Estabelecer uma gestão de acessos eficiente é, sem dúvidas, um dos principais desafios da Segurança da Informação em todas as organizações, independentemente do tamanho e da complexidade dos negócios. Com o advento das legislações de privacidade de dados como a LGPD e a GDPR, esse assunto adquiriu ainda maior relevância, pois, o simples acesso à dados pessoais é uma forma de tratamento, dessa forma, deve estar devidamente justificado e mapeado.
Além de estar em compliance com as legislações, ter políticas e processos bem estabelecidos, são essenciais para a estruturação e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI). Ao garantir controles de acessos, as organizações conseguem:
- Prevenir e investigar fraudes com maior precisão;
- Mitigar danos em eventuais ataques cibernéticos;
- Garantir a perpetuidade e crescimento do negócio;
- Reduzir as chances de vazamento de dados e informações confidenciais;
- Não permitir que conflitos de interesse impactem na missão e objetivo da companhia.
Apesar da importância de estabelecer políticas de acessos a redes e sistemas, é fundamental o apoio da alta direção. Além disso, o processo deve ser orientado ao negócio e não encarado como algo burocrático e a segurança deve estar integrada aos objetivos estratégicos, não se tornando um empecilho a eles.
Outrossim, para que isso seja possível, é necessário que existam mapeamentos e documentações de itens como a arquitetura das redes e dos sistemas, proprietários dos ativos, pessoas envolvidas, informações tratadas, licenciamento, entre outros.
A seguir, apresentaremos alguns passos que devem estar inseridos nas políticas e procedimentos que tratam de gestão de acessos. Confira:
Ciclo dos Acessos – Provisão, Concessão, Revisão e Revogação
Após ter mapeado e documentado sua arquitetura de redes e sistemas, é necessário definir as funcionalidades de cada perfil, identificar as áreas e cargos da organização, verificar os conflitos de interesse e criar matrizes de SoD (Segregation of Duties – Segregação de Funções), sendo possível estruturar um ciclo de vida dos acessos da sua organização.
O ciclo se inicia com o provisionamento do acesso, que consiste no seguinte processo: assim que uma pessoa é contratada, a área de Recursos Humanos aciona a área de Tecnologia da Informação, informando a data de início das atividades do colaborador, seu cargo e jornada de trabalho. Com essas informações, é possível verificar quais sistemas e redes essa pessoa deverá acessar, verificar se a quantidade de licenças é suficiente ou se será necessário adquirir novas, aferir se haverá equipamentos disponíveis e, caso seja preciso, acionar o fluxo de requisição de novos ativos.
Após o acesso ser provisionado, assim que o novo colaborador iniciar seus trabalhos, deve ocorrer uma solicitação formal para concessão dos acessos. Feita a solicitação, deve ser seguida uma árvore de decisão para aprovação ou não daquele acesso. Via de regra, esse workflow envolve o gestor do colaborador, o proprietário daquele ativo informacional e um colaborador da área de Segurança da Informação. Realizada todas as aprovações, o acesso será concedido.
Já a revisão de acessos é um conjunto de atividades que busca identificar, corrigir e ajustar os perfis de acessos e matrizes já existentes, assegurando que o momento atual está devidamente refletido nos acessos ativos, bem como conferir se não há perfis de colaboradores desligados ou afastados ainda ativos. Existindo mudança de cargo ou área, os perfis também devem ser ajustados, anulando tudo aquilo que não se faz mais necessário.
O final desse ciclo é a revogação dos acessos, que deve ocorrer sempre e imediatamente na saída de colaboradores ou encerramentos contratuais, no caso de acessos concedidos à terceiros. É recomendado também que sejam estabelecidos processos de revogação automática, por exemplo, inatividade do perfil a partir de um determinado período de tempo.
Gestão dos Riscos de Acessos
Ao aplicar processos efetivos e seguir de forma adequada o ciclo de vida de acessos, a organização terá uma melhoria considerável na maturidade do Sistema de Gestão de Segurança da Informação, contudo, sempre haverá situações que deverão ser deliberadas, pois, invariavelmente existirão perfis com funções conflitantes por necessidade do negócio e pessoas com acúmulo de responsabilidades.
Esses casos devem estar documentados e contar com controles compensatórios para análise comportamental, bem como serem acompanhados através de indicadores de riscos (KRIs) reportados ao Comitê de Privacidade e Segurança da Informação.
Conclusão
Isto posto, o patrocínio da alta gestão, maturidade processual, gerenciamento de riscos, tomada de decisão, estabelecimento de papéis e responsabilidades, documentação adequada dos sistemas e redes são essenciais para o sucesso do controle de acesso e que, com toda certeza, fará com que a organização avance no tratamento dos seus riscos de segurança da informação.