São Paulo/SP – 22 de junho de 2023 – Aplicação de Gestão de Acessos nos processos de Segurança da Informação
*Leandro Zilli
Visão Geral
A Segurança da Informação tem um papel fundamental em diversas frentes de trabalho, entre elas a Gestão de Acessos. Este processo as vezes pode ser executado em conjunto com a área de Tecnologia da Informação, porém um profissional de Segurança da Informação bem treinado e capacitado poderá de forma eficaz auxiliar na gestão e mitigação de riscos relacionados ao tema.
Neste artigo vamos abordar duas frentes quanto a gestão de acesso para a Segurança da Informação: Acesso Físico e Acesso Lógico.
Acesso Físico
No acesso físico a abordagem deve ser de dentro para fora, entendendo primeiramente quais áreas/ativos devem ser consideradas para que sejam implementadas barreiras de segurança e processos, permitindo que o acesso seja realizado de forma controlada e por quem realmente tem direito.
Levando-se em conta esta abordagem, nos escritórios podem existir áreas de trabalho restrito (salas de Telecom, área de processamento de informações sensíveis), onde devem ser aplicados controles como o uso de biometria ou crachás e perfis de acessos que devem coexistir conforme a estratégia do negócio. Sobre crachás, estes devem distinguir os colaboradores dos demais, como visitantes/prestadores de serviço, sendo neste último caso necessária a aplicação de acessos mais restritivos, termos de responsabilidade e conforme aplicável, acompanhamento em todo o momento em que estiverem no ambiente.
Outros pontos importantes são a revisão periódica destes acessos para a devida adequação, assim como, atribuir um responsável para estas áreas para atuar junto com a Segurança da Informação no gerenciamento dos riscos. É necessário que haja um processo eficaz se o escritório estiver localizado em condomínios, pois a gestão de acesso deve ser bem executada no ambiente do escritório e refletir na gestão de acesso da portaria que está sob a responsabilidade do condomínio, visto ser um local em que pessoas e visitantes de outras empresas podem transitar pelos andares.
A localização destas áreas mais sensíveis deve ser estratégica, de tal forma que o acesso seja realizado em uma única via, mitigando o risco de acesso indevido (as vezes até pelo ambiente externo).
Como controle complementar, é importante haver um CFTV (Circuito Fechado de TV) monitorando todas as dependências do local, principalmente as áreas de trabalho restrito.
Em Data Centers existem controles mais robustos e processos bem elaborados, por ser um local onde diversas empresas dispõem informações e ativos importantes (físicas ou lógicas) e a expectativa é de um local de acesso restrito e com nível de segurança elevado. Além dos controles de acesso e monitoramento de câmeras (CFTV), são presentes processos em que o acesso ao ambiente somente é concedido a partir de diversas etapas, iniciando através do fornecimento dos dados do visitante (formulário cadastral, documentos) por parte de pessoas elegíveis previamente informadas pelos clientes a gestão do Data Center, onde assim que autorizado, demais etapas são aplicadas presencialmente, desde a identificação na guarita até a passagem por vistoria e detectores de metal – a visita poderá ser acompanhada por um funcionário do Data Center durante todo o período de permanência no local.
Acesso Lógico
No acesso lógico, controles devem ser estabelecidos e implementados para proteger e proporcionar o acesso a informações e outros ativos associados de forma a atender requisitos de segurança e do negócio, assegurando o acesso a quem é devido e mitigando os riscos do acesso não autorizado.
Todo o ciclo de um acesso deve ser executado de tal forma que proporcione a sua rastreabilidade, seja na concessão, manutenção/adequação e na revogação, a começar pela criação das credenciais.
As credenciais devem ser criadas de uma forma que seja possível a sua associação ao responsável pela credencial, onde houver a necessidade de criação de credenciais genéricas, deve ser considerada a sua criticidade, a formalização/documentação e controle de acesso a sua utilização, por exemplo, podendo-se optar pelo uso de cofre de credenciais, permitindo a rastreabilidade de seu uso. Assim como os casos de terceiros (prestadores de serviço), sendo necessário haver um responsável dentro da empresa e aplicados termos de responsabilidade e não divulgação (NDA – Non-Disclosure Agreement).
A concessão de acesso deve ser feita através de uma ferramenta que possibilite a formalização da solicitação e promover etapas de aprovação (Gestor, RH, SI). A etapa de execução deve ser realizada por profissionais dedicados e treinados, para evitar desvios ou erros nesta etapa.
Usar uma ferramenta de IAM (Identity and Access Management) poderá auxiliar no processo de provisão de acessos de forma automatizada, sendo necessário previamente um processo para mapeamento dos acessos conforme a estratégia do negócio.
Sobre fluxos de aprovação e acessos a funcionalidades de sistemas, a matriz SoD (Segregation of Duties) pode promover controles para evitar acessos/permissões conflitantes, como a possibilidade de solicitar, aprovar e implementar alguma funcionalidade, evitando que uma credencial possua controle exclusivo e completo sobre transações e processos de negócio. Em conjunto com a matriz SoD, a implementação de perfis de acesso permite atender a requisitos segurança e do negócio, identificando os perfis, avaliando os riscos e efetuando revisões periódicas.
Em situações de concessão de acessos com privilégios elevados (perfis administrativos), estas credenciais deverão utilizar controles adicionais na sua utilização, como o uso de MFA (Multi-Factor Authentication), ainda mais se a credencial for de terceiros (prestadores de serviço), genérica ou nativa do sistema.
O bloqueio e exclusão de credenciais de desligadas e terceiros se faz necessário, sendo um processo documentado e rastreável. Nos casos de desligamento ou encerramento de contrato tempestivo, deve haver uma sinergia entre o gestor/responsável, RH e a Segurança da Informação, para efetuar o quanto antes o bloqueio e a sua formalização, mitigando os riscos ao ambiente da organização.
Para fins de revalidação e avaliar a eficácia da gestão de acessos das credenciais, o processo periódico de revisão de acessos deverá aferir se os acessos refletem as necessidades atuais e se credenciais de colaboradores desligados ou terceiros que não estão mais atuando na organização devem ser bloqueadas.
Para apoiar e realizar ações mais proativas pode-se utilizar ferramentas de DLP (Data Loss Prevention) e SIEM (Security Information and Event Management), que provém regras para mitigar vazamentos de dados e condutas indevidas, sendo geridas por uma equipe como o SOC (Security Operations Center) – podendo atender a leis e regulamentações como a LGPD (Lei Geral de Proteção de Dados).
Conforme Relatório de Cenário de Ameaças Global 2022 da Fortinet, aproximadamente 44% dos métodos de acesso iniciais são através do uso de credenciais válidas, conforme investigação de incidentes pela equipe de Resposta a Incidentes do FortiGuard em 2022, que identificou o acesso através de credenciais legítimas, o que pode estar vinculada a uma invasão, sendo os possíveis motivos deste tipo de acesso a coleta desta credencial em atividades anteriores a esta invasão ou através da aquisição de credenciais (compra) devido ao resultado de outros incidentes.
A aplicação da gestão de acesso pode ser refletida em diversas frentes, como um bom exemplo o acesso e interação quanto ao código fonte, podendo ser gerenciado e monitorado a partir de ferramentas de desenvolvedor quanto as atividades a serem executadas, principalmente em situações em que exista o acesso por mais de uma pessoa. Outro ponto quanto a processos de desenvolvimento, na segregação dos ambientes de Produção, teste/homologação e desenvolvimento, replicar quanto aos acessos, onde quem desenvolve, não testa e quem testa, não implementa em produção.
CONSIDERAÇÕES FINAIS
Como é perceptível, o assunto é de grande relevância e extenso, exigindo esforços de todos.
Para uma boa gestão de segurança da informação três fatores fundamentais: Pessoas, Processos e Tecnologias. Processos devem ser bem planejados e executados, onde as tecnologias atuam como ferramentas importantes para suportar estes processos.
Sobre pessoas existe uma máxima de que elas são o elo mais fraco, porém se passarem por duas etapas essenciais e periódicas através da conscientização de segurança da informação e treinamentos, possibilitando o entendimento dos riscos e ameaças, aprendendo que procedimentos e práticas seguras devem ser realizadas, como a proteção contra phishing e a manipulação de informações de forma correta, resultando em um colaborador menos propenso a cair em golpes e a seguir as políticas de segurança da informação, sendo uma das linhas de defesa fundamental no combate a incidentes, riscos e ameaças.
Nós da SAFEWAY temos a expertise e podemos atender a sua necessidade, através de profissionais e serviços qualificados, atuando em diversas frentes quanto a Gestão de Acessos.
*Leandro Zilli é Consultor de GRC na Safeway
COMO PODEMOS AJUDAR?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 15 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa na estruturação de processos, controles e tecnologias relacionados a gestão de acessos físicos e lógicos respeitando o contexto, particularidades e regulamentações de seu setor de atuação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
Vamos tornar o mundo um lugar mais seguro!
