Segurança em TI

Em diversos ramos de atividades as áreas de TI precisam seguir as regulamentações pertinentes.

PCI

As empresas com transações envolvendo cartões de crédito devem seguir as regulamentações do PCI (PCI Security Standards Council).
A segurança que envolve essas transações exige um controle adequado, que impeça o uso indevido dos dados, sendo, portanto, de fundamental importância o controle das senhas de alto privilégio.

ISAE 3402

International Standard on Assurance Engagements (ISAE) No. 3402 regulamenta os relatórios sobre controles em uma organização de serviços que possam impactar as suas operações.

SOX

Para atender a Sarbanes-Oxley Compliance (SOX) o sistema conta com trilhas de auditoria, controle dos acessos, gravação das sessões, etc.

ISO 27000

International Organization for standardization (ISO).
Os controles do sistema, com o gerenciamento das senhas e controle de acesso faz parte do conjunto de requisitos e controles que visam minimizar riscos, que é o principal objetivo da ISO 27001.

Aplicações e Uso

Controle de senhas impessoais e privilegiadas

As empresas têm redes de computadores com uma grande quantidade de pontos de acesso impessoais e privilegiados.
Muitos desses pontos são críticos para a operação da empresa e por isso são alvos preferenciais de ataques externos ou apropriação indevida pelo pessoal interno.

    Controle

Esses pontos de acesso devem ser controlados, sabendo-se quantos são, o que fazem, qual a política a ser seguida, quem e como pode acessar, sob quais condições, etc.
O uso de um repositório central, com senhas criptografadas e armazenadas de forma segura, são a base desse controle.

    Redução do risco

Com o uso de senhas fortes e com trocas frequentes, e com o monitoramento de quem está fazendo o que, se reduz muito o risco de acesso indevido e, consequentemente dos danos oriundos desses acessos.

    Redução de custo

A gestão centralizada via um bom sistema de controle reduz os custos de operação, eliminando os controles manuais.

Controle de privilégios Windows

Os acessos como administrador são impessoais e é quase impossível ter um controle de acesso com segurança.
O sistema, no caso do Windows, pode se usar o processo de autenticação do AD (Active Directory).

Controle de privilégios Unix

Os acessos impessoais ao Unix também precisam de um sistema para garantir a segurança no seu gerenciamento.

Gerenciamento de senhas privilegiadas

Com senhas inventariadas é possível fazer o gerenciamento das mesmas e deus usos. É controlado quem faz o que e quando.

    Controle de acesso

Cada solicitação de acesso a senha ou solicitação de abertura de sessão só é autorizada, se atendidas as políticas de acesso definidas, passando por aprovação superior e múltipla custódia se for o caso.

    Auditoria

Todas as solicitações de acesso, justificativas de aprovação e autorizações superiores ficam registradas para posteriores trabalhos de auditoria.
As sessões efetuadas através do sistema ficam gravadas e podem ser consultadas para esclarecimentos de dúvidas quanto à operação.

    Auto atendimento

Os usuários que precisam de acesso podem solicitar no sistema as senhas ou as sessões e obtê-las passando pelas políticas de permissão de acesso, sem contato por telefone com outros colaboradores. Em caso de necessidade de autorização superior, esta é tratada através de “workflow” executado no sistema, ficando o registro de solicitações, justificativas e autorizações para posterior consulta da auditoria.

    Alertas

Conforme a política de segurança cada vez que uma senha é solicitada, o sistema pode notificar outros usuários que a senha está sendo usada. Nesse caso, se houver dúvida quanto a necessidade do acesso providências podem ser tomadas imediatamente.

    Acessos externos

Em caso de acessos externos, em que terceiros precisam de acesso à senha, essa deve ser enviada, passando pelas autorizações definidas na política de acesso, sem que o usuário que enviou tenha acesso à senha.