<p>Sem ter a pretensão de revolver, neste curto artigo, a enorme complexidade dos elementos que articulam para atender a esta visão “holística”, gostaria de convidar o leitor a refletir sobre os desafios do gerenciamento de privilégios nesse contexto do debate. Como poderemos constatar, a administração da identidade em geral e, em particular do privilégio, é pré-requisito fundamental para qualquer perspectiva de se introduzir um modelo de segurança autoconsciente de si e que possa distribuir tal consciência a todos os pontos sensíveis da estrutura da informação.</p>
<p>O amadurecimento dessa discussão sobre segurança holística ganhou contornos científicos a partir de 1999, quando se editou a norma BS 7799 e, quase duas décadas depois, encontra-se hoje traduzido em um complexo arcabouço de recomendações e princípios gerais de segurança que a Organização Internacional de Normalização (ISO) estabeleceu através da sua norma ISO 27002.</p>
<p>É claro que para atingir este modelo em sua plenitude (ou ao menos próximo dela) é importante que todas as soluções de segurança aplicadas ao ambiente sejam, por si, compatíveis com o conjunto e consistentemente imbricadas, formando um quadro coeso. Ocorre que o padrão contém 14 cláusulas de segurança relacionadas a um total de 35 categorias principais e nada menos que 114 tipos de controle.</p>
<p>Mas se o objetivo de uma organização é buscar um caminho prático para alcançar o cumprimento normativo da ISO 27002 e adotar as melhores práticas de segurança contidas na normativa, a implementação dos controles de processos de infraestrutura se aplicam à maioria das empresas e à maioria dos ambientes de informação com suas especificidades física e lógica.</p>
<p><strong>O Mapeamento de Ativos</strong><br />Neste contexto, o gerenciamento de acesso privilegiado e o gerenciamento de vulnerabilidades desempenham papéis fundamentais na aderência ao padrão ISO 27002 e representam, em muitos casos, o ponto de partida sistemático para o equacionamento da grande complexidade que ela envolve.</p>
<p>As soluções mais avançadas do mercado para esta finalidade abordam partes essenciais de 12 das cláusulas de controle de segurança, 29 categorias de controle de segurança e 74 dos controles de segurança estabelecidos no padrão. Estudos de caso da BeyondTrust mostram que, com este nível de abrangência, tais tecnologias de gerenciamento tornam muito mais segura e suave a passagem de uma situação de fragmentação da segurança para um cenário tendendo ao “holístico”.</p>
<p>As soluções efetivamente maduras de gestão da identidade e privilégio proporcionam o mapeamento sistemático dos ativos de segurança e seus atributos específicos frente à política de segurança. Entidades lógicas, dispositivos e usuários passam a ser administrados não só por nível de autorização de acesso mas também por suas peculiaridades expostas na política de segurança.</p>
<p>Os recursos de gerenciamento apontam a localização exata dos ativos, através de inventários centralizados, e garantem a supervisão de seu ciclo de vida e de acesso, além de seus padrões de comportamento, tarefas usuais executadas e níveis de vulnerabilidade histórica ou presumida.</p>
<p>Eles também monitoram, gerenciam e supervisionam os eventos de acesso ao longo de toda a estrutura, produzindo trilhas de tracking compatíveis com qualquer nível de auditoria, além de aferir a aplicação e a qualidade dos requisitos de criptografia empregados em eventos críticos.</p>
<p>Eles também embutem requisitos de segurança relacionados à atribuição de direitos, provisionamento e – o que é extremamente importante – de desprovisionamento de atributos após o término de sessões privilegiadas. E trazem amplo ferramental para gerenciamento de mudanças, incluindo alarmes, relatórios e documentação de referência sobre códigos maliciosos que são reforçados por ferramentas de varredura de vulnerabilidades on premise ou em nuvem.</p>
<p>Tudo isto atuando de forma articulada com recursos de automação do controle de acesso baseados em regras explicitamente definidas pela política de segurança.</p>
<p>Em tempos de automação dos ataques cibernéticos (seja através de botnets ou pela exploração de exércitos de zumbis), o atendimento aos requisitos da ISO 27002 só é viável efetivamente se houver uma inteligência de acesso capaz de identificar e auditar os agentes que comparecem ao longo dos processos de informação ou comunicação online para interagir com a estrutura de TI.</p>
<p>A dificuldade, já grande, de responder a este dilema aumenta exponencialmente quando levamos em consideração os processos de transformação digital dos negócios, que introduzem a utilização de aplicações de negócios efêmeras e nem sempre desenvolvidas, segundo os cânones de segurança de TI.</p>
<p>Em tal cenário, controlar a identidade e o privilégio através do emprego de tecnologias aderentes e de rápida implementação, pode se constituir, portanto, no “ponto de Arquimedes” que os gestores de segurança buscavam para iniciar ou avançar em sua jornada em direção à ISO 27002.<br /><br /><em>(*) Vice Presidente da BeyondTrust para a América Latina.</em></p>
