Em um dos posts desta semana, o tema abordado foi a autenticação, ou seja, verificar se alguém é quem diz ser. Em muitos casos, esse é o momento em que os administradores de sistema dão a todos os usuários autenticados o acesso aos recursos de rede de forma igual, considerando o trabalho como concluído.
No entanto, após o processo de autenticação, ainda há muitas coisas para fazer, já que se obtém muitos benefícios quando são utilizadas as outras três “A” da administração de contas. Neste post será destaque a autorização e o controle do acesso. O que são? Em quais cenários podemos utilizar para melhorar a segurança?
O que é a autorização e controle do acesso?
Em poucas palavras, a autorização e o controle do acesso são formas de cumprir com as políticas de acesso. O estereótipo da autorização é a imagem de um guarda de segurança na porta de uma boate, que apenas permite passar aos jovens que se adequam ao critério do estabelecimento. O controle do acesso seria o oposto: excluir a quem não se ajusta ao critério.
São dois processos muito comuns que ocorrem em todos os lugares. Por exemplo, no banco, no estádio de futebol, na sala de concertos, enquanto você se prepara para embarcar em um avião. Em cada um desses casos, você deve demonstrar que está autorizado a tomar uma ação; como entrar na zona de segurança do aeroporto ou extrair dinheiro da conta bancária. Se não tem permissão para acessar a área ou atividade, você será excluído.
Para que a autorização e o controle do acesso se realize com êxito, são necessárias duas coisas: boa autenticação e políticas. A autenticação forte é essencial, pois caso alguém acesse as informações, você deve ter certeza de que realmente trata-se do usuário autorizado e não de alguém que se faz passar por ele.
As boas políticas de acesso garantem que você está seguindo o princípio do menor privilégio. Isso significa que ninguém poderá acessar a algo, a menos que seja necessário e esteja permitido. Tanto a autenticação como a formulação de políticas requerem certo planejamento e previsão para garantir que está dando os níveis de acesso adequados: nem muito liberais, nem muito restritos.
Quando utilizar as autorizações e o controle do acesso?
Esse nível de planejamento pode parecer uma quantidade excessiva de trabalho. Com certeza você deve estar se perguntando: “Em qual circunstância alguém irá comprometer-se com esse tipo de tarefa?” A resposta mais breve é a seguinte: é particularmente útil se você se encontra em uma situação com um orçamento limitado e está buscando alternativas para reduzir os riscos que requerem mais capacidade de intelecto que compra. Esse grupo provavelmente inclui à maioria das pessoas, sem importar o tamanho ou êxito do negócio.
Todos temos ouvido histórias, sejam anedotas ou notícias, sobre empresas que tiveram problemas porque os atacantes conseguiram entrar na rede corporativa (como um portal para provedores ou um computador de uma outra área). Ao dedicar algum tempo para o planejamento, é possível diminuir o risco desse tipo de incidente.
Cada negócio, grande ou pequeno, tem áreas ou arquivos que não devem estar ao alcance de qualquer um. Dependendo do tamanho da empresa, pode haver várias áreas com recursos que são particularmente confidenciais e não devem ser acessíveis a qualquer pessoa fora do departamento, incluindo as áreas de recursos humanos, contabilidade, desenvolvimento comercial, ou TI, por exemplo. Também pode haver casos nos quais é necessário que terceiros (como provedores ou clientes) tenham acesso a alguns recursos.
Neste caso, você pode incluir ou excluir indivíduos ou grupos, máquinas individuais ou seções inteiras da rede, em função das necessidades e da confidencialidade do que está protegendo. Antes de criar as políticas, uma boa ideia é formar uma lista de grupos, tais como:
- Áreas individuais
- Grupos dentro das áreas
- Responsabilidades que envolvam todas as áreas (por exemplo, gerentes de projeto ou produto, administrativo)
- Pessoas com tarefas específicas relacionadas com o trabalho
- Líderes de grupo e administradores
- Gerentes de alto nível e executivos
- TI ou segurança
Uma vez que tenha os grupos formados, você pode iniciar a definir para quais ações e onde é necessário ter permissão de acesso. Do mesmo modo, pode impedir o acesso de grupos ou usuários para determinadas ações e áreas.
Enquanto alguns grupos precisam de acesso completo para ver e editar arquivos ou dados, outros simplesmente devem ser capazes de ver conteúdos ou diretórios (sem modificá-los). Também pode estabelecer limites para o uso de recursos, tais como o tempo ou a frequência com a que diferentes colaboradores ou departamentos tenham acesso (por exemplo, navegar na web em sites não relacionados com o trabalho) ou a quantidade de espaço de armazenamento que foi atribuído.
Quando criar sua lista de grupos e permissões, poderá fazer com que essas políticas sejam cumpridas. O lugar mais natural para fazê-la é nos pontos onde os usuários já necessitam iniciar uma sessão, por exemplo:
- Ao iniciar ou reiniciar o dispositivo
- Ao abrir aplicativos
- Ao usar serviços online
- Ao abrir bases de dados
Essas políticas devem ser documentos “vivos”, ou seja, atualizados com frequência a medida que os usuários são contratados ou deixam a empresa, ou mudam de trabalho ou função dentro da mesma instituição.
Uma vez que estabeleça todas as políticas necessárias e as cumpra de forma adequada, pode pensar que é o final da história. No entanto, os acidentes e imprevistos ocorrem e, com certeza, você deve estar sempre ciente deles. Nos próximos posts você poderá saber um pouco sobre o registro de auditorias, que lhe permitirá analisar os eventos passados para prevenir problemas no futuro.
Acompanhe as publicações deste blog e fique informado sobre as novidades no mundo da Segurança da Informação.
Autor: Lysa Myers, da ESET
Adaptação: Francisco de Assis Camurça, da ESET
