Muitas pessoas consideram que a maior vulnerabilidade do ambiente de rede são os usuários. Se ao menos houvesse uma forma de controlá-los... boa notícia: claro que há!
Ao implantar uma combinação de diferentes técnicas, podemos limitar os possíveis danos ocasionados pelos usuários (ou os atacantes que se fazem passar por usuários). Normalmente essas técnicas, que utilizam recursos mnemônicos, são chamadas de "as quatro A da administração de contas".
O post de hoje oferece uma breve introdução aos quatros aspectos. A seguir veja cada um dos pontos com mais detalhes para dar uma ideia da importância e usos específicos.
- Autenticação: confirma se o usuário é quem diz ser
O primeiro passo da administração de contas é o que provavelmente nos resulta mais familiar a todos: a autenticação. Por meio dela criamos uma identidade e demostramos que somos quem garantimos ser. Em relação às contas online, em geral, implica na escolha de um nome de usuário e uma senha que se associe com nossa conta.
Cada vez que nos conectamos a um site, um aplicativo móvel ou outro serviço online, devemos escrever corretamente esse mesmo conjunto de credenciais para verificar nossa identidade.
- Autorização: permite o acesso ao usuário
Depois de demostrar que somos quem dizemos ser, necessitamos que nos concedam permissão de acesso para fazer algo nessa rede. Com bastante frequência, constitui uma parte do processo automático para estabelecer a identidade. Normalmente, é dado aos usuários privilégios de acesso geral, a menos que necessitem pagar por algumas funcionalidades específicas.
A autorização permite aos usuários acessar recursos específicos, tais como arquivos e diretórios privados, compartilhados ou confidenciais; uma quantidade alocada de espaço de armazenamento; ou uma duração limitada do acesso. Em um ambiente laboral, essas permissões são escolhidas, muitas vezes, segundo uma variedade de fatores, incluindo o grupo de trabalho do usuário, seu cargo ou o papel que cumpre dentro do grupo e suas tarefas de trabalho específicas.
- Acesso: controla o acesso e as exclusões
Outro elemento que serve para definir os privilégios do usuário é sua exclusão das áreas restritas. O controle do acesso permite ao administrador excluir certos grupos ou pessoas dos recursos e serviços que não tem autorização para usar.
A autenticação oferece uma espécie de controle de acesso efetivo, já que permite recusar a entrada das pessoas cujas identidades não se podem verificar. As exclusões são ainda mais específicas, uma vez que também permitem aos administradores limitar o acesso dos usuários às atividades ou recursos que realmente necessitam para realizar suas tarefas diárias.
- Auditoria: registra quem fez cada coisa e quando
Às vezes é útil algo mais que apenas permissões e exclusões. Como podem ocorrer coisas não desejadas ou inesperadas, é uma boa ideia manter um registro de todas as atividades. O registro da auditoria mantém informações atualizadas das atividades que realizaram, quem as realizou e em que momento. Dessa forma, um administrador ou auditor conta com os dados específicos que necessita examinar.
Por mais que seja muito mais fácil dar aos usuários a permissão mais ampla desde o começo, também é a maior receita para deixá-los arrasar com uma rede. Existem muitas ferramentas disponíveis para limitar os riscos que surgem com o acesso dos usuários à rede. Algumas delas são estabelecer políticas para limitar permissões, criar exclusões, registrar, monitorar as atividades e também administrar as contas de forma periódica para garantir que o acesso concedido continue sendo o apropriado.
Autor: Lysa Myers, da ESET
Adaptação: Francisco de Assis Camurça, da ESET