Gestão de acessos

Para entendermos melhor gestão de acessos, esse conceito tão importante, vamos fazer uma analogia entre uma empresa e uma casa. Enquanto a primeira é estruturada através de seus processos; a última é formada por seus cômodos. E certamente não é qualquer um que pode entrar na nossa casa. Apenas algumas pessoas que confiamos possuem a chave. E na nossa comparação, ter uma chave é ter acesso.

Não basta apenas conceder acessos. Como o nome sugere, a Gestão de Acessos, também conhecida como Gestão de Identidades e Acessos, consiste em controlar de forma inteligente quem tem acesso ao seu negócio. Nem todo mundo que tem a chave de casa, por exemplo, tem a chave do seu quarto, não é mesmo?

Fala do especialista

Felipe Silva, em seu artigo no livro  “Trilhas em Segurança da Informação: Caminhos e Ideias para a proteção de dados”, define a Gestão de Identidades e Acessos (GIA) como uma prática que “[…] compreende um conjunto de processos para gerenciar todo o ciclo de vida dos acessos dos usuários, internos ou externos, dentro de uma organização.”

Cada vez mais, em grandes organizações, processos são suportados por sistemas e, por sua vez, sistemas necessitam de usuários com diferentes tipos de acessos e funcionalidades. Toda uma hierarquia pode, e deve, ser construída com diferentes perfis dentro de um sistema.

Para entender ainda melhor a gestão de acessos

Para exemplificar de forma bem prática, consideremos o “contas a pagar” dentro de uma organização que utiliza um sistema que suporta o processo. É preciso que se cadastre no software uma despesa, com descrição e valor definido, para que esta seja aprovada e encaminhada para a área financeira, que executará o pagamento. No nosso exemplo, o mesmo funcionário responsável por cadastrar a despesa também tem permissão para aprová-la. É fácil enxergar o risco envolvido nessas ações. Nada impede que o funcionário mal-intencionado cadastre e aprove pagamentos direcionados a si mesmo. Com a mesma rapidez que enxergamos a possibilidade de fraude, podemos enxergar que a simples segregação das duas funções mitigaria o risco.

Quando pensamos em um processo, em um funcionário, tudo parece muito simples. E de fato é, porém a realidade é feita de companhias massivas, com inúmeros processos e sistemas e incontáveis usuários. É aí que vemos a necessidade de um programa de Gestão de Identidades e Acessos sofisticado.

Além de permissões conflitantes, a Gestão de Acessos também trata da validade dos acessos. No geral, acessos concedidos são válidos durante toda a atuação do colaborador na companhia e é extremamente necessário que sejam revogados quando essa atuação termina.

Um outro exemplo em que a Gestão de Acessos poderia ter evitado prejuízos, e dessa vez um caso real publicado pela Bleeping Computer, é o de uma ex-funcionária que, ao perceber que seus acessos não foram revogados após sua demissão, em retaliação, apagou cerca de 21GB de dados com informações sobre empréstimos hipotecários e outros dados sensíveis.

Uma forma bastante utilizada no mercado para execução dessa gestão é a construção da matriz de segregação de funções, ou matriz SoD. Essa matriz mapeia, num sistema ou numa organização como um todo, funcionalidades e permissões, e define as diversas regras de segregação de funções, permitindo assim que sejam identificados usuários que estejam realizando tarefas consideradas críticas e/ou conflitantes. Se essas atividades estiverem segregadas em diferentes usuários, não há violação das regras e, por consequência, é mitigado o risco de fraudes e erros. Ainda, em casos em que não se faz possível a segregação das funções, a organização pode entender o risco como aceitável e associar a ele um controle compensatório – mas isso é tema para outro artigo.

Uma vez parametrizadas as segregações, a matriz SoD pode ser carregada num sistema que automatize as análises de risco, facilitando a concessão ou revogação de acessos.

Deu para entender como a Gestão de Acessos, ou a Gestão de Identidades e Acessos, é de extrema importância para uma organização. Voltando à nossa comparação, é saber exatamente quem tem as chaves da sua casa, quais cômodos podem ser acessados e, de tempos em tempos, trocar a fechadura.