Um mergulho profundo nos papéis e permissões do NetSuite

Jan 19, 2024

Uma compreensão clara e confiante das funções dos usuários é vital para gerenciar com sucesso o NetSuite. Seja implementando uma nova conta, limpando uma antiga ou configurando a segregação de funções para a SOX compliance, é necessário ter um domínio firme de alguns fundamentos.

Compreendendo as Funções dos Usuários

NetSuite possui um sistema de controle de acesso baseado em funções. Isso significa que cada usuário precisa ter uma função atribuída para obter acesso, e essa função determina o que eles podem ver e fazer no sistema.

Existem 636 permissões distintas que governam 4923 tarefas, buscas e registros separados. Além disso, cada função pode ter uma visualização de lista preferida ou obrigatória ou formulário para cada tipo de registro e transação. E, além disso, há todas as configurações contextuais que determinam quais dados um usuário vê de diferentes segmentos e subsidiárias. Dependendo da natureza da sua conta, isso pode ser centenas de milhares de combinações potenciais.

Conteúdo relacionado selecionado:

No entanto, a realidade raramente é tão complexa. Em termos simples, as funções são compostas de três coisas:

  • Permissões: conceda aos usuários o direito de ver dados e interagir com eles.
  • Restrições: limite o uso de uma permissão aos dados relacionados à sua subsidiária, departamento ou classe.
  • Interfaces: como formulários, visualizações de listas e painéis, e o tema de navegação geral conhecido como 'centro', definem como os usuários veem as coisas.

Compreendendo as Permissões de Usuário

Cada função de usuário (exceto Administrador) precisa de pelo menos uma permissão. Essencialmente, uma permissão é um conjunto de direitos que determina o que um usuário pode e não pode fazer no sistema.

A maioria das permissões também possui uma gama de níveis de permissão, de Visualizar a Completo. São eles:

  • Visualizar: O usuário pode ver os dados, mas não pode alterá-los
  • Criar: O usuário também pode criar um registro ou transação, mas não pode editá-lo
  • Editar: O usuário também pode alterar um registro ou transação após sua criação
  • Completo: O usuário também pode EXCLUIR um registro ou transação

Tenha muito, muito cuidado ao conceder níveis de permissão Total a quase qualquer pessoa, para quase qualquer coisa. Quase nenhum papel operacional deve ter qualquer conjunto de permissões transacionais definido como Total.

Quatro perguntas frequentes sobre permissões de usuário

Quais permissões o papel de Admin possui?

Os administradores possuem todas as permissões E a capacidade de conceder acesso a qualquer pessoa E a capacidade de excluir toda a sua conta. Portanto, você deve ter muito cuidado com quem você dá acesso de Admin. Uma coisa importante que precisa ser lembrada é que quase todas as capacidades incluídas na função de Administrador estão disponíveis como permissões separadas. A melhor maneira de pensar sobre uma permissão é como um atalho que permite aos Administradores dar a um papel um grupo de capacidades em um único passo.

O que é uma tarefa?

Muitas permissões são descritas em relação a uma tarefa. Essa relação é uma das principais fontes de confusão sobre permissões. Então, o que é uma tarefa?

Uma tarefa é basicamente um caminho para fazer algo no NetSuite. Ela é sempre representada por um ou mais elementos de interface. Esses elementos podem ser algo na navegação ou em uma interface de registro ou transação.

Por exemplo, a permissão de Aprovação de Pedido de Venda ativa e desativa a tarefa de Aprovação de Pedido de Venda. Sem essa permissão, um usuário não pode aprovar um pedido de venda.

Como as permissões afetam a navegação?

O nível de permissão “View” controla a navegação e, em alguns casos, a capacidade de adicionar um lembrete a um painel. Os outros níveis controlam a habilidade de criar, alterar ou excluir dados em registros, transações ou configurações, o que por sua vez pode alterar a funcionalidade de uma interface ao adicionar um botão ou habilitar um status de aprovação.

Isso é verdade não apenas para dados e transações, mas também para todas as permissões de configuração mencionadas acima. Além disso, não importa realmente se a capacidade é chamada de tarefa ou registro — a relação funcional com a permissão é a mesma.

Quais são as diferentes categorias para as funções e permissões do NetSuite?

  • Transações: Estas permissões controlam o acesso aos registros de transações do NetSuite e a capacidade de aprová-los. É importante atribuir permissões limitadas com base em funções específicas para garantir a segregação adequada de funções. Considere se determinadas funções exigem permissões para configurar fluxos de trabalho do SuiteFlow relacionados a transações.
  • Relatórios: Estas permissões determinam o acesso a relatórios financeiros mais abrangentes dentro do NetSuite. Funções envolvidas na elaboração de relatórios financeiros geralmente têm a maioria dessas permissões atribuídas a elas.
  • Listas: Esta categoria abrange o acesso a todos os registros não transacionais no NetSuite, como clientes, fornecedores e funcionários. Tenha em mente que nem todas as permissões nesta categoria podem ter nomes intuitivos, portanto, revise cuidadosamente cada permissão para entender seu propósito. Certas permissões administrativas, como “Mass Updates”, devem ser restritas a um pequeno subconjunto de usuários.
  • Configuração: Essas permissões são principalmente administrativas por natureza. No entanto, algumas permissões nesta categoria podem ser relevantes para uma gama mais ampla de funções. Por exemplo, a permissão “Importar Arquivo CSV” permite que os usuários finais processem suas próprias importações de CSV para registros aos quais têm acesso. Além disso, a permissão “SAML Single Sign-on” é essencial para funções que utilizam autenticação de single sign-on.
  • Registro Personalizado: Esta categoria refere-se a SuiteApps ou registros personalizados dentro do NetSuite. O acesso a registros específicos ou grupos de registros pode ser concedido aos usuários com base em seus papéis. Durante a implementação de um novo SuiteApp, essas permissões são frequentemente ajustadas para permitir que os usuários interajam com a solução conforme necessário.

Monitoramento do Comportamento do Administrador

No NetSuite, o papel de Administrador confere aos usuários amplos poderes transacionais — e com isso surge o potencial para fraude. Em um mundo ideal, nenhum usuário seria capaz de criar, editar e excluir transações em uma conta de produção.

Monitorar e revisar regularmente todas as alterações transacionais feitas por usuários com privilégios de administração é uma parte fundamental da preparação para a conformidade com SOX — sem falar que é uma das melhores práticas para se manter seguro. No entanto, detectar essas mudanças pode ser mais difícil do que você imagina. Como resultado, mesmo que você confie plenamente em sua equipe, estar pronto para auditoria pode ser um desafio.

A raiz do problema é que no NetSuite, alguns scripts e fluxos de trabalho serão executados como administrador, mesmo que não sejam acionados por um usuário com privilégios de administração. O resultado são centenas ou até milhares de falsos positivos quando você realiza uma busca de notas do sistema para atividade transacional.

Limpando Funções Não Utilizadas

A gestão de acesso no NetSuite torna-se muito mais difícil quando existem funções não utilizadas no seu sistema. Como outras formas de dívida técnica, funções usadas tornam cada decisão sobre controle de acesso mais complicada. E quanto mais você adiar um projeto de limpeza, pior o problema se torna.

Dois tipos de papéis são candidatos para limpeza:

  • Funções não atribuídas que não estão atribuídas a ninguém
  • Funções não utilizadas que estão atribuídas mas não estão em uso

Para encontrar funções não atribuídas, basta realizar uma busca no registro do funcionário e agrupar os resultados por função. Qualquer função de usuário que não esteja na lista não está atribuída a ninguém.

Para encontrar funções não utilizadas, execute uma busca no Login Audit Trail (Setup>Manage Users>View User Login Audit Trail) para todos os logins nos últimos seis meses. Se a função não estiver nesta lista, ela não está em uso.

Em uma conta movimentada, essas buscas podem expirar. Para contornar o problema, restrinja sua busca apenas aos papéis que lhe preocupam.

Por que é mais fácil com Netwrix Platform Governance (anteriormente Netwrix Strongpoint)

Netwrix Platform Governance (anteriormente Netwrix Strongpoint) vem com pesquisas prontas para uso para identificar funções não utilizadas e não atribuídas no NetSuite.

Netwrix Platform Governance oferece um nível extra de segurança e tranquilidade, armazenando automaticamente funções excluídas em um arquivo permanente que pode ser restaurado a qualquer momento.

Como mencionamos acima, Netwrix Platform Governance é a única solução que encontra scripts que executam como um papel específico.

Revisando o Uso de Permissões

Toda vez que um registro é editado, o NetSuite cria uma nota do sistema que descreve o que foi alterado, quando foi alterado, por quem e por qual função. Usando isso, podemos trabalhar de forma retroativa para descobrir quais permissões estão sendo usadas para alterar dados.

Se o registro possui notas do sistema e não há notas do sistema relacionadas à criação ou edição do registro relevante por usuários, a permissão não está sendo usada ativamente (ou seja, não está sendo usada para inserir ou alterar dados/configurações).

No entanto, uma permissão que não está sendo usada ativamente pode incluir elementos de navegação que não são capturados nas notas do sistema. Então, se você está usando este método para limpar as permissões do NetSuite, quaisquer candidatos que você identificar devem ser configurados para Visualizar — não excluídos — para evitar problemas de navegação. 

Finalmente, se você precisar definir uma permissão para Visualizar (ou remover uma permissão) de um grupo de funções personalizadas, você pode fazer essa alteração usando uma atualização em massa. No entanto, tenha MUITO CUIDADO para selecionar as funções corretas.

Principais relatórios do Netwrix Platform Governance:

Netwrix Platform Governance vem com três relatórios prontos para uso que ajudam você a revisar o uso de permissões:

  • Atividade Transacional por Função: O relatório ‘Atividade transacional por função’ cobre todas as transações, incluindo transações personalizadas
  • Atividade da Empresa por Função: O relatório ‘Atividade da empresa por função’ abrange Leads, Clientes, Prospectos, Fornecedores, Parceiros e Outras Empresas
  • Outras Atividades de Registro por Função: O relatório ‘Outras atividades de registro por função’ cobre todos os registros e configurações que possuem notas do sistema

Aplicando o Princípio do Menor Privilégio ao NetSuite

Para garantir a data security e minimizar o risco de acesso não autorizado, é crucial aplicar o princípio do menor privilégio ao configurar privilégios e papéis de usuário dentro do NetSuite. Ao conceder aos usuários os privilégios mínimos necessários para desempenhar suas funções, as organizações podem reduzir o potencial de abuso e ações não autorizadas dentro do sistema.

O princípio do menor privilégio defende conceder aos usuários a menor quantidade de privilégio necessária para que eles desempenhem suas responsabilidades de trabalho de forma eficaz. Desencoraja a prática de atribuir privilégios ou funções excessivas, particularmente durante os estágios iniciais de uma organização, quando a velocidade e a agilidade são enfatizadas. Conceder privilégios desnecessários pode deixar o sistema vulnerável a abusos e comprometer a segurança. A revisão regular dos privilégios dos usuários é essencial para garantir que eles estejam alinhados com as responsabilidades atuais do trabalho.

Ao configurar privilégios e papéis de usuário no NetSuite, é crucial aderir ao princípio do menor privilégio para manter um ambiente seguro. Aqui estão algumas considerações importantes:

  1. Permissões baseadas em funções: Alinhe permissões para funções semelhantes para garantir consistência e facilitar a manutenção contínua. Ao agrupar usuários com funções de trabalho semelhantes sob funções apropriadas, você pode simplificar a atribuição de permissões e reduzir o risco de conceder acesso excessivo.
  2. Criação Cuidadosa de Funções: Ao criar novas funções, avalie cuidadosamente as permissões necessárias para cada função. Considere o princípio do menor privilégio e atribua apenas os privilégios necessários com base nas funções de trabalho específicas dos usuários dentro dessas funções.
  3. Manutenção Contínua: Revise e atualize regularmente os privilégios e papéis dos usuários conforme as responsabilidades do trabalho mudam. Essa prática ajuda a garantir que os usuários tenham os privilégios necessários para desempenhar suas tarefas de forma eficaz sem acesso desnecessário a dados sensíveis ou funções do sistema.
  4. Migração Controlada de Funções de Usuário: Ao realizar migrações de funções de usuário em larga escala dentro do NetSuite, considere alternativas à migração manual. Avalie opções que permitam transições de funções eficientes e seguras, minimizando o potencial para erros ou escalonamentos de privilégios não intencionais.

Riscos de Processos Empresariais: Garantindo as Permissões Corretas do NetSuite

A atribuição de permissões de função e níveis de permissão no NetSuite é crucial para controlar o acesso dos usuários e manter a segurança do sistema. No entanto, conceder permissões incorretas ou níveis inadequados pode introduzir riscos aos processos de negócios. Por exemplo, permissões excessivas sem controles adequados podem levar a fraudes ou erros, enquanto permissões inadequadas podem impedir tarefas críticas como os processos de fechamento financeiro. Ao avaliar cuidadosamente e alinhar as permissões de função com o princípio do menor privilégio, as organizações podem mitigar riscos e garantir um ambiente NetSuite seguro.

NetSuite oferece vários tipos de restrições que podem ser definidas dentro de papéis para controlar o acesso a diferentes tipos de registros. Estas incluem Restrições de Empregado, Restrições de Departamento, Restrições de Classe, Restrições de Localização e Restrições de Subsidiária. Cada restrição limita o acesso a tipos específicos de registros baseados em certos valores de campos, garantindo que usuários com papéis atribuídos possam apenas visualizar ou editar registros relevantes.

No entanto, quando as permissões e os níveis de permissão não são atribuídos corretamente, existem potenciais riscos para os processos de negócio. Conceder permissões excessivas, como permitir que uma função de usuário crie registros de fornecedores, faturas de fornecedores e pagamentos a fornecedores sem controles apropriados, pode introduzir riscos significativos para a organização. É crucial avaliar e implementar medidas necessárias de mitigação de riscos para evitar potenciais fraudes ou erros.

Gerenciando a Segregação de Funções no NetSuite

A segregação de funções é o conceito de que a mesma pessoa não deve ser capaz de completar etapas subsequentes na mesma cadeia de transações. Por exemplo, uma pessoa que pudesse emitir cheques e também equilibrar a conta bancária poderia encobrir seus rastros em uma fraude.

A segregação de funções é obviamente uma grande preocupação ao revisar as funções e permissões do NetSuite. É uma parte crítica da conformidade com SOX e também é cada vez mais exigida em empresas privadas.

A prática padrão para manter a segregação de funções é dividir responsabilidades entre diferentes pessoas com diferentes papéis. Isso também pode ser alcançado adicionando um passo de controle, como uma revisão secundária ou aprovação, em uma parte da transação.

O maior erro que as empresas cometem ao implementar SoD é que elas não organizam primeiro seus papéis de usuário. O segundo maior erro é que elas se envolvem demais na organização de seus papéis. Com isso em mente, podemos traçar um caminho muito mais simples para entrar em funcionamento com SoD:

  1. Encontre e desative todas as funções não utilizadas e não atribuídas
  2. Encontre e remova todas as atribuições de funções não utilizadas
  3. Verifique conflitos de segregação de funções dentro de papéis usando a biblioteca de regras do Netwrix Platform Governance
  4. Verifique se as permissões conflitantes estão sendo ativamente utilizadas; se não, defina-as para “Visualizar” para resolver o conflito.
  5. Resolva quaisquer conflitos restantes construindo controles inteligentes usando o Netwrix Platform Governance Agent.
  6. Verifique conflitos de múltiplos papéis e resolva-os usando Agent.

A segregação de funções (SoD) é crucial para manter controles internos eficazes e prevenir erros e fraudes dentro de uma organização. Existem três áreas principais que precisam ser segregadas: autorização, custódia e registro.

A implementação da segregação de funções mitiga o risco de fraude. A fraude geralmente ocorre quando três condições estão presentes: motivo, racionalização e oportunidade. Ao separar tarefas-chave, como criar fornecedores e pagar contas, criar clientes e emitir notas de crédito, ou criar lançamentos contábeis e aprová-los, a oportunidade para fraude é reduzida.

A segregação de funções é importante porque impede que uma única pessoa tenha controle excessivo e a capacidade de usar esse controle para fins não autorizados. Ajuda a proteger contra atividades fraudulentas como desvio de fundos, espionagem corporativa, campanhas de vingança ou falsificação de registros financeiros.

No contexto do NetSuite, gerenciar o acesso e impor a segregação de funções pode ser complexo devido à multiplicidade de permissões e tarefas envolvidas. O NetSuite contém inúmeras permissões que governam diversas tarefas, pesquisas e registros. A gestão eficaz do acesso exige tempo e recursos que nem sempre estão prontamente disponíveis para administradores e equipes financeiras. Além disso, a automação pode introduzir conflitos inesperados que os auditores podem considerar como deficiências de controle, tornando ainda mais desafiador manter a segregação adequada de funções.

Conformidade SOX e Controles de Acesso

Como mencionado acima, SoD — e revisão de acesso em geral — é uma grande parte da conformidade com SOX. Os auditores querem ver que os controles de prevenção de fraude estão integrados ao sistema e suportados por funções e atribuições de permissão bem definidas.

O problema é que as revisões tradicionais de acesso SoD são instantâneos no tempo. As equipes do NetSuite preparam seus papéis e permissões para revisão trimestral, muitas vezes com grandes despesas. Essa abordagem requer uma extensa revisão manual das alterações relacionadas e horas de trabalho investigando falsos positivos. Além disso, ela não oferece a você — ou aos seus auditores — nenhuma confiança de que conflitos ocorrendo entre auditorias serão detectados e resolvidos.

O resultado é que os custos de auditoria disparam, os níveis de estresse são altos e deficiências materiais, que agravam ainda mais ambos os problemas, são comuns. Além disso, não há proteção real incorporada ao sistema, então mesmo que você consiga passar por uma auditoria, você não está realmente protegido contra fraudes, que é o objetivo da SOX desde o início.

A Abordagem de Conformidade Contínua para o Access Management

Netwrix Platform Governance é a única solução nativa de SoD para NetSuite. Baseado na nossa abordagem de 'compliance contínuo' para SOX, ele monitora as alterações de papéis e permissões de forma contínua, proporcionando uma visão pronta para auditoria do acesso, a qualquer momento.

Netwrix Platform Governance também pode bloquear alterações particularmente inseguras, como conceder direitos de Admin sem aprovação prévia. Implementa-se rapidamente, para que você possa começar a operar com menos estresse.

Bibliotecas pré-construídas de regras e ferramentas integradas ao registro do funcionário oferecem a capacidade de implementar rapidamente controles detectivos, bloqueadores e mitigadores que ajudam a controlar o acesso a funções e permissões críticas — e comprovar isso para os auditores.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Paul Staz

VP de Vendas e Marketing

Como VP de Vendas e Marketing, Paul é responsável por impulsionar o crescimento dos produtos de Infraestrutura e Aplicações no portfólio da Netwrix. Suas principais áreas de foco são segurança e conformidade para NetSuite, Salesforce e Infraestrutura de Rede. Ele é apaixonado por Estratégias de Ir para o Mercado e em gerar resultados positivos para os clientes. Anteriormente, Paul atuou como VP de Vendas e Marketing na Strongpoint, onde liderou as funções de Ir para o Mercado antes de ser adquirida pela Netwrix. Paul possui um Bacharelado em Artes e um Mestrado em Administração de Empresas pela Universidade McMaster em Hamilton, Ontário, Canadá.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança