Implementados adequadamente, os controles de acesso apenas dão aos funcionários acesso aos aplicativos e bancos de dados de que precisam para realizar seus trabalhos. Em muitas organizações regulamentadas, esses controles são muitas vezes manuais, desatualizados e ineficazes. Veja como revisar seu programa de controle de acesso.

Considere o caso da DuPont: Entre agosto e dezembro de 2005, um pesquisador prestes a partir para uma nova empresa admitiu ter baixado mais de 22.000 resumos sensíveis da biblioteca eletrônica de dados da DuPont. Ele também foi capaz de acessar um adicional de 16.700 arquivos, a maioria dos quais não se relacionava com sua função de trabalho. Esse acesso foi 15 vezes maior do que o próximo usuário da biblioteca, e supostamente envolveu US$400 milhões em segredos comerciais, mas a DuPont não descobriu o acesso inadequado até dezembro de 2005, depois que o funcionário notificou. Além disso, ele já tinha carregado alguns dos documentos para o seu novo laptop de trabalho em fevereiro de 2006, antes de as autoridades federais finalmente alcançá-lo.

Quando se trata de pessoas que abusam de seus direitos de acesso, a DuPont não está sozinha. De acordo com uma pesquisa da Forrester com 28 empresas que sofreram uma violação de dados em 2019, a principal causa – contribuindo para 39% de todos os incidentes – foi “usuários autorizados que exploram seus direitos de acesso privilegiados”.

A moral é que apenas restringir o acesso não é suficiente para impedir que um insider malicioso se comporte mal. Com isso em mente, como as empresas podem administrar melhor as contas de usuários, controlar o acesso e observar sinais de comportamento de acesso inadequado?

Comece com estas 10 melhores práticas:

1. Criar uma linha de base do Access

Comece por registrar seu departamento de TI e gerar uma linha de base dos níveis e controles de acesso atuais em vigor. Ao fazer isso, “você verá os buracos em seus processos atuais” e rapidamente prenderá qualquer ofensor bruto, como “alguém que está administrando um negócio fora da sua área”. Então você passa pelas funções das pessoas na empresa e, com base no acesso que precisa saber, você define quem realmente precisa ter acesso à funcionalidade específica.

2. Automatizar o aprovisionamento de usuários

As organizações devem procurar sinais de atividade de acesso inadequada. No entanto, de acordo com uma nova pesquisa sobre as práticas de gerenciamento de identidades e acesso de 600 organizações conduzidas pelo Ponemon Institute, 58% das empresas usam “principalmente monitoramento e testes manuais” para monitorar a conformidade com as políticas de acesso. De fato, usar processos manuais dificulta a detecção de um comportamento incomum.

Olhe para o software de provisionamento de usuários – definido pelo analista da Forrester Research, Jonathan Penn, como “a administração e auditoria de contas e privilégios de usuários” – para ajudar. O provisionamento de usuários tem seis componentes, diz ele: uma estrutura para gerenciar políticas de controle de acesso, geralmente por função; interconexões com sistemas de TI; fluxos de trabalho para orientar as assinaturas; administração delegada; gerenciamento de senhas; e auditoria. Ao automatizar esses processos, as organizações garantem que os funcionários tenham acesso apenas às informações necessárias para realizar seus trabalhos. Se o cargo deles mudar, o mesmo acontecerá com os níveis de acesso.

3. Encontre o caso de negócios

Especialistas dizem que a maioria dos programas de controle de acesso hoje é movida por questões de conformidade regulatória, mas as empresas também devem identificar um caso de negócio, para garantir que obtenham o máximo de seus investimentos. Por exemplo, automatizar o provisionamento de contas, o desprovisionamento e o gerenciamento de senhas significa que as empresas precisam de menos pessoas de TI para lidar com a administração de contas e também economizarão em custos de suporte técnico.

Os controles de acesso também podem aumentar a produtividade geral dos funcionários. “A conformidade exige que você restrinja o acesso às informações apenas às pessoas autorizadas a lê-las, mas ao fazer isso e restringi-las adequadamente, você obtém as informações certas para as pessoas certas mais rapidamente”, observa Sumner Blount, diretor de soluções marketing na CA.

4. Amarre os controles de acesso ao seu ambiente

Os controles de acesso precisos de que sua empresa precisa dependem de seu ambiente de TI e dos regulamentos que você enfrenta. “Uma senha de oito caracteres é sempre melhor do que uma senha de seis caracteres e pior que 10 caracteres? A autenticação forte de dois fatores – geralmente definida como a melhor prática – é necessária para fazer login no menu do refeitório da lanchonete?”. Em última análise, uma prática recomendada em seu ambiente de controle é o que funciona melhor para você.

Ao determinar quais controles de acesso devem ser aplicados, verifique seus regulamentos aplicáveis. É possível controlar o acesso a internet dos funcionários utilizando dispositivos de firewall.
Hoje existem diversas empresas que fornecem esse tipo de solução e uma das maiores e melhores é a Sophos

sophos firewall

5. Segregar o acesso usando funções

A SOX, entre outras regulamentações, exige segregação de funções: os desenvolvedores não devem ter acesso direto aos sistemas de produção que toquem dados financeiros corporativos, e alguém que pode aprovar uma transação não deve ter permissão para acessar o aplicativo de contas a pagar. A maioria das empresas aborda esse problema aprimorando continuamente os controles de acesso baseados em funções. Por exemplo, talvez a função “executivo de vendas” possa aprovar transações, mas nunca acessar o aplicativo de contas a pagar; ninguém pode acessar o ambiente do desenvolvedor, exceto os desenvolvedores e seus gerentes diretos; e somente os gerentes de aplicativos podem tocar nos sistemas de produção.

6. Aplique a Doutrina do Menos Acesso

Não importa o regulamento, os auditores querem cada vez mais ver a doutrina do “privilégio mínimo” aplicada. A saber, “se você não precisa trabalhar com isso, você não deve ter acesso a ele”. Este é um bom ponto de partida para definir os controles de acesso.

Outro bom ponto de partida: restringir imediatamente o acesso do pessoal de TI e especialmente dos funcionários que administram os controles de acesso, já que eles normalmente têm os níveis de acesso e conhecimento necessários para causar o máximo de danos caso se tornem usuários internos mal-intencionados. Além disso, muitas equipes de TI já adotam uma abordagem questionável sobre privacidade de dados. De acordo com uma pesquisa de quase 650 profissionais de TI realizada no ano passado, 10% admitem abusar regularmente de seus privilégios de segurança e acessar inadequadamente dados corporativos.

7. Canal Big Brother

Como a revelação de acesso inadequado por funcionários de TI sugere, os funcionários estão mais aptos a testar as restrições de acesso se ninguém estiver assistindo. Portanto, as empresas devem auditar todo o acesso e lembrar aos funcionários que seu acesso está sendo observado. Se as pessoas sabem que suas atividades estão sendo monitoradas, elas são menos propensas a fazer algo. Então coloquem notificações e alertas!

8. Encerrar contas órfãs com extrema urgência

Os direitos de acesso de seus ex-funcionários expiram quando eles notificam ou saem do prédio pela última vez? Dada a ameaça representada por ex-empregados descontentes, a suspensão imediata de seu acesso deve ser óbvia. No entanto, o processo de desprovisionamento em muitas empresas ainda é manual. A queixa mais comum que ouvimos é que temos mais de 10.000 funcionários e, ao longo de sua carreira, um funcionário pode ter acesso a 10 servidores e 20 aplicativos, e precisamos ir a cada servidor para removê-los. cada lista de controle de acesso.

Até que essas credenciais sejam retiradas da lista de acesso, o ex-funcionário ainda tem níveis de acesso privilegiado e, portanto, representa um risco de segurança. “Não é um caso de ter que criar uma porta dos fundos para ter acesso”, diz ela. Ouvimos falar do e-mail das pessoas trabalhando por um ano depois que elas foram encerradas. Em suma, as empresas em ambientes regulamentados devem implementar o provisionamento automatizado de usuários, que inclui, principalmente, o desprovisionamento automatizado.

9. Monitorar proativamente a atividade incomum

Embora um programa de segurança efetivo inclua senhas ou, possivelmente, autenticação de dois fatores, senhas e tokens também podem ser perdidos, roubados ou violados. É por isso que os especialistas recomendam que as empresas monitorem padrões de acesso para observar atividades incomuns, como um grande pico no acesso de um usuário a uma biblioteca eletrônica que contém informações confidenciais.

De acordo com o Ponemon Institute, apenas 14% das organizações hoje “são proativas e usam abordagens preventivas” para gerenciar o acesso. No entanto, padrões de acesso incomuns – com base na hora do dia, semana ou função do trabalho – podem ser um dos melhores sinais de que uma pessoa mal-intencionada está trabalhando ou um invasor externo conseguiu roubar as credenciais de acesso de alguém.

10. Controle de acesso remoto, além de aplicativos e bancos de dados

Aplique controles de acesso e auditoria a todos os acessos remotos também. De fato, à medida que o perímetro de uma organização se expande, ele também deve definir funções refinadas para consultores, parceiros de negócios e membros da cadeia de suprimentos, a fim de fornecer rapidamente acesso apropriado. Os níveis de acesso para aplicativos e bancos de dados precisam ser controlados, começando com qualquer coisa que toque um aplicativo da Web, pois eles são altamente vulneráveis ​​a ataques.

Deixe de ser desorganizado e aumente a produtividade da empresa!

Taggeado como: