De Elo Fraco para Elo forte: um novo aliado para um velho conhecido!


Mário Sérgio Ribeiro (*) Na segurança da informação/cibernética (SI&C) os colaboradores internos sempre foram vistos pelo lado negativo nos Programas de Educação e Conscientização. Tanto podem agir de forma acidental como intencional, podendo vir a causar um dano material e/ou Read more

Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Os riscos de um processo de acesso lógico sem planejamento.

enigma.consultoria Sem categoria Leave a comment   , ,

(*) Mário Sérgio Ribeiro

 

… Infelizmente tenho que informar que o risco de você demitir alguém é alto. Como? Isso mesmo, demitir alguém é risco alto em sua empresa!

Não se trata de nenhum terrorismo, mas é a história e a situação em que várias empresas já se encontraram. E do outro lado a pergunta, mas como você chegou a essa conclusão?

Vejamos. Por meio de várias pistas que aparecem ao colaborador, uma boa parcela deles desconfia que esteja entrando na marca do pênalti. Muitos gestores fornecem essa pista, mudando seu comportamento, muita fofoca ocorre, e hoje, muita informação, com dicas para empregados saberem se estão na lista negra circula pela Internet em sites especializados.

O ser humano reage de forma diferente diante de uma situação como essa. Uma parcela começa a procurar outro lugar para se colocar antes que seja pego de surpresa; outra, entretanto, acredita que alguma coisa seja devido a ele, que se trata de uma injustiça, e é essa a situação em mora o perigo.

Essa parcela de colaboradores chamada “do mal” acaba entrando no conhecido triângulo de Cressey, e racionaliza que algo é devido a ele e que precisa fazer justiça de alguma forma. O resto fica por conta da motivação/pressão que ele tem de sobra dentro desse contexto e, por último, onde eu queria chegar, a oportunidade.

Essa tal oportunidade é fornecida pela empresa, em seu desestruturado, ou melhor, desastroso processo de acesso a sistemas de informação. Com privilégios e mais privilégios sem qualquer análise, com total falta de controle e tudo o mais que se tem direito, esse colaborador “do mal” devidamente motivado, pode se apoderar de informações altamente sensíveis. Pois bem, está feito. Divulga onde não devia, vende para quem pagar, e por aí vai a lista de estrago que ele pode trazer para a sua ex-empresa, com as informações que teve acesso e que de alguma forma a armazenou.

A Alta Administração na situação citada relutam um pouco em aceitar, mas enxergam o risco e o tamanho do estrago que pode ocorrer. Ser humano é ser humano, é da natureza a possibilidade do erro!

E o porquê de algo tão impactante e para alguns, podendo soar como surreal? A resposta é por conta de uma causa simples: um processo de acesso a sistemas de informação desestruturado, sem planejamento, sem noção do risco, isto é, quando o tem.

A falta ou o processo de acesso a sistemas de informação planejados e executados de forma desestruturado, sem ater as consequências da coisa malfeita, pode dar a chance de pessoas que não deviam ver, alterar ou excluir o dado/informação o façam.

Todos sabemos o quanto o mundo corporativo de hoje está completamente informatizado e dependente da Tecnologia da Informação (TI). Difícil encontrar algum processo de negócio que não tenha a TI envolvida, e claro, como consequência, o ser humano como seu usuário principal. Nessa linha que vivemos, as empresas de todo tamanho são obrigadas a responder à questão: que dado/informação os colaboradores podem acessar? Quais softwares e sistemas informáticos devo disponibilizar para os usuários da empresa realizarem suas atividades? Que política, critérios e métodos devem ser utilizados para mitigar o risco de disponibilizar mais do que o necessário e poder ter consequências nada agradáveis?

Os processos de negócios das empresas, com suas atividades e tarefas definidas, os inter-relacionamentos entre as diversas áreas, estão todos entrincheirados sobre a batuta da TI com seus dispositivos computacionais, seus aplicativos e sistemas informáticos. Os dados e as informações que compõem todo esse universo precisam ser criados, manuseados, transportados, armazenados e descartados, em uma clara obediência ao ciclo de vida da informação. É assim que as coisas ocorrem e esse é o contexto na qual vivemos.

Uma empresa precisa dispor de pessoas para desempenhar o que convencionamos chamar de funções de trabalho. Essas funções de trabalho estão atreladas a um cargo, a uma posição que a pessoa assume na empresa. A empresa espera que no desempenho de suas funções a pessoa contribua para o alcance das metas e resultados previstos em seu planejamento. E hoje, mais do que nunca, as atividades a serem desempenhadas pelas funções de trabalho tem uma total dependência de dispositivos computacionais.

Nesse contexto de um mundo quase que, ou, totalmente dependente da TI, torna-se necessário que as empresas definam quais dados e informações que seus colaboradores possam ter acesso, para que desempenhem suas funções no atendimento aos anseios projetados pela empresa e, que esse acesso, seja concedido de forma que sejam minimizados riscos.

E que riscos são esses? São riscos de natureza intencional ou não intencional. Pela concessão de acessos a dados e informações acima da necessidade que o colaborador tem para realizar suas funções, ele pode utilizar esses privilégios oferecidos pela empresa e perpetrar os mais variados atos ilícitos, como por exemplo, se apoderar de informações de dada criticidade e “oferecer” a potenciais interessados. Essa é uma ação intencional.

Apesar de existir uma linha tênue entre uma ação intencional e uma não intencional, um exemplo de uma não intencionalidade é o colaborador transmitir uma informação sensível, na qual não se deveria ter sido fornecido acesso a ele, para alguém interessado (interno ou externo da empresa). Essa informação transmitida pode trazer consequências de magnitude severa à empresa.

Uma das principais premissas que deve ser observada e utilizada para mitigar riscos como o mencionado e dentro do tema em questão é utilizar o conceito do Menor Privilégio:

Menor privilégio é a prática administrativa consagrada seletivamente de atribuir permissão para usuários, de tal forma que, ao usuário, não seja fornecida permissão além daquela necessária para desempenhar sua função de trabalho. Garantir aderência ao princípio do menor privilégio é um grande desafio administrativo que requer a identificação das funções de trabalho, a especificação da série de permissões requeridas para desenvolver essas funções e a restrição do usuário para um domínio com tais privilégios.

A prática do Menor Privilégio independe do tamanho da empresa, sua quantidade de usuários e de sistemas informáticos. O que deve prevalecer é bem claro aqui: as permissões de acesso devem ser concedidas dentro dos limites do que é necessário para o colaborador desempenhar sua função, suas atividades, nada a mais, nada a menos.

Uma outra prática importante é a instituição da segregação de funções, que deve ter uma matriz elaborada e implantada e levada para o acesso lógico, com a segregação de acesso a sistemas informáticos.

Lendo o que coloquei parece algo absolutamente óbvio e simples de se executar, disse bem, parece…. Esse é o caso, na teoria é uma coisa e na prática outra. Independentemente do tamanho da empresa se não houver compromisso do andar de cima, com falas e atos, sem admitir qualquer “carteirada”, venha de onde vier, além de política e normas que se façam cumprir, com sansões explícitas, a coisa não começa muito bem…e deve invariavelmente terminar mal.

Na vida empresarial não são poucas as exceções que quebram regulamentos e regras estabelecidas, com justificativas sem fundamento e valor para o negócio. Exceções que na grande maioria das vezes elevam mais ainda o risco, sem agregar ao negócio da empresa e no atingimento de metas estabelecidas. Trata-se de riscos assumidos e de forma absolutamente desnecessária.

Mas então, por onde começar? O que deve ser pensado para que riscos desnecessários não sejam assumidos e que seja fornecido o acesso devido para que os colaboradores realizem suas atividades? Essas são pelo menos duas das variadas perguntas que bate na cabeça daqueles que tenham que tratar do assunto. Vejamos algumas atividades macro que podem ser cumpridas pela empresa:

  • Ter uma Política de Segurança da Informação atualizada que seja suporte para uma norma complementar de controle de acesso lógico;
  • Criar e/ou definir uma área/subárea que gerencie o acesso lógico/sistemas informáticos;
  • Criar e implantar uma Norma de Acesso e controle a dados e informações;
  • Elaborar a matriz de segregação de função e implantando em sistemas informáticos;
  • Definição de uma metodologia adequada de Acesso e controle lógico a sistemas informáticos;
  • Criação do processo de concessão, manutenção e exclusão do acesso a sistemas informáticos;
  • Monitoramento e revisão periódica dos processos e dos riscos relacionados.

Essas atividades macro são independentes do tamanho da empresa. São as que costumamos chamar de boas práticas e se aplica a toda e qualquer empresa. O que varia, e isso é absolutamente correto, é, por exemplo, o método de concessão e revisão de acesso em uma pequena empresa e uma grande empresa. Enquanto a pequena pode basear sua concessão por usuário, na grande já se torna obrigatória fazê-lo por funções.

Como indicamos, para iniciar é necessário que haja uma Política de Segurança da Informação (PSI) devidamente implantada e “no sangue” dos colaboradores da empresa. Normalmente encontramos PSI que parece mais um romance, com inúmeras páginas, quando na verdade uma PSI deve ter no máximo três páginas, quando muito. Além de outras “virtudes” uma PSI deve servir de suporte para uma norma complementar de controle de acesso lógico que deve ser escrita e implantada.

Um outro ponto importante é a necessidade se ter definido uma área que seja responsável em gerenciar o acesso a dispositivos e sistemas informáticos, ou como se convencionou chamar, Controle de Acesso Lógico, o que é mais abrangente. Interessante essa área estar dentro do Security Office da empresa. Como qualquer área, deve ter seus propósitos definidos, seus colaboradores especializados e processos estabelecidos. Lembrar que a função de gestão aqui envolve os processos de concessão, manutenção e exclusão dos usuários de TI. Além disso, deve a área exercer a devida Governança munida de métricas e indicadores estabelecidos.

Em seguida e com a participação da área responsável de Controle de Acesso Lógico, deve ser elaborada e estabelecida uma Norma que defina como se dará o acesso e o seu controle aos dados e informações, que estão sob a custódia da Tecnologia da Informação. Isso é fundamental! Essa Norma deve trazer no mínimo o escopo, a abrangência, o propósito, as diretrizes e as sanções para quem descumprir o que estiver estabelecido. Uma Norma é o guia, aquilo que a empresa julga que deva ser cumprido para um assunto específico e de importância.

O passo seguinte é definir qual a metodologia de Controle de Acesso a sistemas informáticos que deve ser implantada. Algumas das várias abordagens utilizadas no mercado são:

  • Baseado no Usuário;
  • Baseado em Política;
  • Baseado em Funções.

Baseado no Usuário

Nessa abordagem, direitos de acesso são autorizados diretamente para um usuário ou grupos de usuários, muitas vezes, por exemplo, com o uso de ACLs (listas de controle de acesso) para recursos de rede e controle de acesso discricionário (DAC) e mandatório (MAC).

Aqui, os usuários têm garantido acesso aos recursos de sistemas e aplicações por meio de regras de acesso discretas que especificam o nível de autorização de usuários para recursos específicos ou grupos de recursos (arquivos de dados ou aplicações, por exemplo). Para organizações que tenham poucos sistemas (20 no máximo) e são relativamente pequenas (100 funcionários) e uma população de usuários estáveis, as despesas administrativas associadas com esse tipo de controle de acesso/perfis é aceitável.

Entretanto, com organizações médias e grandes e em crescimento, o número de usuários aumenta e os sistemas se multiplicam. Manter a segurança de acesso usando essa abordagem torna-se um desafio administrativo devido ao significativo nível de manutenção que deve ser desenvolvido. Por exemplo, quando um novo colaborador é contratado, os requerimentos de permissões de usuários necessitarão ser definidos nas regras de acesso para múltiplos sistemas e aplicações.

 

Baseado em Política

Neste modelo regras organizacionais são usadas com informação do atributo do usuário para determinado controle de acesso. Por exemplo, uma regra pode definir que um usuário tenha código de localização X e função Y para completar uma transação Z.

 

Baseado em Funções

Diferente do baseado em usuário, neste método o usuário estará incluído em um ou mais perfis funcionais. RBAC (Role Based Access Control) é definido como um método que aplica e gerencia o controle de acesso por meio do uso de componentes intermediários (funções) entre usuários e privilégios. O modelo básico preconizado pelo NIST (National Institute of Standards and Technology) é composto por três componentes distintos: usuários, funções e privilégios ou permissões.

No ambiente RBAC usuários ganham acesso aos recursos de TI por estarem associados com um apropriado perfil empresarial. Para um novo usuário, as responsabilidades de seu trabalho devem estar identificadas e então o perfil que corresponde aquelas responsabilidades deve ser conectado ao ID do novo colaborador/usuário.

O modelo RBAC considera ambas, as funções do negócio e as responsabilidades organizacionais, e permite as organizações estabelecerem uma série de direitos de acessos necessários para indivíduos desenvolverem suas responsabilidades requeridas por seu cargo, entre esses indivíduos estão empregados, clientes ou parceiros de negócios.

Trata-se de um modelo ideal para médias e grandes corporações, que tem um número razoável de funções em seu recurso humano e sistemas informáticos em operação. São inúmeros os benefícios desse método, mas deve-se estar consciente de que não é um projeto simples de ser implantado, demandando a participação de várias áreas da empresa. O RBAC é o método que permite a implantação do conceito de gestão de identidade e a possibilidade da implantação do SSO (single sign on), da senha única ao invés de inúmeras senhas.

Escolhida a metodologia é fundamental mapear e modelar o processo de concessão, revisão e exclusão do acesso lógico a sistemas informáticos. Nesse mapeamento e modelamento a empresa tem definido como quer que o processo, em todas as suas etapas, seja devidamente cumprido por todos.

E por último o Monitoramento do processo e dos riscos associados. Disciplina quase sempre esquecida, o monitoramento do processo e dos riscos associados ao tema deve trazer métricas e indicadores que possibilitem à empresa avaliar, corrigir/melhorar o rumo do que ocorre.

Em diversos projetos que desenvolvi do tema em questão, ficou a lição de que o fator chave de sucesso aqui é a visão mais detalhada possível que a Alta Administração da empresa deva ter com os riscos que estão atrelados ao tema. Essa visão deve estar refletida nas políticas e normas que a mesma referenda e, em quanto ela insere em sua agenda a cobrança da área responsável de indicadores, que reflitam periodicamente incidentes e riscos associados a questão.

Não se trata de um assunto especificamente do security office ou da TI da empresa, estamos falando de um risco corporativo. Um tema dessa magnitude tratado com certa displicência pode trazer consequências até catastróficas para a empresa, ou o receio permanente de demitir alguém! É bom abrir bem o olho!

 

Até a próxima!

 

_______________________________________________________________

(*) 57 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br