BLOG VENNX

Imagem

Diego Muniz

22/05/2024

Campanhas de revisão de acessos de usuários (User Access Review – UAR), também conhecidas como certificação de usuários, são ações tomadas periodicamente pela Administração para garantir que os acessos atribuídos aos usuários são devidos. 


Nestas ações, são coletadas validações para todos os acessos concedidos aos seus sistemas, bancos de dados e redes. Ou seja, trata-se de um controle detectivo, que tem como objetivo identificar e corrigir acessos defasados ou indevidamente atribuídos. 


Por que realizar campanhas de revisão de usuários? 


Em uma campanha de certificação de usuários, a companhia tem a chance de reavaliar os perfis atribuídos aos usuários, suas permissões e credenciais. Com esta simples ação, são mitigados riscos críticos de segurança cibernética, como: 

  • Excesso de permissões; 
  • Configurações indevidas de contas; 
  • Abuso e mau uso de acessos; 
  • Incompatibilidade com políticas e práticas de Segurança da Informação; 
  • Acesso indevido a dados privados. 

Adicionalmente, o controle eficaz de revisão de usuários pode ser utilizado como compensatório para falhas em outros controles, como os de atribuição de acessos e de revogação tempestiva de acessos. 


Frequentemente, vejo uma revisão de usuários eficaz atenuando impactos de outro controles e evitando que empresas recebam MW do auditor independente. 


Quais organizações e normas recomendam ou exigem a revisão de usuários? 


Inúmeros frameworks e organizações preconizam a revisão de acessos de usuários, entre os quais destacam-se: 

  • NIST – O instituto americano de normas e tecnologias, por meio dos controles AC-1 e AC-2 de sua publicação especial 800-53, reconhece a importância e exige a aplicação de revisões periódicas de acessos e políticas. 
  • PCI DSS – O padrão global de segurança para organizações que processam dados de cartões de crédito, por meio do Requirement 7, exige a aplicação mandatória de medidas de controles de acesso, que incluem os princípios de least privilegie e a revisão periódica de perfis e permissões de usuários. 
  • SOX – A Lei Sarbanex-Oxley, aplicável a toda empresa de capital aberto que negocia ações nos EUA, exige na Section 404 que as empresas listadas implementem controles internos, entre os quais estão incluídos os controles de acesso. Entre outras ações, é exigida a revisão periódica dos usuários. 
  • Auditorias Independentes – Regularmente, auditores independentes exigem das empresas auditadas que executem controles de revisão periódica de acessos de usuários, de forma a garantir que camadas de proteção a acessos indevidos foram implementadas e contribuem para a segurança dos números reportados. 

Como realizar uma campanha eficiente de revisão de usuários? 


Há diversas maneiras e ferramentas para se executar uma boa campanha de revisão de usuários. Independentemente da forma como sua organização executará, há práticas que contribuem para o sucesso da certificação: 

  • Possua políticas atualizadas de gestão de acessos; 
  • Defina claramente os agentes da revisão (quem dispara a campanha, quem aprova, quem executa etc.); 
  • Crie um procedimento formal para execução da campanha; 
  • Implemente uma cultura de acessos orientados à função do usuário (RBAC); 
  • Não renuncie ao princípio de menor privilégio possível; 
  • Envolva a Administração e as áreas de negócio na revisão. 

Partindo das premissas acima, deve-se seguir os passos listados abaixo para que o controle seja bem-sucedido: 

  1. Definir prazos – Uma campanha de revisão de usuário, diferentemente da operação regular de concessão e revogação de acessos, deve possuir início e fim claramente definidos. Neste sentido, a condução do controle assemelha-se à condução de um projeto. Como o cumprimento de prazos depende de pessoas, buscar o engajamento das partes interessadas é fundamental. Se for possível realizar uma reunião de kickoff, não abra mão deste recurso! 
  2. Extrair dados de usuários – Obtenha a relação de recursos atribuídos aos usuários por meio de extrações de dados. Documente o processo de extração (ou o script de extração), de forma que o procedimento possa ser realizado novamente, obtendo-se o mesmo resultado. Revise a extração para garantir a totalidade e a integridade dos dados. 
  3. Organizar e distribuir os recursos para validação – De posse dos dados extraídos, identifique os responsáveis pelos acessos atribuídos aos usuários e encaminhe a eles para que avaliem se os acessos são devidos ou não. 
  4. Coletar validações – Obtenha dos responsáveis as respostas para todos os acessos quais são donos. Em caso de reprovação do acesso do usuário, obtenha também o motivo da revogação, ou seja, por qual razão o acesso era indevido. 
  5. Revogar acessos indevidos – Remova os acessos determinados como indevidos tão cedo quanto possível. A cada dia que passa, um acesso não validado mantido para o usuário é uma vulnerabilidade conhecida pela empresa, que pode ser explorada por alguém mal-intencionado. 
  6. Revisar e documentar – Verifique se todos os acessos foram avaliados por seus responsáveis. Confirme que todas as revogações foram implementadas pelo time de sistemas. Ao fim, compile todas as informações e documente a execução da campanha de revisão de acessos de usuários 

BÔNUS – Checklist para garantia da extração 


Nem todas as empresas possuem softwares integrados para realizar a campanha de revisão de acessos de usuários. Na verdade, o mais comum é vermos essas campanhas sendo realizadas manualmente. Se este for o caso da sua empresa, o risco de uma falha no processo e invalidação do controle é maior. 


E neste sentido, com os anos de experiência na disciplina, percebo que a maior incidência de erros é no processo de extração dos dados que alimentarão a campanha de revisão. Para apoiar no processo de extração para campanhas “manuais”, utilizamos naVennx o checklist abaixo, que poderá ajudar sua empresa também: 

  • Verificar se a base de dados se refere ao ESCOPO que a análise deve abranger. No caso das campanhas, observar se a base de dados reflete o ambiente de produção do sistema que está em análise. Garantir que as screenshots ou vídeos demonstrem essas informações. 
  • Verificar se a TOTALIDADE de itens foi contemplada na extração. Observar se durante a extração não foi inserido nenhum parâmetro que possa ter restringido o UNIVERSO de USUÁRIOS, PERFIS e FUNCIONALIDADES (transações/permissões). Ainda, é fundamental confrontar a totalidade da base de dados com alguma outra fonte de validação e verificar se as primeiras e últimas linhas da base do sistema conferem com as primeiras e últimas linhas do arquivo gerado. Garantir que as screenshots ou vídeos demonstrem essas informações. 
  • Verificar se a DATA E HORA DE CRIAÇÃO E MODIFICAÇÃO do arquivo gerado (ex.: planilha XLSX) estão iguais entre si e se estão aproximadas da data e hora em que a extração foi feita no sistema. Ainda, é fundamental arquivar a base de dados em documento .ZIP, para assegurar a integridade dos documentos. Garantir que as screenshots ou vídeos demonstrem essas informações. 
  • Verificar se os arquivos gerados estão ÍNTEGROS. No caso das campanhas, examinar amostralmente se as linhas e colunas estão corretamente posicionadas, se o total de linhas e colunas está correto, se não há nenhum campo em branco que deveria estar preenchido, se as informações apresentadas condizem com o que é preciso para execução da campanha, se há caracteres estranhos (ex.: caractere ‘&’ onde deveria ser um cedilha ‘ç’) etc. 
  • Arquivar todos os IPEs (bases de dados, relatórios etc.) em um arquivo formato .ZIP. 
Processando...
Receba as atualizações mundiais mais importantes sobre GRC.