A Gestão de Privilégio e a Norma de Segurança ISO 27002

Sem ter a pretensão de revolver, neste curto artigo, a enorme complexidade dos elementos que articulam para atender a esta...

Sem ter a pretensão de revolver, neste curto artigo, a enorme complexidade dos elementos que articulam para atender a esta visão "holística", gostaria de convidar o leitor a refletir sobre os desafios do gerenciamento de privilégios nesse contexto do debate. Como poderemos constatar, a administração da identidade em geral e, em particular do privilégio, é pré-requisito fundamental para qualquer perspectiva de se introduzir um modelo de segurança autoconsciente de si e que possa distribuir tal consciência a todos os pontos sensíveis da estrutura da informação. 

O amadurecimento dessa discussão sobre segurança holística ganhou contornos científicos a partir de 1999, quando se editou a norma BS 7799 e, quase duas décadas depois, encontra-se hoje traduzido em um complexo arcabouço de recomendações e princípios gerais de segurança que a Organização Internacional de Normalização (ISO) estabeleceu através da sua norma ISO 27002.  

É claro que para atingir este modelo em sua plenitude (ou ao menos próximo dela) é importante que todas as soluções de segurança aplicadas ao ambiente sejam, por si, compatíveis com o conjunto e consistentemente imbricadas, formando um quadro coeso. Ocorre que o padrão contém 14 cláusulas de segurança relacionadas a um total de 35 categorias principais e nada menos que 114 tipos de controle.

Mas se o objetivo de uma organização é buscar um caminho prático para alcançar o cumprimento normativo da ISO 27002 e adotar as melhores práticas de segurança contidas na normativa, a implementação dos controles de processos de infraestrutura se aplicam à maioria das empresas e à  maioria dos ambientes de informação com suas especificidades física e lógica.

O Mapeamento de Ativos

Neste contexto, o gerenciamento de acesso privilegiado e o gerenciamento de vulnerabilidades desempenham papéis fundamentais na aderência ao padrão ISO 27002 e representam, em muitos casos, o ponto de partida sistemático para o equacionamento da grande complexidade que ela envolve.

As soluções mais avançadas do mercado para esta finalidade abordam partes essenciais de 12 das cláusulas de controle de segurança, 29 categorias de controle de segurança e 74 dos controles de segurança estabelecidos no padrão. Estudos de caso da BeyondTrust mostram que, com este nível de abrangência, tais tecnologias de gerenciamento tornam muito mais segura e suave a passagem de uma situação de fragmentação da segurança para um cenário tendendo ao "holístico".

As soluções efetivamente maduras de gestão da identidade e privilégio proporcionam o mapeamento sistemático dos ativos de segurança e seus atributos específicos frente à política de segurança. Entidades lógicas, dispositivos e usuários passam a ser administrados não só por nível de autorização de acesso mas também por suas peculiaridades expostas na política de segurança. 

Os recursos de gerenciamento apontam a localização exata dos ativos, através de inventários centralizados, e garantem a supervisão de seu ciclo de vida e de acesso, além de seus padrões de comportamento, tarefas usuais executadas e níveis de vulnerabilidade histórica ou presumida.

Eles também monitoram, gerenciam e supervisionam os eventos de acesso ao longo de toda a estrutura, produzindo trilhas de tracking compatíveis com qualquer nível de auditoria, além de aferir a aplicação e a qualidade dos requisitos de criptografia empregados em eventos críticos.

Eles também embutem requisitos de segurança relacionados à atribuição de direitos, provisionamento e - o que é extremamente importante - de desprovisionamento de atributos após o término de sessões privilegiadas. E trazem amplo ferramental para gerenciamento de mudanças, incluindo alarmes, relatórios e documentação de referência sobre códigos maliciosos que são reforçados por ferramentas de varredura de vulnerabilidades on premise ou em nuvem. 

Tudo isto atuando de forma articulada com recursos de automação do controle de acesso baseados em regras explicitamente definidas pela política de segurança.

Em tempos de automação dos ataques cibernéticos (seja através de botnets ou pela exploração de exércitos de zumbis), o atendimento aos requisitos da ISO 27002 só é viável efetivamente se houver uma inteligência de acesso capaz de identificar e auditar os agentes que comparecem ao longo dos processos de informação ou comunicação online para interagir com a estrutura de TI.

A dificuldade, já grande, de responder a este dilema aumenta exponencialmente quando levamos em consideração os processos de transformação digital dos negócios, que introduzem a utilização de aplicações de negócios efêmeras e nem sempre desenvolvidas, segundo os cânones de segurança de TI.

Em tal cenário, controlar a identidade e o privilégio através do emprego de tecnologias aderentes e de rápida implementação, pode se constituir, portanto, no "ponto de Arquimedes" que os gestores de segurança buscavam para iniciar ou avançar em sua jornada em direção à ISO 27002.