(11) 5521-2021 [email protected]
Senha: uma aliada da Gestão de Identidades

Senha: uma aliada da Gestão de Identidades

Todos já devem ter ouvido a frase: “Tudo deve mudar para que tudo fique como está”. Foi dita pelo príncipe Falconeri, um personagem do romance o Leopardo.

Mas o que isto tem a ver com as senhas? Segundo as novas recomendações do NIST (https://www.nist.gov/), em especial sobre senhas, temos alguns pontos polêmicos:

  • Caracteres especiais não são mais um requisito;
  • A troca periódica, ou pelo menos em curtos períodos, não é mais um requisito;
  • Adicionalmente, o SMS não é mais recomendado, como canal “out of band”, tanto para troca de senhas quanto como multifator de autenticação.

Como as pessoas, em geral, estão vendo a questão de credenciais?  Vamos dar uma olhada em uma pesquisa recente feita na Inglaterra*:

  • A preocupação mais comum é que o dinheiro seja roubado, sendo que 42% acredita na probabilidade disso acontecer;
  • 89% usam a internet para fazer compras online, com 39% semanalmente;
  • Um em cada três depende de amigos e familiares para obter ajuda sobre segurança cibernética;
  • Os mais jovens são um pouco mais conscientes da privacidade e tendem a ter mais cuidado com o que compartilham on-line;
  • 61% dos usuários de internet verificam mídia social diariamente;
  • 70% sempre usam PINs e senhas para smartphones e tablets;
  • Menos da metade usa uma senha forte e separada para sua conta de e-mail principal.

E aqui no Brasil? A principal descoberta foi que para cerca de 60% dos brasileiros e ingleses o mais comum é escolher como senha uma combinação apenas com números. A senha mais escolhida nos dois países: “123456”, seguida não muito de perto pelas não menos criativas: “123456789” e “password”.

Após os códigos só com números, o padrão que mais aparece são nomes próprios “mary” ou “maria”, dependendo o lado do oceanos que você esteja.

Agora veja as senhas vinculadas aos esportes. Na Inglaterra entre as dez mais estão “liverpol”, “chelsea”, “newcastle” e “tottenham”. Já no Brasil, estão: “Flamengo”, “timão”, “galo”, “gremio”, “colorado”. Ainda no Brasil, tirando os nomes, as palavras mais comuns são: sucesso, Brasil, felicidade, musica, estrela, etc.

Agora sim, depois destes dados, o que podemos dizer sobre as novas recomendações do NIST? Que deve- se levar em conta o contexto das mudanças, já que em geral se trata de um ambiente onde já existem controles compensatórios à boa e velha senha, como por exemplo: o duplo fator e não menos importante: a diferenciação entre os usuários.

Mas o que fazer para proteger a população, levando em conta os dois pontos polêmicos, a senha, que na verdade não é nem tão boa, e nem tão velha, e o conceito que somos todos iguais?

É necessário existir diferenças entre os usuários, e entre as diferenças, está a relação com credenciais que permitem acesso às informações valiosas ou críticas.

Algumas pessoas possuem credencias que, caso comprometidas, podem causar prejuízos graves, não apenas a própria pessoa, mas à comunidade. Outras nem tanto. Não é preciso muita imaginação para pensar em exemplos, do extremo de ataque Cyber terrorista, que esperamos sejam raras, até a fraudes mais simples, e mais comuns, como de um e-mail contendo um boleto falso.

E sobre a “flexibilização” dos requisitos?  Como já dissemos, em um ambiente onde já existam controles compensatórios, como um duplo fator, os requisitos se tornam redundantes.

A mensagem principal de tudo o que vimos acima é que as pessoas no mundo real estão bem distantes da discussão entre os especialistas. As pessoas até se preocupam, mas no dia a dia precisam de artefatos que as ajudem a se manterem seguras.

O que fazer então?

Reconheça as diferenças e decida quais controles são aplicáveis a cada caso. Para a maioria, uma senha e um duplo fator como o Google Autenticator, já é satisfatório. Para outras, como por exemplo: gestores de empresas, cujas credencias permitem acessos ou ações críticas, podem demandar controles adicionais.

Parece óbvio, mas é sempre bom lembrar, facilitar a vida de seu usuário, com um portal amigável e que se adapte ao uso e as necessidades de troca ou reset de senha, faz a diferença na segurança da empresa e na agilidade dos setores.

*https://s3.eu-west-1.amazonaws.com/ncsc-content/files/UK%20Cyber%20Survey%20-%20analysis.pdf

 

 

5 maneiras de medir o ROI na Gestão de Identidades e Acessos

5 maneiras de medir o ROI na Gestão de Identidades e Acessos

O provisionamento de contas de usuários é um processo de negócios para criar e gerenciar o acesso a recursos em um sistema de tecnologia da informação (TI). Para ser eficaz, deve garantir que a criação de contas e o acesso a softwares e dados sejam consistentes e simples de administrar.

Nos complexos ambientes de TI de hoje, o provisionamento de usuários tornou-se um problema crítico para empresas que buscam reduzir os encargos administrativos do gerenciamento de contas, reduzir riscos e  custos.

O movimento de empresa digital, migrando para a nuvem agrega novos sistemas e funcionalidades. Mas como manter tudo isto funcionando? Se por um lado temos um grande alívio na parte de administração de infraestrutura, por outro aumenta a complexidade na gestão de usuários e administração de senhas.

Não é à toa que empresas digitais competitivas adotam desce o início soluções de gestão de identidades, qual o motivo? Redução de custo e risco!

Empresas que nascem digitais, como o Agibank por exemplo, já aproveitam logo de inícios estes benefícios, e se tornam, muito mais competitiva.

Então, chega o momento em que você percebe que é hora de investir em tecnologia de aprovisionamento de usuários aprimorada como parte de sua estratégia de Gerenciamento de Identidades (IDM), mas como você mede o retorno sobre o investimento (ROI)?

Aqui estão cinco (5) maneiras de medir o ROI e construir um business case:

  1. Determine os custos associados às atividades atuais de gerenciamento e provisionamento de usuários e estime a economia com base em uma nova abordagem automatizada. Por exemplo:
  • Quantos chamados mensais de criação e revogação de usuários?
  • Quantos chamados para reset de senha?
  • Quanto tempo o usuário médio espera até que os chamados acima sejam executados?

 

  1. Veja os custos associados ao treinamento de equipes de administração técnica. Já se foi o tempo em que a empresa rodava com alguns servidores Unix e Windows. Atualmente qualquer projeto piloto de migração para nuvem exige conhecimento na administração em AWS, AZURE, Office365 entre outros. Uma tecnologia de provisionamento de usuários automatizada e eficiente permite a administração rápida de recursos não técnicos, permitindo que os especialistas no assunto se concentrem nas prioridades como, por exemplo, a segurança e a disponibilidade.
  1. Revise os custos associados aos relatórios e auditorias de conformidade. Ferramentas automatizadas reduzem os esforços de relatórios e agilizam as auditorias. É comum  encontrar empresas onde a equipe é altamente competente e comprometida, mas não possui fermentas para gerar e armazenar as evidências deste bom trabalho. Ou seja, o custo não é só financeiro, mas também na imagem dos profissionais. Como você quer ser lembrado?

 

  1. Calcule a probabilidade de violações de segurança e estime o risco potencial do dano financeiro. É importante observar que o custo dos danos causados por um incidente normalmente é muito maior do que o investimento em proteção. E não estou nem mencionando a nova legislação de proteção de dado, a LGPD. Quando a legislação entrar em vigor, uma simples multa pode alcançar milhões de reais. E sim, a legislação vai entrar em vigor e vamos novamente assistir: Algumas empresas se preparam, outras não. Entre as que não se preparam algumas tem muita sorte e nenhum incidente grave acontece. E a sua empresa coloca “sorte” como um fator de proteção contra-ataques e fraudes?

 

  1. Calcule a economia de produtividade dos funcionários caso fosse possível conceder os direitos automaticamente, se fosse possível alterar a senha via Whatsapp, ou via um botão no desktop do Windows. Se as equipes de TI pudessem se dedicar a melhoria dos processos ao invés de perder horas  organizando direitos de acesso. Quanto economizaria para a empresa, se os gestores pudessem revisar esses acessos de forma ágil,  sem as planilhas e relatórios herméticos.

 

E, por fim, o benefício de facilitar a vida dos usuários, sejam eles gestores ou equipe de TI. A melhoria das condições de trabalho é um dos pilares da transformação digital, por uma simples razão, reduz risco e custo!

Quer saber como implementar melhorias na sua empresa? Fale com um Especialista E-TRUST.

 

Estratégia de implantação na Gestão de Identidades e Acessos

Estratégia de implantação na Gestão de Identidades e Acessos

Imagine uma organização com um sistema de gestão de identidade implantado e com fluxos, chamados de obrigatórios, em pleno funcionamento.

Após a implantação a empresa deu início à revisão dos perfis, tendo como resultado uma tabela, listando aos novos perfis e os direitos que os compões. Se foi seguido o modelo híbrido, que é o recomendado, temos também os usuários que, segundo a revisão, estão habilitados a receber estes direitos.

Não nos apresentaremos como portadores da solução pronta, pois no caso de tratamento de perfis de direitos, seria impossível e falso. A grande certeza é que a implantação das melhorias deve ser cuidadosamente planejada e homologada. Poucos incidentes causam mais dano à credibilidade ao GIA que a confusão nos direitos e o consequente impacto nos atendimentos a clientes.

Assim, vamos listar as recomendações dos itens que devem ser levados em conta, no momento do planejamento e implantação das melhorias.

Piora antes de melhorar

Ou seja, no primeiro momento, a recomendação é conceder os novos perfis, para os usuários que já possuem os perfis em uso. Esta ação vai causar um aumento no número de perfis atribuído aos usuários, e se não for corretamente registrada e autorizada, pode causar transtornos com a auditoria. Mas como um dos critérios é a garantia de que os serviços prestados aos clientes não serão afetados, este cuidado é necessário. Com esta ação podemos garantir que os usuários não perderão direitos, por uma eventual falha no mapeamento de perfis.

Ao final da ação, os usuários terão recebido os novos perfis, mantendo os anteriores, a diferença deve ser registrada em relatórios de acompanhamento.

Revogação dos excedentes

Neste ponto já é possível iniciar a revogação dos perfis originais, já provavelmente chamados de antigos, ou velhos. Lembre-se que precisamos evitar uma parada nos serviços. Um projeto de melhoria de perfis, seja criação ou reorganização, não deve, pelo menos em tese, ocasionar uma retirada de direitos dos usuários. A retirada de direitos deve ser levada a cabo com a revogação de perfis, ordenada pelo responsável pelo perfil.

Novamente a tecnologia deve apoiar o processo, gerando relatórios indicando se ao revogar um perfil, os usuários perderão algum direito. Caso esta situação seja identificada, é sinal de alerta. Uma pausa na implantação, seguida de uma revisão dos direitos do perfil original e dos novos. A equipe de implantação deve avaliar se é necessário que seja feita uma nova homologação.

Após esta ação os usuários estarão sob a nova estrutura de perfis, e se tudo correu como planejado sem parada de serviços.

Revisão

Pode ter soado estranho, no capítulo anterior quando mencionamos que a primeira etapa do projeto não deve retirar direitos dos usuários. Mas é isto mesmo. O projeto reorganizou os perfis, e por ter seguido a abordagem híbrida, um direito que o gestor de alguma forma retirou dos perfis padrão RBAC, é transferido para outro perfil. Este perfil, seja granular ou agrupando outros direitos, é vinculado ao usuário, justamente para que ele não perca direitos.

Campanha de revisão de direitos

Uma campanha de revisão de direitos é normalmente a melhor forma de tratar a situação. Em uma campanha, os gestores serão convidados, a revisar se as pessoas devem ou não continuar com os perfis que atualmente estão atribuídos a elas.

A campanha deve ser precedida de divulgação e treinamento, para garantir que os responsáveis pela revisão tenham a clareza dos objetivos da tarefa.

Revisão por alteração cadastral

Um complemento à campanha é a revisão de direitos com base em alteração dos dados cadastrais. Ou seja, caso os funcionários troquem de cargo, é disparada uma tarefa de revisão, para que o responsável pelo perfil decida por sua manutenção ou revogação. Esta tarefa é mais uma das atividades do processo de melhoria continuada.

Ainda tem dúvidas sobre a implementação da GIA? Converse com um especialista E-TRUST.

Pontos de Atenção na Gestão de Identidade e Acessos

Pontos de Atenção na Gestão de Identidade e Acessos

Na implementação de um projeto de Gestão de Identidade e Acessos existem algumas dificuldades práticas para a execução das atividades sugeridas pela metodologia, em especial se a empresa busca um modelo rigidamente acoplado ao RBAC. Nesta situação as pessoas recebem um perfil de negócio, vinculado ao seu papel na organização.

O alto número de perfis necessários para modelar direitos em uma empresa grande e complexa, combinado com a necessidade de atualizar frequentemente os componentes para refletir os requisitos de negócios em constante mudança, pode tornar a gestão de perfis de negócio em escala corporativa cara e demorada. Como resultado, muitos projetos que cometeram o erro de aceitar um escopo muito abrangente ou ambicioso, falham ou só finalizam após custosas e desgastantes revisões de orçamento e prazo.

Diversidade de usuários

Na prática, grandes organizações podem ter muitos usuários com necessidades de acesso exclusivas. Isso dificulta a construção de um modelo que cubra todos, já que cada usuário requer acessos específicos e únicos. Requisitos únicos de acesso do usuário podem ser devidos a funcionários ou contratados cujas responsabilidades evoluíram ao longo do tempo ou simplesmente cuja função é única na organização.

Para evitar esses problemas, é importante concentrar os esforços na criação e uso de perfis de negócio, onde:

  • o número de usuários é grande;
  • as necessidades de acesso do usuário são idênticas dentro do grupo;
  • as necessidades de acesso do usuário são estáticas ao longo do tempo;
  • na inclusão do usuário no grupo o efeito nos demais é previsível por meio do tratamento padrão automatizado pelo GIA.

Mudança de responsabilidades

Outro problema com uma abordagem puramente baseada em perfis de negócio é que tanto as definições de papéis quanto a classificação do usuário precisam evoluir, às vezes rapidamente. Eventos de negócios de rotina, como a alteração das responsabilidades de um único funcionário ou departamento, exigem ajustes no modelo. A frequência e o tamanho dessas mudanças podem exigir uma equipe permanente de administradores de funções.

Uma abordagem frequentemente proposta para esse problema é delegar o gerenciamento dos perfis para as áreas de negócio. Na prática, os usuários que não são de TI não têm nem as habilidades nem a inclinação para gastar tempo mantendo um modelo técnico de direitos de usuário. Como resultado, nas organizações em que o modelo de sistemas e estruturas de funções seja mutável, devem ser previstas equipes técnicas de Gestão de Identidades dedicadas à manutenção dos perfis de negócio – RBAC.

Reorganização de negócios

Eventos de negócios menos frequentes, porém mais abrangentes, como fusões e aquisiçõe, prejudicam os modelos. Esses eventos podem levar as necessidades de acesso de muitos usuários a mudar de maneira significativa e podem exigir que uma equipe muito maior, durante a adaptação à mudança.

TCO versus ROI

O custo total de propriedade (TCO) de um sistema inclui o tempo e o esforço necessários para implantá-lo inicialmente e  sustentá-lo ao longo do tempo. O retorno do investimento (ROI) de um sistema é o tempo e o esforço evitados através da automação do processo.

Onde há poucos papéis e esses atendem às necessidades de muitos usuários, o ROI pode ser muito maior do que o TCO – o RBAC pode ser um bom investimento. Por outro lado, para modelar as necessidades de acesso de poucos usuários (ou um usuário) por função, o TCO pode ser maior do que o ROI.

Quer saber mais sobre o assunto? Cadastra-se para receber em primeira mão nossos artigos e eventos:

Perfil e agrupamentos de direitos na Gestão de Identidades e Acessos – Parte 2

Perfil e agrupamentos de direitos na Gestão de Identidades e Acessos – Parte 2

Vamos relembrar? Antes de iniciar um projeto de revisão pontual ou mesmo continuada dos perfis de direitos, é necessário conhecer os principais motivadores:

  • Gerar novos perfis com menor granularidade, ocultando os detalhes técnicos das transações e atributos, sob uma camada contendo uma descrição e um título mais orientado aos processos do negócio;
  • Agrupar os direitos em perfis acoplados as funções ou cargos formalmente registrados na fonte de pessoas seja RH ou base de terceiros;
  • A revisão tem por objetivo reorganizar os perfis para refletir alterações na estrutura organizacional;
  • Diminuir o número de perfis, através de redução de duplicidade de direitos, reclassificação dos gestores e regras de negócios.

 Coleta de informações sobre o sistema

A coleta de informações é a primeira atividade prática no projeto, e assim deve ser. Para auxiliar na coleta, confira a lista de questões que quando corretamente respondidas, serão muito úteis na construção ou revisão dos perfis:

  • O sistema é modularizado?
  • O acesso ao módulo é um atributo do perfil de acesso?
  • A autenticação é geral para todos os módulos, ou o usuário precisa se autenticar novamente para ter acesso a outro módulo?
  • Os direitos podem ser agrupados por área ou outro elemento em comum?
  • Os direitos atuais são agrupados com base no critério: departamento ou área?
  • Os direitos atuais são agrupados com base no critério: função ou atividade?
  • Os direitos atuais são agrupados com base no critério: participação em processo ou atendimento?
  • Os direitos atuais são concedidos de forma agrupada, como perfil de direitos ou outra denominação similar?
  • Os direitos atuais, quando agrupados, podem ser diretamente vinculados a cargos ou funções definidas na base de RH?
  • O perfil de direitos do sistema é composto por transações ou similar?
  • O perfil de direitos do sistema é composto por atributos ou similar?
  • O perfil de direitos do sistema é composto por operações, vinculados às transações ou similar?
  • Os perfis de direitos possuem um responsável claramente definido?
  • Os perfis de direitos possuem uma descrição, em linguagem não técnica?
  • Possui fluxo de aprovação e revisão?
  • Existe um processo de aprovação de perfis de direitos?
  • Possui workflow via ITSM, solicitação e concepção de acesso e parametrização de perfil?
  • Como é feito o registro da aprovação?
  • Existe um processo de revisão de direito, a partir de alteração de dados cadastrais?
  • Existe um processo de revisão periódica? Como é feito o registro da revisão?

Critérios e Estratégias de formalização

Com base nas informações coletadas é possível dar andamento a estratégias de revisão. A definição de perfis, independente da abordagem a ser utilizada, deve levar em conta critérios previamente estabelecidos. É recomendado que os critérios sejam validados com o patrocinador do projeto, com os gestores e com os responsáveis pela segurança e governança.

A seguir listamos alguns critérios padrões, que uma vez validados podem ser utilizados como base para a tomada da decisão.

Rastreabilidade

Quanto maior a capacidade o sistema ou processo em prover rastreabilidade, maior será a segurança na concessão de direitos de acesso. Ao planejar a criação de perfis e direitos de acesso dever ser levando em conta a capacidade do sistema de prover rastreabilidade das ações, mesmo às autorizadas.

Saiba a importância de definir perfis e os agrupamentos das concessões de cada acesso dentro da empresa.

Nível de automação do processo

A automatização de processos, utilizando ferramentas de Workflow e Gestão de Identidades, não é uma garantia absoluta contra erros ou fraudes, mas a experiência mostra que, quando corretamente implantadas, o risco é consideravelmente mitigado. Um sistema automatizado permite que controles adicionais sejam implantados, como Matriz de Riscos, revisão disparada por alteração de cargo, monitoração de não execução de tarefas entre outros controles, que não são viáveis de implantar manualmente.

Direitos de leitura a informação

Durante a análise deve ser levantado o questionamento com relação ao tipo de informação que pode ser extraída. Tipicamente informações que são de acesso franqueado às pessoas do departamento ou área, necessárias à execução das atividades diárias, são candidatos a compor perfis padrão. Informações cuja divulgação ampla possa causar perdas ou despesas não programadas devem ser utilizadas para compor perfis mais restritos.

Direito de criação de informação

Como criação entendemos inserir no sistema informações novas ou adicionais, vinculadas a pessoas ou entidades. Informações que possam causar perdas ou despesas não programadas devem ser tratadas de acordo, durante o seu ciclo de vida na organização.  Tipicamente informações financeiras e informações pessoais privadas, são mais críticas e merecem tratamento diferenciado.

Direito de alteração de informações

Alterar as informações, da mesma forma que a criação, deve ser avaliada com base no tipo de informação que será tratada. Novamente informações financeiras e pessoais, devem ser avaliadas com maior cuidado.

Continuidade das atividades da organização

O acesso das pessoas às informações é a base para o atendimento de clientes e prestação de serviços. Desta forma, um dos itens mais importantes é a garantia de que, durante o processo de criação ou revisão de perfis, não ocorram paradas de serviço ou dificuldades de acesso.

Abordagem departamental

Esta abordagem busca definir perfis com base em um vinculo com o departamento ou área de atuação.

Os passos recomendados para seguir com esta abordagem são:

  • Listar os perfis e ordenar por quantidade de programas por perfil;
  • Listar os perfis e ordenar por quantidade de pessoas com o perfil concedido;
  • Listar os programas, ou transações que compõe os perfis;
  • Avaliar os perfis de direitos concedidos a um grande número de pessoas e verificar se os mesmos podem ser transformados em padrão:
    • Deve ser incluídos direitos para criar um perfil padrão;
    • Deve ser retirado algum direito para criar um perfil padrão.
  • Validar com os gestores os programas que compõe os perfis concedidos, identificar a criticidade e restrição dos programas:
    • Marcar os programas como P quando: O programa é um candidato a padrão, ou seja, passível de ser concedido a todas as pessoas da área;
    • Marcar os programas como R quando: O programa deve ser de acesso restrito, mesmo dentro da área;
    • Marcar o programa como S quando: O programa consta da lista de programas segregados;
    • Marcar o programa com um sinal identificador “*” quando: O programa consta da lista do gestor, mas este não reconhece a responsabilidade sobre o programa.
  • Como base nas análises descritas acima, e nos critérios de seleção, preparar perfis sugestão, como base nas análises e atividades anteriores:
    • Um ou mais perfis candidatos a padrão;
    • Um ou mais perfis com programas/transações Restritas
    • Um ou mais perfis com programas Segregados (respeitando a segregação)
  • Validar o gestor da área, e definir as ações de alteração;
  • Validar com o gestor da área os responsáveis por conceder e revisar os perfis;
  • Validar com segurança e compliance se é necessária aprovação adicional, por exemplo, por um gestor de segregações.

Abordagem por processo

Esta abordagem busca definir perfis com base em necessidades de atendimento a um processo já definido.  Um processo típico define as ações para atender as necessidades Os passos recomendados para seguir com esta abordagem são:

  • Listar os perfis e ordenar por quantidade de programas por perfil e pessoas com o perfil concedido;
  • Avaliar os perfis de direitos concedidos a um grande número de pessoas e verificar se os mesmos podem ser transformados em padrão.
    • Deve ser incluídos direitos para criar um perfil padrão;
    • Deve ser retirado algum direito para criar um perfil padrão.
  • Validar o gestor do processo, e definir as ações de alteração;
  • Listar os programas, que compõe o Perfil e identificar as éreas a que os direitos estão vinculados.
  • Validar com o gestor da área, se é aceitável delegar o poder de aprovação, nomeando os responsáveis por conceder e revisar os perfis;
  • Validar com segurança e compliance se é necessária aprovação adicional, por exemplo, por um gestor de segregações.
  • Verificar com compliance, qual o nível de formalização é necessário, para registrar a decisão de delegar as aprovações e revisões.

Ferramentas e padrões

Para as atividades descritas acima, é muito útil o apoio de tecnologia como planilha e ferramenta de base de dados.  As ferramentas permitem importar e exportar as informações, bem como simular situações e construir estruturas que alertem em caso de conflitos.

Agora que você já entendeu todo o processo do Perfil de agrupamentos de direitos na GIA, que tal implementar na sua empresa?

Converse com um especialista E-TRUST e descubra a solução ideal.