Considere, por hipótese, que no ambiente do Tribunal Superior do Trabalho
- TST foram detectados os seguintes problemas:
- Fraudes devido a excesso de privilégios de funcionários.
- Violações ou tentativas de violação de dados sensíveis por funcionários com diferentes perfis de acesso.
- Funcionários com elevado número de transações em sistemas, acima de 5 mil por mês.
A equipe de analistas do TST, frente a estes problemas, ponderou que algo deveria ser feito para que houvesse o mapeamento e redução de riscos em acessos elevados, com diminuição de conflitos de privilégios e implementação de políticas de prevenção de fraudes e proteção de informações sensíveis. Para chegar ao resultado desejado, um Analista de Sistemas propôs que
a) fosse convocada uma reunião da alta direção com a equipe de Analistas de TI para tratarem do alinhamento estratégico entre áreas de TI e negócios.
b) a responsabilidade do Gestor de Compliance, com base nas práticas da ITIL v3 edição 2011, fosse ajustada, pois a ele caberia cuidar da confidencialidade, integridade e disponibilidade das informações sensíveis e controlar os privilégios de acesso às informações, dados e sistemas do TST.
c) o controle de Perfil por Função já implantado fosse substituído por um método diferente e já consagrado, como Imperative Access Control - IAC ou Voluntary Access Control - VAC.
d) o PETI fosse revisto e ampliado, de forma que o mapa estratégico passasse a contemplar, na perspectiva de Resultados, o objetivo de garantir que as funções de TI atendam aos privilégios acordados e sejam medidos pelo indicador de número de transações em sistemas.
e) o log de acessos dos usuários a sistemas e aplicações fosse avaliado, identificando conflitos de função, principalmente em atividades críticas e informações sensíveis da empresa, aplicando Role Based Access Control-RBAC com Segregation of Duties - SoD, dentre outras providências.