Conceito Perfil Acesso › wp-content › uploads › 2017 › 06 … · • Insiders / contractors...

Segurança e TecnologiaMINDSEC

WEBINAR21/06/2017

Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização


09:00 to 09:10: Welcome09:10 to 09:20: Apresentação do case e dos desafios09:20 to 09:50: Discussão sobre o modelo RBAC e sua

implementação09:50 to 10:00: Perguntas e Respostas10:00: Encerramento

AGENDA


“Não podemos permitir que alguém saia de nossa presença sem se sentir melhor e mais feliz”

Madre Teresa de Calcutá

MOTIVAÇÃO


• Insiders / contractors are the most likely perpetrators of security incidents reported in South America. (PWC-2015)

• 57% of respondents consider employees the most likely source of an attack.(EY-2014)

• The majority of employees perpetrated their acts while in the office right under the noses of coworkers.(Verizon-2014)

• 72% of security incidents at financial services organizations involved a current or former employees.(PWC-2015)

• Third parties with trusted access were responsible for 41% of the detected security incidents at financial services organizations.(PWC-2015)

• 75% of Insider Intrusions are handled internally – without legal action or law enforcement.(CERT-US 2014)

• Most crimes by trusted parties (insider and privileged users) are perpetrated for financial or personal gain.(Verizon-2104)

• In US healthcare the top 3 perceived threat motivators were workers snooping on relatives/friends (80%), financial identity theft (66%), and identity theft (51%).(6th annual HIMSS)


2016 - KPMG Identity and Access Management in The Digital Age

MOTIVAÇÃO

CONTROLE DE ACESSOS MANUAL


Usuários

GerentesAprovadores

Analista de Segurança de TI

Dezenas de sistemas e aplicações sem

padronizaçãoou interconexão

Devido ao processo manual e ao alto workload gerado pelo processo de gestão de identidade e acesso, estima-se que 28% das empresas não adotam controles efetivos de gestão de acesso

N x

61% das ocorrências de Segurança são devidas a controles deficientes

Em empresa de grande porte, cada usuário pode chegar a ter 7 ou mais senhas diferentes

O Analista de Segurança, pode necessitar operar até 10 ou mais sistemas diferentes para requisição

Ao longo dos anos, os usuários acumulam perfis com acessos desnecessários e conflituosos difíceis de serem identificados.

1. Alto volume de trabalho

2. Demandas por email

3. Demandas sem Aprovações

4. Quem aprova?

5. Reconciliação muito difícil

5. Acúmulo de Acessos

6. Alta demanda de recurso para as Revisões Periódica

7. Problemas de Compliance

8. Visão limitada de acessos

9. Acessos persistentes após desligamentos

10. Ineficiência na gestão de perfis e aprovadores

DESAFIOS

O processo MANUAL de gestão de acesso traz vários desafios:

DEMANDA de CONTROLE de ACESSO

=

SISTEMAS X FUNCIONALIDADES X REQUISIÇÕES

“Todos pedem Acesso, mas ninguém pede para excluir”


GERENCIADOR DE IDENTIDADE E ACESSOS IDM


Gerenciador de

Identidade

Usuários

GerentesAprovadores


• Automatização da concessão e revogação de acessos;

• Automatização das solicitações de acessos;

• Gerenciamento de políticas de acesso;

• Relatórios de concessões por usuário;

• Automatização do processo de reset de senhas;

• Centralização das requisições;

• Workflow de autorização de acessos;

• Agilização do processo de concessão e revogação de

acessos;

• Unificação do processo de gestão de acesso;

• Administração por Perfil;

• Auditoria simplificada;

• Aplicação de regras de Compliance;

• Gerenciamento de Aprovadores;

• Produtividade do Analista de Segurança;

• Qualidade no controle de acessos....

1. Agilidade para o usuário

2. Workflow de requisições

3. Controle de Aprovações

4. Integração de sistemas

5. Reconciliação facilitada

BENEFÍCIOS DO IDM

6. Exclusão de Acessos imediata

7. Perfilamento

8. Revisão Periódica

9. Compliance

10. Produtividade

Usuários



1. Tecnologia madura

2. Processos bem mapeados

3. Implantação de cultura interna

4. Gestão de Perfis

5. Tratamento de Exceções

6. Tratamento de Terceiros

7. Registros de Logs e Monitoração

8. Políticas definidas

9. Envolvimento do usuário

10. Apoio Superior

PONTOS IMPORTANTES PARA O PROJETO DE IDM

Para uma boa implementação de IDM é necessário uma excelente estratégia de integração ao negócio:


ACESSO PRIVILEGIADO

1. IDM NÃO é feito para controle de acesso Privilegiado

2. AP demanda controle independente

3. AP possui requerimentos diferentes

4. AP Controla quem Controla

“Todos Amam o Poder e

Odeiam ser Controlados”


BUSINESS INFORMATION SECURITY OFFICER(BISO)

BISOFinanças

BISOCompras

BISORH

BISOComercial

Coordenador de Segurança da Informação

• Interlocutor de Segurança da Informação

nas áreas de Negócios

• Tem a função de Liderar todas as ações

de Segurança da Informação em sua

área

• Responsável por levantar as funções

necessárias dentro da sua área

• Valida e Aprova acessos funcionais

• “Owner” dos perfis relacionados a sua

área

• Revisa anualmente os perfis de acesso


PROPRIETÁRIO DE SISTEMA (SYSTEM OWNER)

• System Owner ou Proprietário

do sistema tem a função de

gerenciar o uso, as atualizações,

funcionalidade e autorizações a

um determinado sistema

Intranet

Sistema de Pagamento

Sistema de Crédito

Sistema de Compras

Conecta

IDM


ARMADILHA

≠ IDMFUNCIONALIDADE SISTÊMICA

GESTÃO DE USUÁRIOS E ACESSOS

PERFILFUNÇÃO DE NEGÓCIO

GESTÃO DE AUTORIDADE


PERFIL LOCAL x FUNÇÃO

• Solicita-se o Perfil e não Acesso

• Concede-se acesso por local e função, e não cargo

• Função é independe do cargo de RH

• Trata-se exceções em processo apartado

• Trata-se movimentações funcionais alterando-se o Perfil apenas

• Trata-se autoridade de acesso

• Trata-se autorizadores

RBAC – Role Based Access Control

Controle de acesso baseado em FUNÇÃO e não no CARGO do funcionário


IDM x PERFIL

Implementação do IDM Implementação do PerfilAtividade Técnica Atividade Processual

Analisa sistemas Analisa processos de negócios

Concede funcionalidades Técnicas Concede funções de negócios

Desenvolve e configura conexões Cria processos

Implementa controles Define os controles necessários

Recebe informações sistêmicas Define quais informações são relevantes

Executa funções pré-definidas Define o que, qual e quando usar as informações para concessão de acesso

Enxerga a arquitetura de sistemas Enxerga as funções de negócios

Integra sistema com RH Requer integridade nas informações de RH

Registra as operações executadas Define quais registros devem existir e como armazená-los

Atende a requisitos de compliance Implementa os controles de compliance


PERFIL LOCAL x FUNÇÃO PROCESSO


PRINCIPAIS FATORES DE FALHA

1. Planejamento longo, com demora nas primeiras entregas do projeto

2. Falha na fase de análise e desenho

3. Não usar as funcionalidade nativas do produto

4. Não prever o futuro

5. Não envolver as área de negócios no projeto

6. Subestimar a complexidade do projeto

7. Visão limitada dos processos do usuário

8. Achar que Perfil = Conjunto de Acesso

9. Limitar o projeto as entregas técnicas

10. “Vender” o projeto somente dentro de TI


PORTFÓLIO MINDSEC

Governance

• Gestão de Identidade • Perfilamento de Acesso• Escritório de Segurança• Vendor Security Management• BCP

SRM

•Penetration Test•Security Risk Assessment•Security Maturity Model•Planejamento estratégico•Políticas, Normas, Procedimentos e

Padrões

IDM, Endpoint, eMailGateway, Controle de Acesso Privilegiado, Network Security Policy Management & Firewall Sanitization)

Consultoria & Serviços Soluções


Perguntas?


BLOG


http://www.minutodaseguranca.blog.br/

Obrigado

A MINDSEC inteligência em segurança da Informação!

[email protected]

[email protected] (11) 99494-4324


MINDSEC.COM.BR

mailto:[email protected]

mailto:[email protected]

Segurança e TecnologiaMINDSEC

contato : (11) 99494-4324 (Kleber)

Av. Dr. Chucri Zaidan, 920, 9º andarMarket Place - Tower ISão Paulo - São Paulo04583-904


Conceito Perfil Acesso › wp-content › uploads › 2017 › 06 … · • Insiders / contractors...

Documents

Transcript of Conceito Perfil Acesso › wp-content › uploads › 2017 › 06 … · • Insiders / contractors...