A
segurança de informação não envolve apenas os ataques externos. Às vezes, o
risco encontra-se dentro da própria organização. Deste modo, planejar as
permissões internas de sistemas, aplicações e arquivos é o primeiro passo para a
mitigação deste risco.
Bilhões de dólares foram gastos na ultima década para aumentar a segurança da informação nas empresas, com o objetivo de manter afastada a rede dos hackers e invasores. Ainda hoje, num relatório liberado pela Vanson Bourne, que avaliou 3,2 mil tomadores de decisões de TI em 16 países, metade deles revelaram não estarem confiantes de que suas organizações têm capacidade adequada para as diretrizes de segurança necessárias. Somente nos últimos 12 meses, 27% deles responderam ter sofrido falhas e 19% relataram terem sido vítimas de ataques e fraudes.
De forma geral, ainda relacionado a este relatório, as empresas com maior maturidade na área de segurança têm perda financeira proporcionalmente 1,5 vezes maior que as empresas de menor maturidade. No Brasil, o custo destes incidentes foi de US 421.538 para falhas de segurança, U$ 298.824 para perda de dados e U$ 594.000 para inatividade nas operações. Além destes custos, os indicadores de perda de produtividade dos funcionários (46%), atraso no desenvolvimento de produtos (40%), perda de novas oportunidades de negócio (40%), são importantes indicadores gerenciais para visualizarmos o impacto da segurança da informação no ambiente corporativo.
Por isto, as empresas têm investido cada vez mais em tecnologias de proteção de informações, como sistemas de bloqueio de invasões, antivírus, firewalls, entre outros. No entanto, a segurança que envolve os próprios funcionários, parceiros e terceiros que possuem acesso às informações institucionais, podem custar muito mais que qualquer ataque de hacker. Ainda assim, percebemos que este tipo de proteção de informações nas organizações é precário, básico e, comumente, possui falhas que possibilitam que as quebras de segurança ocorram facilmente.
O relatório da EY (Ernest Young) de 2012, realizado entre os países das Américas, apontou que as empresas irão investir mais em aspectos de segurança nos próximos três anos do que em qualquer outro aspecto. A Figura 1 expõe o gráfico desta pesquisa.
Figura 1. Relatório da EY de 2012 sobre investimentos na área de segurança da informação.
Por esta razão a segurança da informação é um assunto tão discutido dentro das organizações. As várias mudanças que ocorreram nas últimas décadas nos levaram a uma explosão de informações. Aplicações, cloud computing, redes sociais, serviços integrados, todos estes são responsáveis por um crescimento exponencial no volume de dados.
Estima-se que uma empresa hoje, com mil funcionários, gere anualmente cerca de 1.000 Terabytes de informação e que 71% de todas as brechas de segurança estão dentro da organização, com algum funcionário/parceiro agindo maliciosamente. Portanto, é importante considerar o quão grande e pervasivo para os profissionais de TI é a manutenção e gerenciamento deste sistema de informações, e como fazer para que estes dados estejam acessíveis, mas, ao mesmo tempo, seguros.
Definições importantes
Antes de iniciarmos o processo de planejamento do ambiente de permissões, é necessário definirmos alguns conceitos que servirão como base teórica para o processo. As definições listadas a seguir são os princípios utilizados para qualquer modelo de segurança existente. Caso seja necessário um maior aprofundamento do assunto, a ISO/IEC 29146, na sua parte I, contém informações mais detalhadas sobre cada uma delas.
· Contas – são objetos criados no seu ambiente de rede ou em sistemas que definem uma identidade, que pode ser um usuário, computador, sala de reunião, servidor ou qualquer outro que necessite ter uma determinada ação em algum sistema;
· Usuários – sujeito da ação de executar, acessar, monitorar e/ou intervir em um sistema. Pode ser indivíduos ou agentes autônomos, como agentes de softwares;
· Permissões – são os direitos de executar uma ou mais ações em objetos de um sistema. Isto é, um objeto pode ser um arquivo, registro de um banco de dados, tela de um sistema, impressão de um determinado arquivo, entre outros. Neste caso, o objeto pode ser definido como a área/registro de informação a ser analisada;
· Acessos – é a resultante dos direitos de execução/permissão relacionado a um objeto de sistema;
· Papeis – são as diferentes funções dentro de um sistema ou ambiente analisado. Neste caso, ao invés de atribuir as permissões ao usuário, define-se as permissões por papéis e enquadram-se os usuários a cada tipo de papel existente, como por exemplo, Administrador, Auditor, Gerente de sistema;
· Controle de acesso – para o usuário executar determinadas tarefas na sua estrutura de TI, acessar recursos de sistemas e realizar algumas alterações em seus dispositivos pessoais, faz-se necessário o uso de algum mecanismo de controle de acesso;
· Autenticação – processo pelo qual a conta ou usuário é validado pelo sistema e autorizado de acordo com as permissões atribuídas;
· Sessão – quando o usuário é autenticado e acessa um determinado sistema ele inicia uma sessão. É possível um usuário ter várias sessões ativas paralelamente e, durante uma sessão, é possível ter mais de um papel.
Levantamento do ambiente
Realizar o levantamento do ambiente a ser analisado é importante até mesmo para quem já tenha um ambiente de usuários e permissões em funcionamento. Sendo assim, é recomendável que faça este exercício de análise da rede, buscando observar com cautela as configurações atuais.
O objetivo desta fase é definir como desenhar, de acordo com o ambiente em análise, a melhor estrutura de atribuição de permissões. A Figura 2 representa um modelo segmentado por departamentos x papéis x sistemas. Com base no seu ambiente, é possível construir a solução que melhor se adéqua ao seu caso.
Figura 2. Visão geral de estrutura de atribuição de permissões.
Para realizar o planejamento, provavelmente será necessário que se recorra aos usuários e/ou chefias para entender quais as atividades desempenhadas por cada um. Porém, caso o ambiente em questão seja amplo demais ou exista alguma questão que impeça este contato, é sugerido que se analise a função descrita pelo RH e restrinja as permissões ao máximo possível, adicionando posteriormente somente as que lhe forem solicitadas. No entanto, este tipo de ação pode trazer transtornos aos usuários que precisarão solicitar e aguardar o suporte da TI para obter permissão para uma tarefa a qual já realizavam anteriormente.
Para esta fase de levantamento de informação, foram definidos seis passos a serem seguidos, estruturados e colocados nesta ordem para facilitar a organização dos dados nas tabelas. Vamos a eles:
1. Lista dos sistemas / aplicações: Neste item o foco é levantar todas as aplicações e/ou sistemas que movimentam informações importantes como o ERP da empresa, banco de dados, sistemas de engenharia, análise, processos, acesso físico, entre outros. Inclua também os sistemas de arquivos compartilhados e, se o seu ambiente possui recursos que são acessados externamente, separe-os também por tipo de acesso, interno ou externo. Na Tabela 1 é apresentado um exemplo de como se criar uma lista de softwares, considerando o tipo de acesso;
Software |
Acesso |
Departamentos |
ERP |
Interno |
Financeiro, Logística |
Project Web |
Interno/Externo |
Engenharia, TI |
Make Process |
Interno |
Todos |
Tabela 1. Lista de aplicações.
2. Definição de atributos: Com base no item anterior, para cada um dos sistemas levantados (ou para um grupo deles, se for possível agrupar) levante os atributos que podem ser trabalhados. Neste momento não se preocupe em avaliar qual o nível de detalhamento. Para facilitar, a seguir é apresentada uma lista dos atributos mais utilizados:
· Leitura;
· Listar;
· Modificar;
· Escrita / Gravar;
· Excluir;
· Listar atributos;
· Execução;
· Alterar permissões;
· Completo.
3. Lista de usuários: Neste item o foco é entender a sua estrutura de usuários, não sendo necessário que se realize uma lista com todos os nomes, mas que sejam considerados todos os tipos. Para isto é importante que seja analisada cada pessoa dentro da empresa e suas funções. De qualquer forma, você terá uma lista ao final que delineará os vários tipos de perfis com os quais poderá trabalhar numa política de controle de acesso. Portanto, quanto mais informação conseguir reunir, melhor será o resultado. A Tabela 2 traz um exemplo que poderá ser usado nesta etapa;
Departamento |
Usuário |
Perfil |
Financeiro |
Jane Silva |
Financeiro-atendimento |
Financeiro |
Claudia Costa |
Financeiro-NotasFiscais |
Financeiro |
Meire Maura |
Financeiro-coordenação |
Tabela 2. Lista de usuários.
4. Lista de papéis: Considerando a lista anterior, é possível repensar os usuários em determinados papéis. Isto é, normalmente o time de um departamento da sua empresa possui uma função determinada, mas mesmo assim possuem atividades diferentes entre seus componentes. É importante entender que um usuário não precisa ter as mesmas permissões que o seu chefe, somente porque pertence ao mesmo departamento. Para construir sua lista de papéis, analise a lista de usuários e veja se é possível agrupá-los de acordo com as funções que executam. No exemplo da Tabela 3, os papeis de Financeiro-NotasFiscais e Financeiro-Coordenação podem ser agrupados, pois possuem a mesma permissão no sistema de Notas Fiscais;
Ação Sistema |
Finan-atend |
Finan-NF |
Finan-Coord |
Visualização informações financeiras |
X |
X |
X |
Entrada de Notas fiscais |
X |
X |
X |
Alteração de Info em Notas Fiscais |
- |
X |
X |
Remoção de Notas fiscais |
- |
X |
X |
Tabela 3. Lista de papéis.
5. Tempo de permissão: Este item refere-se a casos em que o sistema não permite atribuir permissões especiais e/ou o acesso do usuário será em momentos pontuais e/ou esporádicos. Isto é, suponha que um usuário precise alterar um arquivo no diretório do Windows. Este acesso, no entanto, é restrito a administradores do computador e não tem como atribuir permissão específica e/ou não se deve manter o usuário com permissões completas. Deve-se considerar, então, a duração da permissão atribuída. Outro exemplo, um funcionário do financeiro pode solicitar a permissão temporária de exclusão de registros no sistema, pois isto faz parte de um projeto corporativo de otimização dos processos;
6. Análise de normatização / regulações / requisitos governamentais: Existem algumas regulações governamentais que requerem maior controle e auditoria de acesso, como SOX, HIPAA, GLBA. Estes tipos de normatizações são geralmente aplicáveis em empresas de maior porte e que possuem o capital aberto na bolsa de valores, por exemplo. Caso esta situação se aplique ao seu ambiente, faça uma análise criteriosa dos requisitos necessários a cada uma delas e elabore uma lista de prioridades para elaboração e análise dos dados. É sugerido ainda que, após finalizar o trabalho, seja realizada uma auditoria com base nestas exigências para verificação e validação do ambiente.
Com esses dados levantados é possível iniciar a fase de análise e estruturação das informações. Neste momento será necessário um esforço adicional de observação, com o intuito de organizar o ambiente e definir a partir deste ponto os processos para a requisição de acesso, onde é possível:
· Criar tabelas específicas de acesso por sistema utilizando-se o exemplo da tabela RACI (veja o BOX 1), conforme exemplo mostrado no item 4;
· Criar tabelas por papéis, reunindo os usuários por grupos e funções específicas na empresa;
· Criar tabelas por tipo de acesso e sistema, levando em consideração se o acesso for realizado interna ou externamente, em um desktop ou servidor;
· Criar tabelas por escopo x tempo, quando o ambiente requer uma segmentação de permissões temporárias, delineando o privilégio x escopo x tempo.
A tabela ou matriz RACI é uma ferramenta da gestão de projetos que estrutura a relação entre papéis e responsabilidades de cada atividade ou processo. O nome RACI é um acrônimo de Responsible, Accountable, Consult and Inform (Responsável, Autoridade, Consultoria e Informação).
A partir deste ponto você terá condições de estruturar o seu ambiente com base nas variáveis que mais se aplicarem ao seu caso: sistemas, papéis, tipo de acesso ou tempo. Neste momento, busque reduzir ao máximo o volume de informações geradas, como por exemplo, criando estruturas de matrizes utilizando-se de duas variáveis.
Após a criação das tabelas, realize um levantamento de quem são os usuários que devem ter privilégio elevado. Segundo Carpenter, no Gartner Information Security Summit 2010, a recomendação é que estes tipos de usuários, que se enquadram em três tipos de contas listadas a seguir, devem ser monitorados e auditados:
· Pessoas com permissão completa de super usuário permanente – para algumas contas e administradores da TI;
· Pessoas com permissão completa, mas de super usuário temporária – para gestores, desenvolvedores de produtos, entre outros;
· Pessoas com permissão restrita, mas de super usuário temporária – para desenvolvedores de aplicações e administradores de banco de dados. Isto é, com privilégio de super usuário somente para as aplicações e sistemas que precisam acessar.
Portanto, identifique nas tabelas quem são e crie processos separados de aprovação, criação e exclusão para estes casos. Por exemplo, no caso de um administrador de banco de dados, é imprescindível que ele possua um usuário com privilégio elevado na aplicação. Para que ele consiga esta permissão, será necessário que ele abra uma requisição no sistema de atendimento, especifique o ambiente ao qual ele precisa de acesso e obtenha a aprovação de um responsável pela área ou serviço – gerente de TI ou de projeto. Somente após este procedimento, será autorizada a criação de um usuário com sua identificação, que será monitorado e auditado durante todas as sessões de logon que fizer.
Análise e detalhamento
Uma vez realizado o levantamento inicial, é possível ter uma visão melhorada de como está estruturada sua organização em relação a cargos, perfis, pessoas e funções. Neste momento, o importante é ter como foco a simplificação ao máximo da sua estrutura, com o objetivo de facilitar a criação do ambiente e dos procedimentos necessários para a sua equipe de TI.
Primeiramente tente agrupar ao máximo os usuários por sistemas e privilégios, de forma que possua um número fixo de perfis dentro de cada aplicação. Por exemplo, dentro de uma determinada aplicação financeira você pode tentar reunir os usuários que realizam adição de registros e consultas (Financeiro-Atendimento), outros que realizam alterações (Financeiro-Completo) e os administradores do banco (TI-Completo). Veja a Tabela 2 para acompanhar o exemplo.
Caso já possua um ambiente em funcionamento, realize uma auditoria de autorizações dentro de cada aplicação. Verifique quais usuários já possuem contas privilegiadas e compare-os com sua análise feita anteriormente. Procure analisar e conversar com os mesmos para entender se realmente existe a necessidade de se manter permissões deste tipo. Negocie no sentido de reduzir ao máximo o acesso, pois a quantidade dessas contas deve ser minimizada.
Lembre-se que toda política de segurança prevê proteção para a organização e para o usuário, evitando riscos operacionais. Todos estão sujeitos a erros, acidentes, invasões, que independem do seu nível de conhecimento. Sendo assim, não tenha receio em colocar limites ao seu time de TI, à chefia do departamento ou ao gerente geral, pois quando não há limites claros e estabelecidos, o legal e o ilegal são imprecisos e as consequências podem ser desastrosas tanto para o TI quanto para o negócio.
Este é o momento de desenhar/redesenhar suas políticas internas e ter as permissões de usuários gerenciadas de forma mais padronizada e granular. Portanto, defina qual o nível de detalhamento necessário para cada aplicação e perfil e estabeleça padrões. Caso opte por uma estrutura com um nível maior de detalhamento, terá um custo maior de administração dos recursos posteriormente. Assim, avalie de forma criteriosa se realmente é necessário este tipo de esforço.
Por exemplo, considere um sistema de gestão integrada, onde dois módulos estão em operação: financeiro e logística. Suponha que um usuário do financeiro precise ter acesso a uma determinada tela da logística e que no perfil criado no sistema para este departamento, esta permissão não é aplicada. Ao invés de criar um novo perfil para este tipo de exceção, opte por atribuir mais de um perfil a um mesmo usuário, possibilitando o acesso dele a vários ambientes e simplificando a administração dos perfis.
Uma vez finalizada a etapa de levantamento e análise dos perfis de segurança da rede, inicia-se o processo de planejamento das ações necessárias para implantação.
Plano de ação
Após definir os perfis e níveis de detalhamento, é interessante considerar alguns pontos de análise antes de iniciar o planejamento da execução da nova estrutura de permissões. São eles:
· Quais as falhas de segurança de maior risco para a operação?
· Qual/quais os departamentos que realizam movimentações mais críticas?
· Qual/quais os processos mais críticos para a organização?
· Qual o calendário de atividades da organização?
O plano de ação é uma tabela que conterá todas as atividades que serão desenvolvidas para que se atinja uma meta num tempo determinado. Portanto, ele deve conter informações como: a descrição da ação, o cronograma, passos e requisitos para realização, testes/avaliação, status, os responsáveis e/ou envolvidos. A Tabela 4 apresenta um exemplo de plano de ação para servir como base na construção. No entanto, lembre-se de adequar as colunas às suas necessidades locais.
ID |
Ação |
Requisitos |
Testes |
Responsável |
Inicio |
Entrega |
Status |
1.1 |
Comunicar ao departamento financeiro |
Coord. TI |
6/1/2014 |
6/1/2014 |
Concluído |
||
1.2 |
Alterar permissões no sistema - tela finanças |
a. Após ação ID 1.1 c. Realizar avaliação e teste de impacto |
Realizar teste de acesso de pelo menos três usuários após implementação |
Coord. Sistema |
8/1/2014 |
15/01/2014 |
Em progresso |
Tabela 4. Plano de ação.
Ao elaborar o plano de ação, alguns pontos importantes devem ser considerados, para que não haja imprevistos durante o processo de implantação das políticas:
· Considere atividades importantes do setor que será afetado, como entregas de relatórios gerenciais, datas de fechamento fiscais, data de entrada de mercadorias, entre outros. Estas datas podem impactar na execução do planejamento, uma vez que realizar mudanças em períodos críticos não é recomendável;
· Procure minimizar o impacto da segurança na produtividade dos usuários, para obter o apoio da empresa e dos funcionários nas iniciativas da TI;
· Implemente logs detalhados (principalmente no início da implantação) para que possa buscar padrões que indiquem problemas de configuração.
Preparar um plano de ação é uma tarefa relativamente simples. O principio básico é ser o mais específico e estabelecer metas e objetivos claros. Além disso, o acesso às informações contidas no plano pela equipe é fundamental para que todos compreendam o papel que terão e o quão suas ações poderão impactar no cronograma e resultado estabelecido. A seguir elaboramos um passo-a-passo para criação do plano:
1. Defina o seu objetivo em várias metas e objetivos secundários;
2. Gere uma lista de ações para cada meta ou objetivo definido;
3. Adicione cada uma das ações no plano, organizando-as e estabelecendo o requisito, responsável e cronograma de cada uma delas;
4. Aloque os recursos necessários a cada uma das tarefas, o que inclui pessoas, materiais e equipamentos;
5. Elabore um plano paralelo de acompanhamento da execução, pois a reelaboração, reorganização e reagendamento de atividades é necessário;
6. Levante os fatores de riscos, identificando possíveis problemas e reconsidere as datas previstas, já que o prazo deve ser estendido de forma a abranger contratempos.
As informações têm sido consideradas o principal ativo de uma organização. Hoje, a vantagem competitiva de uma empresa está na sua estratégia, que por sua vez está diretamente relacionada ao bom uso da informação disponível. Por esta razão, as organizações têm investido tanto na área de segurança, criando e discutindo políticas e procedimentos claros, adquirindo softwares e equipamentos onerosos para aumentar a proteção contra invasões.
No entanto, pesquisas recentes têm questionado a segurança destas organizações, principalmente quando a proteção está no controle de um funcionário. Uma das maiores dificuldades das organizações atuais é assegurar que todos os seus funcionários conheçam e sigam as políticas internas e entendam a sua importância. Atitudes que incluem riscos operacionais como o simples ato de dar uma espiada, fazem com que a área de segurança não descanse nunca. A natureza humana tem sido o elo mais fraco na interface entre pessoas, processos e tecnologia.
Trabalhar com proteção é estabelecer regras que sejam implementadas e que impactem o menos possível na produtividade da empresa. Por isso, o privilegio mínimo é uma forma de reduzir estes riscos e tentar criar um ambiente seguro ao funcionário, dando somente autorização (permissão) aos recursos de TI compatíveis com sua função e responsabilidade e não super ou sub autorizá-lo.
Empresas hoje são dinâmicas e podem ser consideradas sistemas fluidos de troca de informações. A ilusão de ser possível bloquear todos os acessos e impedir toda tentativa de roubo de informações não é possível. Por todas estas razões, é fundamental incluir outros departamentos neste projeto, como por exemplo, o RH ou a comunicação, já que toda a ação de TI deve alcançar a todos da organização. Regras que não estejam claras, política ou procedimentos não conhecidos, fazem com que grande parte deste esforço seja em vão. Por isto, preveja um código de conduta, avisos, contratos de confidencialidade, entre outros, para apoiar suas ações com base nestes documentos.
A implantação efetiva da segurança da informação demanda um conjunto de fatores que incluem a política, diretrizes, processos, ferramentas, controle e planejamento. Se conseguir que os limites sejam respeitados, a TI permanece no controle da segurança e tem a autoridade de tomar ações proativas para continuar a proteger a empresa.