Este artigo tem como objetivo demonstrar o quão prejudicial se fazem os compartilhamentos de acessos, sejam eles físicos ou lógicos acarretando em consequências que acarretam desde o vazamento das informações podendo acarretar em perdas financeiras para a empresas ocasionando fraudes, rescisão de contratos com clientes, perdas de certificações de Segurança entre outros
Neste também menciono a necessidade da aplicação efetiva de controles de acessos de forma a evitar compartilhamentos indevidos ocasionados pelo fator compartilhamento de acesso, posteriormente apresentando diversos controles normativos e meios com o objetivo de mitigar riscos como esses.
Compartilhamento de acesso tem sido um dos grandes desafios do mundo corporativo para com a Segurança da Informação.
Nos dias atuais diversas regras normativas, sejam internas ou externas, são elaboradas e aplicadas de forma a mitigar o risco eminente de compartilhar esses acessos, sejam físicos ou lógicos.
Partindo do princípio de que controles são elaborados e devem ser seguidos de forma rígida entendemos que esse risco deveria ser nulo, ou no máximo algo que não cause impacto direto para diversas empresas, empresas essas que lamentavelmente não possuem o controle eficiente e eficaz para que seja colocado em prática o problema em questão.
Diversas estratégias podem ser aplicadas fundamentando assim a necessidade de manter os acessos controlados dessas empresas dificultando acessos compartilhados ou indevidos. Yuri Diógenes e Daniel Mauser Mello menciona que o primeiro tipo de controle a ser aplicado é o Controle de Acesso Físico, sendo a primeira barreira existente nas empresas. Certamente sem essas não seria possível aplicar a diferenciação entre funcionários, prestadores, visitantes e demais que necessitam desse acesso.
Yuri Diógenes e Daniel Mauser Mello menciona que os acessos físicos ocorrem da seguinte forma:
Além do controle de Acesso Físico, deve-se também considerar os Acessos Lógicos realizados de forma eletrônica.
Os controles de acessos são impeditivos para que os pilares da Segurança da Informação, Confidencialidade, Integridade e Disponibilidade, sejam “quebrados”. Manter controles efetivos e controlados garante que a corporação esteja em Compliance com seus clientes internos (colaboradores, acionistas) e externos (clientes, fornecedores, parceiros).
Mas, quais os ganhos que uma determinada empresa obtém quando os controles de acessos são implementados e controlados de forma a evitar o compartilhamento?
Pauto-me em experiência e vivência profissional, em relatórios de incidentes, materiais de institutos que regem normas tais como ISO 27001 – Information Techonology Management Systens, Portal Frebraban – Cartilha de Engenharia Social, ISO 15540, Graphic Technology – Requiriments, PCI – Payment Card Industry (Phisical and Logical), entrevistas com responsáveis pelos departamentos de Segurança da Informação e Gestão de Risco, publicações do autor Jeferson D’ Addario bem como autores de publicações voltadas para o tema como Yuri Diógenes e Daniel Mauser Mello.
A obrigatoriedade do não compartilhamento de acesso seguem as regras descritas por normas internas e externas. Esta deve ser insistentemente acompanhada pelos responsáveis da Segurança da Informação com o apoio direito das áreas de apoio tais como Recursos Humanos, Gestão de Risco, Compliance e inclusive pela alta Direção.
Programas de conscientização devem ser elaborados, implementados e aplicados de forma efetiva mantendo todos os colaboradores cientes dessa proibição que pode acarretar em prejuízos econômicos e de imagem conforme já mencionado nesse artigo. Também se faz necessário, no momento da contratação, o departamento responsável por esta disponibilizar documentos legais que mencionem as regras de Segurança da Informação contendo inclusive direitos e deveres para com o novo colaborador.
Treinamentos, Conscientização e “Educação” devem ocorrer durante períodos programados. Essas ações são formas de demonstrar aos colaboradores e partes externas a importância do não compartilhamento de acessos físicos ou lógicos.
Além desse cumprimento interno atendem também exigências normativas conforme menciona a ISO 27001:2013, anexo A, Controle A.7.2.2:
“Conscientização, educação e treinamento em segurança da informação:
Controle:
Todos os funcionários da organização e, onde pertinente, as partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações, regulares a politicas e procedimentos organizacionais relevantes para suas funções.”
Esses programas geram o custo mínimo para a empresa e são considerados eficientes pois são efetivos na redução de incidentes de segurança da informação evitando o compartilhamento de acessos, de credenciais e de acessos considerados como “carona”, acessos esses que o colaborador libera a passagem para outro colaborador não autorizado através de crachás e/ou biometria.
Conforme pesquisa realizada pela Daryus no ano de 2014 “+ de 85% considera que o principal fator crítico para a segurança da informação está contido nos temas: Capacitação e mudança de Cultura Organizacional“.
Além dessa “obrigatoriedade” descrita na ISO 27001, outras normas e padrões também são exigidos relatando formas de controles para que regras de segurança sejam estabelecidas e mantidas de forma a proteger de dados de clientes conforme menciona o PCI Payment Card Industry Security Standards Council, versão 3.2, Requisito 7.2 que menciona:
“Estabeleça sistema(s) de controle de acesso para os componentes do sistemas que limitem o acesso com base na necessidade de conhecimento do usuário e que estejam configurados para “recusar todos”, salvo se houver permissão específica.
Na menção acima, pertinente ao PCI, é expressamente notória a exigência de controles com o objetivo de dificultar o compartilhamento de acesso lógico colaborador.
Além do controle de acesso lógico é necessário a existências de controles físicos, esses também são essenciais para minimizar os riscos de incidentes pertinentes aos compartilhamentos de possíveis acessos compartilhados e não autorizados.
Para fundamentar essa necessidade e exigência normativa mencionamos também a norma ISO 15540:2013 direcionada as empresas gráficas apoiando-as de forma clara e objetiva, conforme mencionado no item 7.3.2 – Edificado que instrui:
“As áreas de pré-impressão, produção e pós impressão de produtos de segurança devem possuir mecanismos de controle de acesso com registro de entrada e saída.
Exemplo: Os controles de acessos mais comuns são cartão de acesso, senha, lista de autorizados, biometria, leitura facial, entre outros”.
Controles como esses são considerados como fundamentais não só para instituições privadas, empresas de cunho financeiro (bancos, seguradoras etc.) tendem a redobrar cuidados instruindo de forma direta e efetiva seus clientes e colaboradores.
A Federação Brasileira de Bancos – Febraban em parceria com a Federação das Indústrias do Estado de São Paulo – FIESP e Ministério Público do Estado de São Paulo desenvolveram a Cartilha Engenharia Social, este documento contém diversas instruções de como evitar golpes mencionando também o controle de acesso conforme descrito no tópico Dicas úteis para proteger Informações Corporativas:
Todos os controles mencionados nessa seção têm como objetivo impedir o compartilhamento de informações, sejam essas feitas através de acessos físicos ou lógicos.
Os resultados positivos através dos controles implementados, com o objetivo de proteger contra o não compartilhamento de acessos são fundamentais pois possibilitam que a empresa obtenha novos clientes, parceiros e fornecedores.
Em alguns casos esses controles devem ser implementados apresentando diversas evidências antes mesmo de novos contratos a serem firmados entre as partes interessadas. Essa obrigatoriedade também começa a ser exigidas em licitações que envolvam órgãos públicos tais como Detran e Denatran. Esses exigem que a empresa interessada em participar dessa licitação tenha obtido a certificação ISO 27001 de forma a demonstrar que todos os controles foram validados e implementados evitando também o compartilhamento de acesso.
Certificações pertinentes a Segurança da Informação é requisito essencial para demonstrar que padrões de segurança são aplicados através dos diversos controles mencionados. É essencial que as empresas após terem seus processos e procedimentos internos definidos e controlados solicitem a avaliação de organismos certificadores para a efetiva aquisição das normas já apresentadas.
Alguns desses padrões normativos permitem a produção de insumos de segurança produzidos pela própria empresa e que necessitam de certificações e padrões de segurança exigidos pelo fornecedor para que o produto final seja finalizado se do fornecedor para o produto final, este é o caso do PCI – Payment Card Industry (Phisical and Logical) que especifica e recomendações mínimas de segurança obrigatórias para todas as empresas que necessitam da produção de dados para pagamento. O mesmo, isto é, padrões e exigências normativas devem ser aplicadas garantindo a certificação e posteriormente a manutenção do SGSI – Sistema de Gestão de Segurança da Informação.
Por fim concluo afirmando ser necessária a implementação de controles físicos e lógicos com o objetivo de assegurar que compartilhamentos de acessos sejam impedidos e dificultados a fim de manter o Sistema de Segurança da informação seguro garantindo a confidencialidade, integridade e disponibilidade de todo o SGSI.
Profissional com mais de 10 anos de experiência em Segurança da Informação atuando também em Gestão de Risco e Compliance. Graduado em Ciências da Computação, MBA – Gestão e Tecnologia em Segurança da Informação e discente em Ciências Jurídicas. Atuou como Coordenador dos departamentos de Compliance, Segurança da Informação e Gestão de Risco de uma multinacional Colombiana, atualmente é Consultor Sênior de Segurança da Informação e Compliance de uma empresa de soluções de pagamentos. Ministra palestras em Instituições Educacionais, Órgãos Públicos, Privados, Jurídicos e empresas que se interessem por assuntos pertinentes a Gestão de Riscos, Compliance, Proteção de Dados, Prevenção a Fraudes, Crimes Cibernéticos, Educação Digital, Redes Socais, IoT - Internet of Things entre outras. Atua como membro ABNT – Comissão de Estudos de Técnicas de Segurança da Informação Série ISO 27000 e membro consultor da Comissão de Direito Digital e Compliance (OAB/SP). Diretor Executivo da Consultoria PJCC, empresa especializada em Exames Forenses Computacionais, Segurança da Informação, Governança, Risco e Compliance. Examinador Lider da Certificadora Global PCS_IT atuando tambem como instrutor das certificações de Ethical Hacking, IT Governance, Ransomware Defense, Computer Forensics, Information Security. Possui certificações em Scrum Master, Computer Forensics, International Test Process Advanced - ISO/IEC 29119, Payment Card Industry Data Security Standard PCI/DSS, Six Sigma Yellow Belt Professional, ISO 27001:2013, ISO 27002, ITIL, ISO 9001 entre outras. Atuou em empresas como: Yokogawa América do Sul, Sony Pictures Entertainment, TUV-NORD, Thomas Greg & Sons. LinkedIn: www.linkedin.com/in/pablocamargocorreia
You must be logged in to post a comment.
