Segurança e TecnologiaMINDSEC
WEBINAR21/06/2017
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
09:00 to 09:10: Welcome09:10 to 09:20: Apresentação do case e dos desafios09:20 to 09:50: Discussão sobre o modelo RBAC e sua
implementação09:50 to 10:00: Perguntas e Respostas10:00: Encerramento
AGENDA
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
“Não podemos permitir que alguém saia de nossa presença sem se sentir melhor e mais feliz”
Madre Teresa de Calcutá
MOTIVAÇÃO
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
• Insiders / contractors are the most likely perpetrators of security incidents reported in South America. (PWC-2015)
• 57% of respondents consider employees the most likely source of an attack.(EY-2014)
• The majority of employees perpetrated their acts while in the office right under the noses of coworkers.(Verizon-2014)
• 72% of security incidents at financial services organizations involved a current or former employees.(PWC-2015)
• Third parties with trusted access were responsible for 41% of the detected security incidents at financial services organizations.(PWC-2015)
• 75% of Insider Intrusions are handled internally – without legal action or law enforcement.(CERT-US 2014)
• Most crimes by trusted parties (insider and privileged users) are perpetrated for financial or personal gain.(Verizon-2104)
• In US healthcare the top 3 perceived threat motivators were workers snooping on relatives/friends (80%), financial identity theft (66%), and identity theft (51%).(6th annual HIMSS)
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
2016 - KPMG Identity and Access Management in The Digital Age
MOTIVAÇÃO
CONTROLE DE ACESSOS MANUAL
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
Usuários
GerentesAprovadores
Analista de Segurança de TI
Dezenas de sistemas e aplicações sem
padronizaçãoou interconexão
Devido ao processo manual e ao alto workload gerado pelo processo de gestão de identidade e acesso, estima-se que 28% das empresas não adotam controles efetivos de gestão de acesso
N x
61% das ocorrências de Segurança são devidas a controles deficientes
Em empresa de grande porte, cada usuário pode chegar a ter 7 ou mais senhas diferentes
O Analista de Segurança, pode necessitar operar até 10 ou mais sistemas diferentes para requisição
Ao longo dos anos, os usuários acumulam perfis com acessos desnecessários e conflituosos difíceis de serem identificados.
1. Alto volume de trabalho
2. Demandas por email
3. Demandas sem Aprovações
4. Quem aprova?
5. Reconciliação muito difícil
5. Acúmulo de Acessos
6. Alta demanda de recurso para as Revisões Periódica
7. Problemas de Compliance
8. Visão limitada de acessos
9. Acessos persistentes após desligamentos
10. Ineficiência na gestão de perfis e aprovadores
DESAFIOS
O processo MANUAL de gestão de acesso traz vários desafios:
DEMANDA de CONTROLE de ACESSO
=
SISTEMAS X FUNCIONALIDADES X REQUISIÇÕES
“Todos pedem Acesso, mas ninguém pede para excluir”
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
GERENCIADOR DE IDENTIDADE E ACESSOS IDM
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
Gerenciador de
Identidade
Usuários
GerentesAprovadores
Analista de Segurança de TI
• Automatização da concessão e revogação de acessos;
• Automatização das solicitações de acessos;
• Gerenciamento de políticas de acesso;
• Relatórios de concessões por usuário;
• Automatização do processo de reset de senhas;
• Centralização das requisições;
• Workflow de autorização de acessos;
• Agilização do processo de concessão e revogação de
acessos;
• Unificação do processo de gestão de acesso;
• Administração por Perfil;
• Auditoria simplificada;
• Aplicação de regras de Compliance;
• Gerenciamento de Aprovadores;
• Produtividade do Analista de Segurança;
• Qualidade no controle de acessos....
1. Agilidade para o usuário
2. Workflow de requisições
3. Controle de Aprovações
4. Integração de sistemas
5. Reconciliação facilitada
BENEFÍCIOS DO IDM
6. Exclusão de Acessos imediata
7. Perfilamento
8. Revisão Periódica
9. Compliance
10. Produtividade
Usuários
Analista de Segurança de TI
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
1. Tecnologia madura
2. Processos bem mapeados
3. Implantação de cultura interna
4. Gestão de Perfis
5. Tratamento de Exceções
6. Tratamento de Terceiros
7. Registros de Logs e Monitoração
8. Políticas definidas
9. Envolvimento do usuário
10. Apoio Superior
PONTOS IMPORTANTES PARA O PROJETO DE IDM
Para uma boa implementação de IDM é necessário uma excelente estratégia de integração ao negócio:
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
ACESSO PRIVILEGIADO
1. IDM NÃO é feito para controle de acesso Privilegiado
2. AP demanda controle independente
3. AP possui requerimentos diferentes
4. AP Controla quem Controla
“Todos Amam o Poder e
Odeiam ser Controlados”
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
BUSINESS INFORMATION SECURITY OFFICER(BISO)
BISOFinanças
BISOCompras
BISORH
BISOComercial
Coordenador de Segurança da Informação
• Interlocutor de Segurança da Informação
nas áreas de Negócios
• Tem a função de Liderar todas as ações
de Segurança da Informação em sua
área
• Responsável por levantar as funções
necessárias dentro da sua área
• Valida e Aprova acessos funcionais
• “Owner” dos perfis relacionados a sua
área
• Revisa anualmente os perfis de acesso
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
PROPRIETÁRIO DE SISTEMA (SYSTEM OWNER)
• System Owner ou Proprietário
do sistema tem a função de
gerenciar o uso, as atualizações,
funcionalidade e autorizações a
um determinado sistema
Intranet
Sistema de Pagamento
Sistema de Crédito
Sistema de Compras
Conecta
IDM
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
ARMADILHA
≠ IDMFUNCIONALIDADE SISTÊMICA
GESTÃO DE USUÁRIOS E ACESSOS
PERFILFUNÇÃO DE NEGÓCIO
GESTÃO DE AUTORIDADE
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
PERFIL LOCAL x FUNÇÃO
• Solicita-se o Perfil e não Acesso
• Concede-se acesso por local e função, e não cargo
• Função é independe do cargo de RH
• Trata-se exceções em processo apartado
• Trata-se movimentações funcionais alterando-se o Perfil apenas
• Trata-se autoridade de acesso
• Trata-se autorizadores
RBAC – Role Based Access Control
Controle de acesso baseado em FUNÇÃO e não no CARGO do funcionário
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
IDM x PERFIL
Implementação do IDM Implementação do PerfilAtividade Técnica Atividade Processual
Analisa sistemas Analisa processos de negócios
Concede funcionalidades Técnicas Concede funções de negócios
Desenvolve e configura conexões Cria processos
Implementa controles Define os controles necessários
Recebe informações sistêmicas Define quais informações são relevantes
Executa funções pré-definidas Define o que, qual e quando usar as informações para concessão de acesso
Enxerga a arquitetura de sistemas Enxerga as funções de negócios
Integra sistema com RH Requer integridade nas informações de RH
Registra as operações executadas Define quais registros devem existir e como armazená-los
Atende a requisitos de compliance Implementa os controles de compliance
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
PERFIL LOCAL x FUNÇÃO PROCESSO
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
PRINCIPAIS FATORES DE FALHA
1. Planejamento longo, com demora nas primeiras entregas do projeto
2. Falha na fase de análise e desenho
3. Não usar as funcionalidade nativas do produto
4. Não prever o futuro
5. Não envolver as área de negócios no projeto
6. Subestimar a complexidade do projeto
7. Visão limitada dos processos do usuário
8. Achar que Perfil = Conjunto de Acesso
9. Limitar o projeto as entregas técnicas
10. “Vender” o projeto somente dentro de TI
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
PORTFÓLIO MINDSEC
Governance
• Gestão de Identidade • Perfilamento de Acesso• Escritório de Segurança• Vendor Security Management• BCP
SRM
•Penetration Test•Security Risk Assessment•Security Maturity Model•Planejamento estratégico•Políticas, Normas, Procedimentos e
Padrões
IDM, Endpoint, eMailGateway, Controle de Acesso Privilegiado, Network Security Policy Management & Firewall Sanitization)
Consultoria & Serviços Soluções
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
Perguntas?
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
BLOG
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
Obrigado
A MINDSEC inteligência em segurança da Informação!
[email protected] (11) 99494-4324
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
MINDSEC.COM.BR
Segurança e TecnologiaMINDSEC
contato : (11) 99494-4324 (Kleber)
Av. Dr. Chucri Zaidan, 920, 9º andarMarket Place - Tower ISão Paulo - São Paulo04583-904
Material de propriedade da MINDSEC Segurança e Tecnologia da Informação, não é permitido a reprodução total ou em partes sem prévia autorização
Top Related