Este artigo apresenta um roteiro para criar um ou mais dashboard (painéis) gerenciais de risco de gestão de identidades e acessos. Além dos principais tipos de risco em gestão de identidades e acessos, exploração de ideias e recomendações sobre a criação de dashboards gerenciais de risco efetivos, comunicativos e que facilitam encontrar situações de risco que precisam de mitigação.
Mas é importante saber que neste artigo não vamos tratar de riscos meramente tecnológicos, ou seja, não vamos tratar de riscos de (i) tentativas de intrusão, (ii) quebra de senhas, (iii) tráfego de rede inseguro, (iv) falhas de sistemas e similares.
Assim, vamos focar nos riscos relativos à governança e à administração de identidades e acessos, ou seja, aqueles riscos que estão presentes em uma organização e que podem passar despercebidos quando a organização não conta com um sistema de gestão de identidades e acessos.
Para detectar e, consequentemente, mitigar estes riscos é necessário ter um sistema de gestão de identidades e acessos, pois é a partir de uma visão centralizada dos direitos de acesso que se consegue criar os dashboards de risco aqui apresentados.
Tipos de Riscos Gerenciais em Gestão de Identidades e Acessos
Os principais tipos de riscos gerenciais em gestão de identidades e acessos podem ser assim classificados:
- Excesso de Direitos de Acesso
- Acessos Privilegiados ou Administrativos
- Violação de Segregação de Funções
- Direitos Inadequados à Função
- Concentração de Perfis de Alto Risco
Para cada um dos tipos de risco acima listados, agora vamos explorar ideias e recomendações sobre como criar dashboards que nos permitam visualizá-los.
Dashboard para Excesso de Direitos de Acesso
O excesso de direitos de acesso pode ser medido pelas quantidades de acessos que uma determinada pessoa possui. Por exemplo, podemos calcular quantos perfis de acesso uma pessoa possui. Também podemos computar em quantos sistemas (ativos de informação) uma pessoa possui acessos.
Com base nesses cálculos, podemos determinar o que são quantidades normais em uma determinada organização e visualizar os casos extremos. Por exemplo, o gráfico abaixo exibe as 10 pessoas que mais possuem perfis de acesso dentro de uma organização.
As pessoas listadas acima são as que devem ser analisadas quando for feita uma análise de excesso de direitos.
Dashboard para Acessos Privilegiados
Acessos Privilegiados, também chamados de Acessos Administrativos, são os acessos de administradores e operadores, ou seja, aqueles acessos que permitem executar funções de administração nos sistemas e equipamentos.
Contas com acessos privilegiados são os principais alvos de ataques, pois os invasores desejam controlar contas que permitem, por exemplo, criar outras contas, trocar senhas, alterar parâmetros de segurança e ligar e desligar funcionalidade e serviços.
Um dashboard de risco de acessos privilegiados deve mostrar quem são as pessoas que possuem esse tipo de perfil de acesso. Tipicamente, deve listar todos os administradores de sistemas importantes para a organização.
Top Perfis com Acessos Privilegiados
Analisando os dois gráficos apresentados até agora, vemos que embora o Daniel Silveira possua 134 perfis de acesso no primeiro gráfico, ele possui pouco mais de 20 perfis com acesso privilegiado. E que a pessoa que estava em segundo lugar no primeiro gráfico, Vinicius Siqueira, é a pessoa que mais possui perfis de acesso privilegiado na organização.
A identificação de um perfil de acesso privilegiado no dashboard pode ser feita pelo título do perfil, por exemplo, perfis que contém a palavra ‘administrador’ ou a palavra ‘operador’. E também pode ser feito por atributos de risco associados ao perfil, como nível de risco ou transações específicas. Ao final deste artigo, há um exemplo de como usar os níveis de risco para isso.
Dashboards para Violação de Segregação de Funções
Outra forma de identificar situações de risco é olhar para as violações de segregação de funções. O típico exemplo de segregação de funções é não permitir que a mesma pessoa tenha direitos para solicitar e para aprovar um pagamento em um sistema.
No entanto, existem situações legítimas para que uma pessoa tenha direitos que, por normas internas de uma organização, são segregados. Por exemplo, ela é a única pessoa na área financeira em uma filial.
Um dashboard de segregação de funções eficaz pode mostrar as seguintes situações:
- As pessoas que possuem direitos segregados
- Quais são os direitos segregados que mais ocorrem
- Quais os cargos que possuem direitos segregados
- Ocorrências de prestadores de serviço com direitos segregados
Dashboards para Direitos Inadequados à Função
Para identificar direitos inadequados à função é necessário fazer uma coleta prévia de informações sobre a sua organização. Só assim será possível fazer uma identificação efetiva de riscos.
Mas existem situações inadequadas que são fáceis de identificar e que se aplicam a todas as organizações, por exemplo:
- Perfis com acessos privilegiados ou de alto risco concedidos para cargos como estagiário, aprendiz, auxiliar ou outros cargos de nível iniciante, que não deveriam ter acessos privilegiados.
- Perfis de autorização em sistema financeiro ou bancário para pessoas que não possuem cargo de gerente, coordenador ou diretor.
- Perfis com acesso a dados pessoais para departamentos ou cargos que não tem relação com o tratamento de dados pessoais na organização.
Dashboards para Concentração de Perfis de Alto Risco
Se a sua organização já possui o nível de maturidade de classificar os perfis de acesso por nível de risco, você pode usar esse nível de risco para criar dashboards com essas informações.
Se a organização não possui, você pode usar os títulos dos perfis como indicativos de risco. Como mencionado anteriormente, palavras como ‘administrador’, ‘autorizador’, ‘aprovador’ no título de um perfil podem ser usadas para essa indicação de nível de risco.
Assim, é possível criar gráficos de nível de risco efetivos, mesmo quando a classificação de risco é deficiente.
O gráfico abaixo exemplifica como se pode visualizar os principais cargos que possuem perfis de alto risco em uma organização. Espera-se que um gráfico como este nunca mostre cargos em nível inicial de carreira profissional ou, se mostrar, indica uma possível oportunidade de mitigação de risco.
E, finalizando, a seguinte tabela interativa permite investigação em tempo real por meio da filtragem de cargos e palavras-chave para que melhorar o entendimento sobre os dados apresentados no gráfico acima.
Por exemplo, filtrando pela palavra ‘analista’, é possível ver todos os sistemas (ativos de informação) e perfis que possuem uma pessoa de cargo analista com um acesso de alto risco.
Esperamos que as ideias aqui apresentadas ajudem você a criar os seus dashboards de risco de gestão de identidades e acessos e que você consiga identificá-los e mitigá-los adequadamente.
Todos os gráficos aqui apresentados foram criados com o módulo de Identity Intelligence do HORACIUS IAM, o sistema de gestão de identidades e acessos da e-trust.
Conheça mais sobre o HORACIUS IAM.
Leia também:
- Criando Dashboards No HORACIUS Com PowerBI
- Ataques cibernéticos: a importância de DevSecOps para a segurança das empresas
- Como colocar em prática o orçamento de proteção de dados?
