(11) 5521-2021 [email protected]
A automatização de acessos na integração de novos colaboradores e terceiros

A automatização de acessos na integração de novos colaboradores e terceiros

A gestão de pessoas é sempre um diferencial, em tempos de dificuldade, para manter os custos sob controle e, em tempos de retomada, para obter rapidamente os resultados.

Mas você sabe como a integração de novos funcionários e terceiros nos diferentes sistemas da empresa pode agilizar o negócio e garantir a segurança dos dados sensíveis da empresa? Então esse texto é para você!

No contexto de mudanças de mercado, a integração de novos funcionários ou terceiros é um dos processos que pode se beneficiar da automatização da gestão de identidades. Uma implantação corretamente planejada e executada garante que as novas pessoas, ao se juntar ao time, recebam os direitos de acesso correspondente às tarefas que irão executar.

Parece bom demais para ser verdade? Pois saiba que é possível montar um processo, suportado por ferramentas de IAM, que entregue esta experiência positiva. Mas quais as principais atividades que devem estar no radar do gerente de projeto, que busque agregar esta pequena grande vitória?

A primeira delas é o desenho do processo de integração. Entender de onde surgem as pessoas, podendo vir de uma única base de RH, mas é bastante comum encontrarmos casos onde a base é distribuída. Temos também os terceiros, que as boas práticas recomendam que sejam segredados dos colaboradores, se possível com controles diferentes e específicos. Inicialmente, é preciso fazer um mapeamento da situação atual, analisando a documentação existente e entrevistando as equipes de TI e RH. Este entendimento da integração é fundamental para que seja possível identificar os eventuais gargalos e pontos de melhoria nos processos.

Uma vez identificadas as origens das pessoas e entendido o processo, podemos trabalhar na preparação dos perfis padrão ou “cesta básica”.

Estes direitos, agrupados em perfis, são aqueles identificados como necessários para que a pessoa inicie as suas atividades. Normalmente uma conta na rede, um endereço de correio eletrônico e acesso a um portal interno. Em alguns casos é possível conceder acessos mais específicos, desde que estes possam ser relacionados a informações da pessoa como: cargo, departamento etc.

Esta concessão automática de alguns direitos básicos é complementada pelo acesso a um portal que permita a verificação dos direitos atuais e solicitação de direitos adicionais, e se façam necessários no decorrer do trabalho.

As vantagens são a grande redução de custo e aborrecimento e o aumento da qualidade da experiência do usuário ao utilizar o portal de autosserviço.

A melhoria da segurança e compliance são os benefícios adicionais, já que evidências para a auditoria são coletadas e mantidas automaticamente, sem necessidade de tarefas manuais.

5 questões sobre gestão de segurança da informação e governança

5 questões sobre gestão de segurança da informação e governança

Em tempos de normas e leis que tratam de segurança da informação e governança nos processos, quais as perguntas essenciais?

Vamos lá, criando um cenário onde você é chamado para falar sobre segurança para um grupo de gestores da empresa, quais as perguntas você deve estar preparado para responder?

Questão 1 – O que é risco?

Esteja preparado para uma breve definição dos conceitos de risco, ameaça e vulnerabilidade. Se possível, com um exemplo prático de perda ou despesa não programada.

Questão 2- Qual o padrão ou “framework” seguimos?

Falar em boas práticas pode ser muito genérico, se o objetivo é efetivamente identificar e proteger os ativos de informação, escolha um modelo. Use o modelo para coletar os controles que façam sentido para a sua organização. Podem ser usados mais de um modelo ou norma. Entre as fontes mais conhecidas temos a ISO27001, os documentos do NIST e é claro o CoBIT.

Questão 3 – Como estamos? E como ficamos se o pior acontecer?

Apresente a análise de risco mais recente. Se não tem disponível uma análise detalhada, faça uma de alto nível, avaliando as possíveis perdas em caso de comprometimento da integridade, confidencialidade ou disponibilidade. Mesmo que não apresente detalhes técnicos, é imprescindível que a sua organização faça uma análise de impacto e de risco.

Questão 4 – O que estamos fazendo para nos proteger?

Já que falamos dos principais riscos, é uma boa ideia listar os controles que estão disponíveis para minimizar o impacto de um incidente. E alguns indicadores que representem se possível, de forma gráfica, a efetividade dos controles. Indicadores como: percentual de colaboradores treinados em segurança da informação, percentual de servidores com atualizações de segurança aplicadas, percentual de equipamentos com antivírius, entre outros.

Questão 5- O que precisa ser feito?

As empresas normalmente investem um certo percentual de seu faturamento em TI e segurança da informação. A forma de utilizar os recursos de maneira eficaz é o que normalmente faz a diferença.

Não existe medida de segurança perfeita e, incidentes, sempre estarão presentes, mas um bom plano indicando qual o retorno, se possível apoiado com números, é uma forma de nivelar as expectativas e buscar o consenso.

 

 

Governança em tempos de LGPD – parte II

Governança em tempos de LGPD – parte II

Dando continuidade ao artigo anterior, vamos apresentar de forma bem prática e direta, não só o que fazer, mas o que fazer primeiro.

Vamos colocando para rodar um componente por vez, e logo ali, teremos um Sistema de Gestão de Segurança, ajustado para a necessidade de atender à LGPD.

Para dar uma base prática, um exemplo da solução da E-TRUST, projetada para ser o suporte tecnológico para o atendimento as normas e legislações, como SOX e LGPD.

Escopo

O princípio de tudo é definir qual o escopo. Assim listamos os principais ativos e informações que compõe o ambiente utilizado pela organização para executar as atividades.

Para registrar as informações dos ativos, bem como seus responsáveis, utilizamos o módulo de Ativos do Sistema HORACIUS LGPD. Com esta primeira ação, já é possível gerar relatórios listando os ativos de informação, os responsáveis, níveis de risco entre outras informações importantes.

Análise dos Riscos e Apresentação dos Resultados

Existem várias metodologias de Análise de risco e Impacto, com diferentes níveis de profundidade. A melhor de todas é aquela que você executa, documenta e apresenta para os donos do ativo.

Para apoiar a execução da análise, utilizamos o módulo de Análise de Risco do HORACIUS LGPD, que já vem com uma listra cadastrada com vulnerabilidades e ameaças, originadas de normas e boas práticas.

Feita a análise e registrados dos resultados no sistema, utilizamos o módulo de Mapa de Risco para apresentar de forma gráfica e com uma linguagem de negócio, ou seja, o mapa apresenta os riscos, o impacto, a probabilidade e risco residual.

Ao final deste processo, o responsável pelo sistema ou informação, é convidado a aprovar o mapa de risco.

Documentação e Divulgação das Politicas, Procedimentos e Atividades

Feita a análise, e aprovado o mapa com o responsável, é chegado o momento de gerar os documentos que descrevem como será efetivamente a implantação e execução dos controles.

Desta vez utilizamos o módulo de Documentos do HORACIUS LGPD, publicando os documentos e configurando um fluxo de aprovação e revisão.

O mínimo necessário são os documentos de política e alguns procedimentos descrevendo os controles e definindo os responsáveis. Para cada um destes documentos, utilizamos o módulo de Atividades do HORACIUS LGPD, configurando os executores e indicando se deve ser gerado um incidente de segurança, em caso de não execução.

Gestão de Incidentes e Melhoria Constante

Veja como já evoluímos, já identificamos os riscos, apresentamos para os responsáveis, coletamos as ações de mitigação e distribuímos as tarefas.

Entra agora o processo de gestão propriamente dito, que é monitorar os incidentes de segurança e preencher os indicadores que usaremos para medir os resultados de nossas ações. De acordo com a nossa performance, que podemos acompanhar através dos indicadores, e levando em conta os incidentes de segurança, podemos planejar e ajustar os controles.

Não esgotamos o assunto, e nem este é o objetivo destes artigos, mas acreditamos firmemente que as ações práticas, suportadas pelo sistema HORACIUS LGPD, é um excelente ponto de partida.

Gostou? Quer saber mais? Então assine nossa newsletter e recebe em primeira mão conteúdos e eventos da E-TRUST:

Governança em tempos de LGPD – parte I

Governança em tempos de LGPD – parte I

Hoje se comenta muito e houve um aumento na preocupação do mercado por temas como análise do risco e impacto, comprometimento da alta direção e controles eficientes e eficazes.

Mas o que fazer para minimizar os riscos em tempos da nova lei de proteção de dados (LGPD)?

Falaremos sobre isso no artigo que preparamos para você!

O que está causando este movimento de preocupação com a segurança dos dados sensíveis da empresa?

São vários fatores. Com relação a maior atenção à Governança, podemos citar a Globalização, onde ser competitivo envolve não sofrer ataques e perdas devido a incidentes de segurança. A legislação, como a Sarbanes Oxley, que afeta empresa listadas na bolsa Norte Americana, e mais recentemente a GDPR na europeia.

E o como fica o Brasil? Como fazer para gerenciar estes requisitos todos e a nova LGPD?

O primeiro ponto é que a boa segurança leva à boa governança. E boa segurança é a capacidade de gerenciar o risco, administrar os recursos priorizando o tratamento das maiores ameaças. É isto que os gestores fazem, alguns de forma instintiva, usando o seu bom senso, na falta de uma política de segurança formalizada. A boa segurança acrescenta método e formalização ao bom senso, criando a Gestão de Segurança.

Assim, as empresas brasileiras que já possuem um Sistema de Gestão de Segurança ou SGSI para atender ISO27001 ou SOX, levam grande vantagem no atendimento à LGPD. Para estas o atendimento a nova lei envolve, na maioria dos casos, a inclusão dos requisitos no sistema de gestão. Claro que é preciso definir os indicadores, evidências e responsabilidades, mas o principal que é a cultura de tratar a segurança como um processo, já existe.

Por outro lado, as empresas que nunca se preocuparam com um processo de gestão de risco e segurança estão diante de uma nova realidade. A gestão do risco no trato com dados não é mais uma opção, mas um requisito de negócio.

A boa notícia, é que esta mudança veio para melhorar, a relação das empresas com os clientes será mais transparente e segura. Menor incerteza é bom para o ambiente dos negócios, e se tratando de algo sensível, como dados pessoais, todos saem ganhando.

Mas como anuncia o título, esta é a parte 1 do artigo. Na parte 2 veremos a lista de ações para as empresas que buscam se preparar para a LGPD.

Não será possível escapar de estruturar um sistema de gestão, ou seja, vai ser preciso algum investimento de tempo e dinheiro, mas o resultado vai valer a pena. E de quebra, vai evitar multas e minimizar o risco de custosas ações na justiça.

E para adiantar, quais são os processos recomendados?  O que será detalhado na parte 2 do artigo?

  • Definir e manter um escopo de ativos e informações
  • Definir os requisitos e indicadores no SGSI
  • Executar uma Análise de Risco e impacto
  • Escolher as ações e controles
  • Apresentação dos resultados
Clique aqui e leia a parte II deste artigo!

Para saber mais sobre esse e outros temas de Segurança da Informação, além de eventos exclusivos, assine nossa newsletter:

 

Senha: uma aliada da Gestão de Identidades

Senha: uma aliada da Gestão de Identidades

Todos já devem ter ouvido a frase: “Tudo deve mudar para que tudo fique como está”. Foi dita pelo príncipe Falconeri, um personagem do romance o Leopardo.

Mas o que isto tem a ver com as senhas? Segundo as novas recomendações do NIST (https://www.nist.gov/), em especial sobre senhas, temos alguns pontos polêmicos:

  • Caracteres especiais não são mais um requisito;
  • A troca periódica, ou pelo menos em curtos períodos, não é mais um requisito;
  • Adicionalmente, o SMS não é mais recomendado, como canal “out of band”, tanto para troca de senhas quanto como multifator de autenticação.

Como as pessoas, em geral, estão vendo a questão de credenciais?  Vamos dar uma olhada em uma pesquisa recente feita na Inglaterra*:

  • A preocupação mais comum é que o dinheiro seja roubado, sendo que 42% acredita na probabilidade disso acontecer;
  • 89% usam a internet para fazer compras online, com 39% semanalmente;
  • Um em cada três depende de amigos e familiares para obter ajuda sobre segurança cibernética;
  • Os mais jovens são um pouco mais conscientes da privacidade e tendem a ter mais cuidado com o que compartilham on-line;
  • 61% dos usuários de internet verificam mídia social diariamente;
  • 70% sempre usam PINs e senhas para smartphones e tablets;
  • Menos da metade usa uma senha forte e separada para sua conta de e-mail principal.

E aqui no Brasil? A principal descoberta foi que para cerca de 60% dos brasileiros e ingleses o mais comum é escolher como senha uma combinação apenas com números. A senha mais escolhida nos dois países: “123456”, seguida não muito de perto pelas não menos criativas: “123456789” e “password”.

Após os códigos só com números, o padrão que mais aparece são nomes próprios “mary” ou “maria”, dependendo o lado do oceanos que você esteja.

Agora veja as senhas vinculadas aos esportes. Na Inglaterra entre as dez mais estão “liverpol”, “chelsea”, “newcastle” e “tottenham”. Já no Brasil, estão: “Flamengo”, “timão”, “galo”, “gremio”, “colorado”. Ainda no Brasil, tirando os nomes, as palavras mais comuns são: sucesso, Brasil, felicidade, musica, estrela, etc.

Agora sim, depois destes dados, o que podemos dizer sobre as novas recomendações do NIST? Que deve- se levar em conta o contexto das mudanças, já que em geral se trata de um ambiente onde já existem controles compensatórios à boa e velha senha, como por exemplo: o duplo fator e não menos importante: a diferenciação entre os usuários.

Mas o que fazer para proteger a população, levando em conta os dois pontos polêmicos, a senha, que na verdade não é nem tão boa, e nem tão velha, e o conceito que somos todos iguais?

É necessário existir diferenças entre os usuários, e entre as diferenças, está a relação com credenciais que permitem acesso às informações valiosas ou críticas.

Algumas pessoas possuem credencias que, caso comprometidas, podem causar prejuízos graves, não apenas a própria pessoa, mas à comunidade. Outras nem tanto. Não é preciso muita imaginação para pensar em exemplos, do extremo de ataque Cyber terrorista, que esperamos sejam raras, até a fraudes mais simples, e mais comuns, como de um e-mail contendo um boleto falso.

E sobre a “flexibilização” dos requisitos?  Como já dissemos, em um ambiente onde já existam controles compensatórios, como um duplo fator, os requisitos se tornam redundantes.

A mensagem principal de tudo o que vimos acima é que as pessoas no mundo real estão bem distantes da discussão entre os especialistas. As pessoas até se preocupam, mas no dia a dia precisam de artefatos que as ajudem a se manterem seguras.

O que fazer então?

Reconheça as diferenças e decida quais controles são aplicáveis a cada caso. Para a maioria, uma senha e um duplo fator como o Google Autenticator, já é satisfatório. Para outras, como por exemplo: gestores de empresas, cujas credencias permitem acessos ou ações críticas, podem demandar controles adicionais.

Parece óbvio, mas é sempre bom lembrar, facilitar a vida de seu usuário, com um portal amigável e que se adapte ao uso e as necessidades de troca ou reset de senha, faz a diferença na segurança da empresa e na agilidade dos setores.

*https://s3.eu-west-1.amazonaws.com/ncsc-content/files/UK%20Cyber%20Survey%20-%20analysis.pdf