Mesmo naquelas empresas mais organizadas, e para as quais TI é um aspecto altamente crítico, ainda é pouco comum a prática de controles efetivos sobre as credenciais privilegiadas.
Em outras palavras, até mesmo nos grandes bancos, operadoras de telecom e repartições centrais dos governos, ainda é comum existir uma quantidade desconhecida de senhas, procedimentos de privilégio ou algoritmos que dão acesso a um indivíduo para que ele manipule, ou visualize, toda a sorte de dados, aplicações de negócios e ferramentas de processo no ambiente de TI.
As credenciais privilegiadas, em grande parte produzidas e utilizadas sem controle, são dispensadas de qualquer restrição de acesso, e liberam o usuário para ações em sistemas críticos, quase sempre sem qualquer supervisão ou registro.
Com essa salvaguarda lógica, uma pessoa ou aplicação pode alterar configurações, instalar ou desinstalar programas , mudar os parâmetros de segurança, ativar ou desativar ferramentas, visualizar o que quiser e ainda adulterar apagar os logs que permitiriam seu mapeamento reverso.
Ao se habilitar com uma senha de acesso a dados, o usuário ganha, compulsoriamente, poderes para acessar até 98% do ambiente tecnológico de uma empresa, segundo levantamento da Lieberman, uma das lideres globais em tecnologia de controle de privilégio.
Estamos falando, nesse caso, de acesso direto a servidores Windows, Linux, mainframe, diretórios, roteadores, aplicações de negócio, bases de dados e sistemas de infraestrutura, backup e etc. Por aí, podemos ter uma ideia do alto custo desses descontrole.
Como é comum acontecer, explicações para tal descontrole existem para todos os gostos. Em primeiro lugar, está o dinamismo e a rapidez com que a TI avança, abarca mais funções e mais pessoas, e vai ganhando uma complexidade que tende naturalmente pra o descontrole.
Assim, quando um gestor se dá conta, a situação já está instalada e, quanto mais robusto o ambiente, maior a dificuldade de se dar um freio de arrumação.
Por diferente que possa ser o diagnóstico, o certo que o gestor de TI enfrenta, desde sempre, um dilema muito difícil: como negar sistematicamente o acesso – ou atrasá-lo pelo prazo necessário – quando um funcionário da empresa (ou mesmo um terceirizado) necessita imediatamente interagir com a estruturara de TI para garantir o funcionamento do negócio?
Vejamos o caso da operadora de telecom, que é uma situação típica. É viável regular estritamente o acesso, sem comprometer serviços de ativação, assistência técnica e garantias de SLA que envolvem milhares ou até dezenas de milhares de aplicações e pessoas?
É para enfrentar esse dilema que equipes de especialistas brasileiros da NetBR, com apoio de companhias como Lieberman, ObserveIT, Balabit e Viewfinity, vêm trabalhando há cinco anos na construção de uma estratégia de controle de privilégio baseada em ferramentas e práticas cujo sucesso já e atestado no Brasil por alguns bancos e operadoras de telecom, hoje reconhecidas como vanguarda mundial no assunto.
Ao longo desse processo, constatou-se uma dificuldade extra na solução do problema, ao se ressaltar que não somente pessoas acessam contas privilegiadas. Dentro de uma organização, é muito provável que existam múltiplas aplicações configuradas para acessar bases de dados, mainframe, servidores e outros sistemas críticos utilizando credenciais privilegiadas.
Um dos clientes brasileiros comenta que optou por não mudar as senhas de suas credencias privilegiadas devido à dificuldade de atualizar as aplicações de negócio.
A preocupação do cliente era a de, ao propagar a nova senha para as diversas aplicações, poderia haver uma paralisação do sistema, ou de parte do sistema, por conta de alguma senha esquecida ao longo do tempo. Preocupação esta que decorre da grande falta de visibilidade das empresas em relação a que senhas existem, quem são seus usuários, grupos de acesso, credencias, contas, etc…
Preocupação, portanto, muito pertinente. Mas a experiência recente mostra que há saída e que ela pode ser adaptar às circunstâncias da empresa. Ou seja, as novas práticas e ferramentas de controle podem ser implementadas em curto prazo – a custa de alto investimento e rigoroso controle de riscos – ou ir sendo implementadas de forma gradual, com medição de ganhos a cada passo, de modo a justificar o investimento paulatino à luz das métricas de ROI.
É papel da consultoria, nessa área, garantir os seguintes requisitos:
1 – Identificar, rastrear e produzir um inventário completo das contas privilegiadas que estão ativas em seu ambiente
2 – Fazer cumprir as normativas de segurança e políticas avançadas de senhas com troca de senhas randômicas, de forma periódica.
3 – Controlar o acesso e ter certeza de que somente o pessoal autorizado terá acesso aos sistemas críticos.
4 – Implementar a monitoração, quando um sistema crítico está sendo acessado, sob visão de Segurança e de Nível de Serviço.
5 – Apresentar uma solução que seja transparente ao ambiente, á operação e, principalmente, ao Negócio.
André Facciolli, diretor da NetBR