Vennx
22/05/2024
Campanhas de revisão de acessos de usuários: Um Guia Essencial.
Campanhas de revisão de acessos de usuários (User Access Review – UAR), também conhecidas como certificação de usuários, são ações tomadas periodicamente pela Administração para garantir que os acessos atribuídos aos usuários são devidos.
Nestas ações, são coletadas validações para todos os acessos concedidos aos seus sistemas, bancos de dados e redes. Ou seja, trata-se de um controle detectivo, que tem como objetivo identificar e corrigir acessos defasados ou indevidamente atribuídos.
Por que realizar campanhas de revisão de usuários?
Em uma campanha de certificação de usuários, a companhia tem a chance de reavaliar os perfis atribuídos aos usuários, suas permissões e credenciais. Com esta simples ação, são mitigados riscos críticos de segurança cibernética, como:
- Excesso de permissões;
- Configurações indevidas de contas;
- Abuso e mau uso de acessos;
- Incompatibilidade com políticas e práticas de Segurança da Informação;
- Acesso indevido a dados privados.
Adicionalmente, o controle eficaz de revisão de usuários pode ser utilizado como compensatório para falhas em outros controles, como os de atribuição de acessos e de revogação tempestiva de acessos.
Frequentemente, vejo uma revisão de usuários eficaz atenuando impactos de outro controles e evitando que empresas recebam MW do auditor independente.
Quais organizações e normas recomendam ou exigem a revisão de usuários?
Inúmeros frameworks e organizações preconizam a revisão de acessos de usuários, entre os quais destacam-se:
- NIST – O instituto americano de normas e tecnologias, por meio dos controles AC-1 e AC-2 de sua publicação especial 800-53, reconhece a importância e exige a aplicação de revisões periódicas de acessos e políticas.
- PCI DSS – O padrão global de segurança para organizações que processam dados de cartões de crédito, por meio do Requirement 7, exige a aplicação mandatória de medidas de controles de acesso, que incluem os princípios de least privilege e a revisão periódica de perfis e permissões de usuários.
- SOX – A Lei Sarbanes-Oxley, aplicável a toda empresa de capital aberto que negocia ações nos EUA, exige na Section 404 que as empresas listadas implementem controles internos, entre os quais estão incluídos os controles de acesso. Entre outras ações, é exigida a revisão periódica dos usuários.
- Auditorias Independentes – Regularmente, auditores independentes exigem das empresas auditadas que executem controles de revisão periódica de acessos de usuários, de forma a garantir que camadas de proteção a acessos indevidos foram implementadas e contribuem para a segurança dos números reportados.
Como realizar uma campanha eficiente de revisão de usuários?
Há diversas maneiras e ferramentas para se executar uma boa campanha de revisão de usuários. Independentemente da forma como sua organização executará, há práticas que contribuem para o sucesso da certificação:
- Possua políticas atualizadas de gestão de acessos;
- Defina claramente os agentes da revisão (quem dispara a campanha, quem aprova, quem executa etc.);
- Crie um procedimento formal para execução da campanha;
- Implemente uma cultura de acessos orientados à função do usuário (RBAC);
- Não renuncie ao princípio de menor privilégio possível;
- Envolva a Administração e as áreas de negócio na revisão.
Partindo das premissas acima, deve-se seguir os passos listados abaixo para que o controle seja bem-sucedido:
- Definir prazos – Uma campanha de revisão de usuário, diferentemente da operação regular de concessão e revogação de acessos, deve possuir início e fim claramente definidos. Neste sentido, a condução do controle assemelha-se à condução de um projeto. Como o cumprimento de prazos depende de pessoas, buscar o engajamento das partes interessadas é fundamental. Se for possível realizar uma reunião de kickoff, não abra mão deste recurso!
- Extrair dados de usuários – Obtenha a relação de recursos atribuídos aos usuários por meio de extrações de dados. Documente o processo de extração (ou o script de extração), de forma que o procedimento possa ser realizado novamente, obtendo-se o mesmo resultado. Revise a extração para garantir a totalidade e a integridade dos dados.
-
Organização e Distribuição dos Recursos para Validação
Após extrair os dados, identifique os responsáveis pelos acessos atribuídos aos usuários e encaminhe as informações para que avaliem a validade desses acessos. -
Coleta de Validações
Solicite respostas dos responsáveis sobre quais acessos são válidos. Se um acesso for reprovado, obtenha o motivo da revogação. -
Revogação de Acessos Indevidos
Remova rapidamente os acessos considerados indevidos. Cada dia em que um acesso não validado é mantido representa uma vulnerabilidade. -
Revisão e Documentação
Verifique se todos os acessos foram avaliados e que as revogações foram implementadas. Compile e documente todas as informações relacionadas à campanha.
BÔNUS – Checklist para Garantia da Extração
Para empresas que realizam a campanha manualmente, o processo de extração de dados é crítico. Aqui está um checklist que pode ajudar sua empresa:
- Verificar se a base de dados se refere ao escopo que a análise deve abranger. No caso das campanhas, observar se a base de dados reflete o ambiente de produção do sistema que está em análise.
- Verificar se a totalidade de itens foi contemplada na extração. Confrontar a totalidade da base de dados com alguma outra fonte de validação.
- Verificar se a data e hora de criação e modificação do arquivo gerado estão corretas e arquivar a base de dados em documento .ZIP.
- Verificar se os arquivos gerados estão íntegros, incluindo amostragens das linhas e colunas.
- Arquivar todos os IPEs (bases de dados, relatórios etc.) em um arquivo formato .ZIP.