Controle de acesso nas organizações
Em um mundo local, a segurança era relativamente simples porque o controle de
acesso era bastante direto. Quando os sistemas de TI operam em ambientes isolados,
mantê-los seguros é, em grande parte, um exercício para saber quem são seus
clientes, parceiros e funcionários e, em seguida, gerenciar o acesso físico a vários
sistemas. Em outras palavras, são as boas fechaduras e chaves antiquadas, junto com
camadas adicionais de verificação de identidade do mundo real para pessoas com
níveis mais altos de acesso. Nesse sentido Prof.ª Gisele, Professora de Negócios
Eletrônicos na Unicesumar (2022), afirma que a segurança da Informação está
diretamente ligada à proteção de dados. Como também não há segurança sem
controle de acesso.
Segundo Richard Bird, Membro Do Conselho Da Forbes (2022), os seres humanos
costumam ser considerados o elo mais fraco da segurança cibernética - e, em grande
parte, isso é verdade. E, na experiência dele, esse axioma perde o ponto principal:
a razão pela qual a verdade é que a maioria das empresas não possui controle de
acesso eficaz.
A maioria das violações de dados é causada por erro humano, negligência ou falta de
consciência, por exemplo, simplesmente clicando no link errado. Assim, é comum que os funcionários aumentem sua pegada digital sem estarem cientes dos riscos
envolvidos.
Embora treinar funcionários para pensar como hackers certamente torne sua empresa
mais resistente a ataques cibernéticos, sempre há o risco de alguém ser
comprometido. A maneira mais segura de limitar a exposição de sua organização a
esses riscos é verificar se os controles adequados estão em vigor no nível individual,
controlando o que as pessoas podem acessar, quando e como.
Essa caracterização negativa da natureza humana está profundamente enraizada no
setor de segurança cibernética. Como resultado, isso nos impede de falar sobre como
envolver melhor as pessoas nos processos de segurança cibernética. Em contraste
com a tecnologia e os processos técnicos, no entanto, as pessoas são inconsistentes e
imprevisíveis. O problema do fator humano é complexo porque, por sua natureza,
envolve uma séria discussão sociológica, psicológica e filosófica. Alejandro Leal -
Kuppinger Cole Analysts AG (2022).
Gerenciamento de acesso não é controle de acesso
As empresas que não resolveram o problema do controle de acesso não estão apenas
se colocando em risco, mas também estão subotimizando cada dólar gasto em
segurança cibernética. De que adianta gastar um milhão de dólares em um firewall se
os hackers podem passar por ele fingindo ser outra pessoa?
Mas com o surgimento da nuvem e das APIs, as medidas de segurança tradicionais
não são mais suficientes. Em vez disso, a segurança deve ser implementada em
praticamente todos os pontos de contato entre os sistemas - uma tarefa difícil à medida
que os sistemas se tornam profundamente interconectados e a complexidade da rede
cresce.
Controle de acesso obrigatório (Mandatory Access Control - MAC) – Considerado o
mais rigoroso de todos os níveis de sistemas de controle de acesso. O design e a
implementação do MAC são comumente usados pelo governo. Ele usa uma
abordagem hierárquica para controlar o acesso a arquivos/recursos. Em um ambiente
MAC, o acesso aos objetos de recursos é controlado pelas configurações definidas por
um administrador do sistema. Isso significa que o acesso aos objetos de recursos é
controlado pelo sistema operacional com base no que o administrador do sistema
configurou nas configurações. Não é possível que os usuários alterem o controle de
acesso de um recurso. O MAC usa “rótulos de segurança” para atribuir objetos de
recursos em um sistema. Existem duas informações associadas a esses rótulos de segurança: classificação (alta, média, baixa) e categoria (departamento ou projeto
específico – fornece “necessidade de saber”). Cada conta de usuário também recebe
propriedades de classificação e categoria. Este sistema fornece aos usuários acesso a
um objeto se ambas as propriedades corresponderem. Se um usuário tiver
classificação alta, mas não fizer parte da categoria do objeto, ele não poderá acessar o
objeto. O MAC é o controle de acesso mais seguro, mas requer um planejamento
considerável e exige um alto gerenciamento do sistema devido à constante atualização
de objetos e rótulos de contas. Sharon Shea (2013) - TechTarget Network Security
Interessante - GhostSec é uma ramificação do Anonymous, que é mais conhecido
como um coletivo de hackers. Ira Winkler, Araceli Treu Gomes (2007).
Fontes:
Ira Winkler, Araceli Treu Gomes, in Advanced Persistent Security, 2017.
Sharon Shea (2013) - TechTarget Network Security
BlueVoyant - NY, 2022.
Security Magazine, 2021.
2021 SECURITY REPORT / ©2021.
It Started Out With A Phish - City of London Police, 2020.
Referências bibliográficas utilizadas:
M.E. Kabay, in Encyclopedia of Information Systems, 2003.