Article image
Kédma Costa
Kédma Costa20/12/2022 16:49
Compartilhe

Controle de acesso nas organizações

    Em um mundo local, a segurança era relativamente simples porque o controle de

    acesso era bastante direto. Quando os sistemas de TI operam em ambientes isolados,

    mantê-los seguros é, em grande parte, um exercício para saber quem são seus

    clientes, parceiros e funcionários e, em seguida, gerenciar o acesso físico a vários

    sistemas. Em outras palavras, são as boas fechaduras e chaves antiquadas, junto com

    camadas adicionais de verificação de identidade do mundo real para pessoas com

    níveis mais altos de acesso. Nesse sentido Prof.ª Gisele, Professora de Negócios

    Eletrônicos na Unicesumar (2022), afirma que a segurança da Informação está

    diretamente ligada à proteção de dados. Como também não há segurança sem

    controle de acesso.

    Segundo Richard Bird, Membro Do Conselho Da Forbes (2022), os seres humanos

    costumam ser considerados o elo mais fraco da segurança cibernética - e, em grande

    parte, isso é verdade. E, na experiência dele, esse axioma perde o ponto principal:

    a razão pela qual a verdade é que a maioria das empresas não possui controle de

    acesso eficaz.

    A maioria das violações de dados é causada por erro humano, negligência ou falta de

    consciência, por exemplo, simplesmente clicando no link errado. Assim, é comum que os funcionários aumentem sua pegada digital sem estarem cientes dos riscos

    envolvidos.

    Embora treinar funcionários para pensar como hackers certamente torne sua empresa

    mais resistente a ataques cibernéticos, sempre há o risco de alguém ser

    comprometido. A maneira mais segura de limitar a exposição de sua organização a

    esses riscos é verificar se os controles adequados estão em vigor no nível individual,

    controlando o que as pessoas podem acessar, quando e como.

    Essa caracterização negativa da natureza humana está profundamente enraizada no

    setor de segurança cibernética. Como resultado, isso nos impede de falar sobre como

    envolver melhor as pessoas nos processos de segurança cibernética. Em contraste

    com a tecnologia e os processos técnicos, no entanto, as pessoas são inconsistentes e

    imprevisíveis. O problema do fator humano é complexo porque, por sua natureza,

    envolve uma séria discussão sociológica, psicológica e filosófica. Alejandro Leal -

    Kuppinger Cole Analysts AG (2022).

    Gerenciamento de acesso não é controle de acesso

    As empresas que não resolveram o problema do controle de acesso não estão apenas

    se colocando em risco, mas também estão subotimizando cada dólar gasto em

    segurança cibernética. De que adianta gastar um milhão de dólares em um firewall se

    os hackers podem passar por ele fingindo ser outra pessoa?

    Mas com o surgimento da nuvem e das APIs, as medidas de segurança tradicionais

    não são mais suficientes. Em vez disso, a segurança deve ser implementada em

    praticamente todos os pontos de contato entre os sistemas - uma tarefa difícil à medida

    que os sistemas se tornam profundamente interconectados e a complexidade da rede

    cresce.

    Controle de acesso obrigatório (Mandatory Access Control - MAC) – Considerado o

    mais rigoroso de todos os níveis de sistemas de controle de acesso. O design e a

    implementação do MAC são comumente usados pelo governo. Ele usa uma

    abordagem hierárquica para controlar o acesso a arquivos/recursos. Em um ambiente

    MAC, o acesso aos objetos de recursos é controlado pelas configurações definidas por

    um administrador do sistema. Isso significa que o acesso aos objetos de recursos é

    controlado pelo sistema operacional com base no que o administrador do sistema

    configurou nas configurações. Não é possível que os usuários alterem o controle de

    acesso de um recurso. O MAC usa “rótulos de segurança” para atribuir objetos de

    recursos em um sistema. Existem duas informações associadas a esses rótulos de segurança: classificação (alta, média, baixa) e categoria (departamento ou projeto

    específico – fornece “necessidade de saber”). Cada conta de usuário também recebe

    propriedades de classificação e categoria. Este sistema fornece aos usuários acesso a

    um objeto se ambas as propriedades corresponderem. Se um usuário tiver

    classificação alta, mas não fizer parte da categoria do objeto, ele não poderá acessar o

    objeto. O MAC é o controle de acesso mais seguro, mas requer um planejamento

    considerável e exige um alto gerenciamento do sistema devido à constante atualização

    de objetos e rótulos de contas. Sharon Shea (2013) - TechTarget Network Security

    Interessante - GhostSec é uma ramificação do Anonymous, que é mais conhecido

    como um coletivo de hackers. Ira Winkler, Araceli Treu Gomes (2007).

    Fontes:

    Ira Winkler, Araceli Treu Gomes, in Advanced Persistent Security, 2017.

    Sharon Shea (2013) - TechTarget Network Security

    BlueVoyant - NY, 2022.

    Security Magazine, 2021.

    2021 SECURITY REPORT / ©2021.

    It Started Out With A Phish - City of London Police, 2020.

    Referências bibliográficas utilizadas:

    M.E. Kabay, in Encyclopedia of Information Systems, 2003.

    Compartilhe
    Comentários (0)