No século XX, os ataques cibernéticos eram mais difíceis de executar porque a maioria dos computadores não estava conectada em rede, a Internet não existia, apenas alguns grupos de pessoas tinham acesso a computadores e, mais importante, não havia nenhum grande incentivo para atacar.
Hoje, a história é totalmente diferente. Na encruzilhada da coleta de dados deficiente e das práticas lentas de privacidade de dados, há muito dinheiro a ser ganho com o roubo de dados ou com a criação de interrupções de serviço. De fato, um relatório da Universidade de Maryland afirma que, em média, há um novo ataque cibernético ocorrendo a cada 39 segundos em todo o mundo. E a maioria das organizações está simplesmente tentando alcançar os criminosos cibernéticos, tapando os buracos à medida que eles surgem, quando, em vez disso, deveriam estar descobrindo maneiras melhores de fechar seus cofres. A primeira etapa dessa tentativa deve ser uma boa política de controle de acesso.
O que é controle de acesso?
O controle de acesso determina quem tem permissão para entrar na rede da organização e quem pode acessar quais dados depois de entrar. Ele define uma hierarquia de níveis de acesso e permissões ou restrições para indivíduos, de modo que somente pessoas autorizadas possam acessar informações confidenciais.
Para usar uma analogia, se a sua empresa for como uma boate, o controle de acesso é o segurança. Ele verifica as identificações na porta, certifica-se de que não são falsas e deixa as pessoas entrarem. Depois de entrarem, ele define permissões adicionais. Por exemplo, a seção VIP provavelmente precisa de uma sub-lista separada; a equipe da cozinha pode precisar acessar a porta lateral; a caixa registradora só pode ser confiada a alguns dos funcionários de nível superior; e assim por diante. As complexidades se tornam exponenciais dependendo de quanto você precisa proteger. Criar e gerenciar esses requisitos de acesso abrangentes é o que faz uma política de controle de acesso.
Por que o controle de acesso é vital para a sua organização?
Ao implementar medidas de controle de acesso, as organizações podem proteger dados sensíveis ou confidenciais contra acesso, modificação ou divulgação não autorizados; cumprir requisitos legais e regulamentares; e reduzir o risco de ameaças internas. As medidas de controle de acesso também podem aumentar a responsabilidade e as investigações por meio do monitoramento e do registro de tentativas e ações de acesso.
Tipos de controles de acesso
Antes de implementar uma política de controle de acesso bem-sucedida em sua organização, é necessário conhecer os diferentes tipos de modelos disponíveis no mercado. Cada um dos modelos a seguir atende a um requisito específico.
Controle de acesso obrigatório (MAC): O acesso é concedido quando os rótulos de segurança dos dados coincidem com os do usuário. Se um usuário tiver um rótulo de segurança ultrassecreto, ele poderá acessar informações ultrassecretas. Isso funciona melhor em ambientes altamente restritos, como agências militares e de inteligência.
Controle de acesso baseado em função (RBAC): Esse modelo baseia-se no princípio do menor privilégio, o que significa que os usuários só têm acesso aos dados necessários para sua função. Funciona melhor para organizações de grande porte em que a atribuição de acesso individual pode ser um desafio. Todos os funcionários com a mesma função podem ter acesso concedido ou negado de uma só vez.
Controle de acesso discricionário (DAC): Os proprietários de dados podem definir políticas de acesso e conceder ou restringir o acesso com base em seus próprios critérios. Isso funciona melhor em organizações de pequeno porte em que há um nível mais alto de confiança entre os usuários.
Controle de acesso baseado em atributos (ABAC): O acesso aos dados é baseado em um conjunto de atributos dados a um usuário, como cargo, função, hora do dia ou local. Isso funciona melhor em setores como saúde ou finanças, onde há necessidade de políticas de controle de acesso mais granulares e flexíveis.
Como implementar uma política de controle de acesso que funcione melhor para você?
Seja qual for o modelo escolhido, sua implementação e aplicação envolvem as seguintes etapas:
Definir o escopo e identificar o modelo: Descubra quais dados são confidenciais para sua organização e precisam ser protegidos contra acesso, modificação ou divulgação não autorizados. Escolha um dos modelos mencionados acima com base no qual você desenvolverá sua política de controle de acesso.
Desenvolver uma política de controle de acesso: Desenvolva regras e procedimentos que regerão a forma como o acesso é concedido, modificado e revogado. Isso pode incluir autenticação, autorização e auditoria. Inclua políticas individuais que abranjam todas as suas necessidades de segurança, como senha, acesso físico, acesso remoto e políticas de auditoria.
Implementar as medidas de controle de acesso: Coloque sua política de controle de acesso em ação configurando contas de usuário, definindo permissões e ativando a auditoria. Certifique-se de que todos os usuários e administradores da política sejam treinados em suas funções e responsabilidades para segui-la e aplicá-la.
Monitorar e avaliar a política: Um ciclo de feedback para determinar a eficácia sempre ajuda. Analise os registros de acesso, realize avaliações de segurança e identifique as áreas em que a política talvez precise ser atualizada ou revisada.
A arte de simplificar o gerenciamento do controle de acesso
Seja um modelo DAC simples, um modelo RBAC mais complexo ou um modelo ABAC refinado, criar e gerenciar uma política de acesso não é uma tarefa fácil. Um pouco de ajuda vem muito a calhar. É aí que entra o ManageEngine DataSecurity Plus. Com ele, você pode localizar facilmente inconsistências de permissão, identificar arquivos superexpostos, verificar se o princípio do menor privilégio é mantido e muito mais. Saiba mais sobre seus recursos de análise de permissões aqui. Comece a usar o DataSecurity Plus hoje mesmo com uma avaliação gratuita de 30 dias.
Artigo original: Access granted: Mastering the art of permissions
