Subir Archivo

usuário com privilégios · além disso, mecanismos separados para a governança de usuários...

  • Home
  • Documents
  • Usuário com privilégios · Além disso, mecanismos separados para a governança de usuários regulares e com privilégios introduzem riscos, ... contextuais com base em riscos,
6
RESUMO EXECUTIVO | NOVEMBRO DE 2016 Como temos visto em muitas manchetes ultimamente, as violações continuam causando grandes danos financeiros e à reputação para muitas empresas importantes. Um relatório recente preparado por um analista mostra que as violações típicas custam para a organização US$ 4 milhões no total, o que representa US$ 158 por violação de registro de usuário. Outros estudos têm mostrado de modo consistente que a causa-raiz da maioria das violações é o roubo de credenciais de usuários com privilégios. Com a predominância desses ataques, a necessidade de controlar o acesso a contas com privilégios aumentou em termos de importância. No entanto, não basta controlar o que um usuário com privilégios pode fazer. Até mesmo as organizações que têm soluções eficazes de gerenciamento de acesso com privilégios enfrentam dificuldades para controlar continuamente o acesso de usuários com privilégios. Além disso, mecanismos separados para a governança de usuários regulares e com privilégios introduzem riscos, aumentam a complexidade do gerenciamento e reduzem a visibilidade da organização sobre o contexto completo de identidades. As organizações precisam de uma abordagem unificada para a governança de acesso entre todos os usuários. Gerenciar usuários com privilégios é um processo essencial e contínuo. Primeiro, você deve detectar onde estão suas contas de administrador e eliminar as contas órfãs e os privilégios inadequados. Depois, é necessário aplicar diretivas de privilégios mínimos para esses usuários e eliminar contas compartilhadas — é o chamado PAM (Privileged Access Management - Gerenciamento de Acesso com Privilégios). Por fim, você deve controlar o acesso com privilégios para evitar o acúmulo de direitos e garantir que os usuários realmente precisam dos privilégios elevados que eles têm. Se qualquer um desses recursos essenciais for ineficaz ou estiver ausente, o risco geral de violação ou ameaça interna aumentará significativamente. Contas com privilégios — por que nos preocupamos? Governança de usuários com privilégios — a chave para a proteção eficaz contra violações O ciclo de vida do gerenciamento de usuários com privilégios

Upload: vohuong

Post on 05-Jan-2019

213 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Usuário com privilégios · Além disso, mecanismos separados para a governança de usuários regulares e com privilégios introduzem riscos, ... contextuais com base em riscos,

RESUMO EXECUTIVO | NOVEMBRO DE 2016

Como temos visto em muitas manchetes ultimamente, as violações continuam causando grandes danos financeiros e à reputação para muitas empresas importantes. Um relatório recente preparado por um analista mostra que as violações típicas custam para a organização US$ 4 milhões no total, o que representa US$ 158 por violação de registro de usuário. Outros estudos têm mostrado de modo consistente que a causa-raiz da maioria das violações é o roubo de credenciais de usuários com privilégios.

Com a predominância desses ataques, a necessidade de controlar o acesso a contas com privilégios aumentou em termos de importância. No entanto, não basta controlar o que um usuário com privilégios pode fazer. Até mesmo as organizações que têm soluções eficazes de gerenciamento de acesso com privilégios enfrentam dificuldades para controlar continuamente o acesso de usuários com privilégios. Além disso, mecanismos separados para a governança de usuários regulares e com privilégios introduzem riscos, aumentam a complexidade do gerenciamento e reduzem a visibilidade da organização sobre o contexto completo de identidades. As organizações precisam de uma abordagem unificada para a governança de acesso entre todos os usuários.

Gerenciar usuários com privilégios é um processo essencial e contínuo. Primeiro, você deve detectar onde estão suas contas de administrador e eliminar as contas órfãs e os privilégios inadequados. Depois, é necessário aplicar diretivas de privilégios mínimos para esses usuários e eliminar contas compartilhadas — é o chamado PAM (Privileged Access Management - Gerenciamento de Acesso com Privilégios). Por fim, você deve controlar o acesso com privilégios para evitar o acúmulo de direitos e garantir que os usuários realmente precisam dos privilégios elevados que eles têm. Se qualquer um desses recursos essenciais for ineficaz ou estiver ausente, o risco geral de violação ou ameaça interna aumentará significativamente.

Contas com privilégios — por que nos preocupamos?

Governança de usuários com privilégios — a chave para a proteção eficaz contra violações

O ciclo de vida do gerenciamento de usuários com privilégios

Page 2: Usuário com privilégios · Além disso, mecanismos separados para a governança de usuários regulares e com privilégios introduzem riscos, ... contextuais com base em riscos,

ca.com/br2 | RESUMO EXECUTIVO | NOVEMBRO DE 2016

No portfólio de segurança da CA, a aplicação é realizada com o CA Privileged Access Manager; o processo de detecção/governança é fornecido pelo CA Identity Suite.

Governança de usuários com privilégios é o processo de garantir que todos os usuários de contas com privilégios obtenham e mantenham o nível apropriado de acesso a essas contas e credenciais. Esse processo tornou-se muito mais desafiador recentemente, pois a implantação dos aplicativos é mais diversificada (no local, na nuvem) e porque os relacionamentos dos usuários são mais dinâmicos com os parceiros e prestadores de serviços que vêm e vão com frequência e temporariamente. No entanto, a governança de usuários com privilégios é um recurso essencial, pois seus auditores solicitarão comprovações de que cada usuário de uma conta com privilégios tem a devida autorização; sem uma governança eficaz, você não será aprovado na auditoria.

Muitas organizações contam com processos para controlar o acesso de usuários regulares, mas não têm nenhum método (ou um método diferente) para controlar o acesso com privilégios. Isso resulta em um silo de segurança que aumenta o risco de excesso de direitos, principalmente entre usuários com privilégios. Os benefícios de integrar uma solução de PAM e uma plataforma de governança incluem:

• Um único ponto de controle para gerenciar identidades entre todos os usuários

• Facilidade de inclusão e exclusão de todos os usuários por todo o ambiente corporativo estendido

• Mais visibilidade do acesso com privilégios entre todos os usuários

• Redução dos riscos de excesso de direitos ou de violações de SoD (Segregation of Duties - Segregação de Tarefas)

• Processos comuns para a solicitação/aprovação/certificação de acesso para todos os usuários

https://www.linkedin.com/company/ca-technologies
http://blogs.ca.com/
https://twitter.com/CAInc
http://www.ca.com/br
Page 3: Usuário com privilégios · Além disso, mecanismos separados para a governança de usuários regulares e com privilégios introduzem riscos, ... contextuais com base em riscos,

3 | RESUMO EXECUTIVO | NOVEMBRO DE 2016

Principais recursos da governança de usuários com privilégios

Para reduzir os riscos, deve-se conceder acesso aos usuários com privilégios com base no princípio de privilégios mínimos, ou seja, o acesso mínimo necessário para que eles realizem suas funções. Há quatro fases no ciclo de vida de um usuário com privilégios que são relevantes para a governança: quando ele é provisionado inicialmente, quando solicita acesso adicional, quando seu acesso é certificado e quando ele é desprovisionado. Todos esses são pontos de controle importantes para garantir a aplicação dos privilégios mínimos.

• Provisionamento e desprovisionamento de acesso. O provisionamento deve ser automatizado com fluxos de trabalho de aprovação flexíveis e deve permitir o acesso temporário para indivíduos específicos. O desprovisionamento imediato é fundamental, pois, quase sempre, o usuário com privilégios que está saindo pode guardar algum rancor contra a empresa. Além disso, é necessário remover os direitos por tempo limitado a fim de evitar a proliferação de credenciais com privilégios.

• Solicitações de acesso. Isso ocorre quando as verificações apropriadas são realizadas para validar se um determinado usuário realmente precisa de acesso a uma conta confidencial e se a solicitação não viola nenhuma diretiva de segurança estabelecida.

• Certificação de acesso. Os gerentes precisam certificar os direitos de seus funcionários. Mas apenas automatizar o processo não é o suficiente. É necessário que as informações sejam fornecidas ao certificador a fim de ajudá-lo a tomar uma decisão mais fundamentada sobre o fato de o acesso de cada usuário ainda ser válido. São as informações contextuais sobre o usuário e seu acesso que trazem insights importantes para o processo de certificação.

Integrar o CA Identity Suite com o CA PAM (CA Privileged Access Manager) fornece provisionamento e desprovisionamento automatizados do acesso a contas com privilégios, em conjunto com o gerenciamento de grupos e funções de todos os usuários com privilégios. A ampla integração possibilita um controle mais granular das funções com privilégios, dos grupos, das datas de início/fim e de outros atributos dos usuários com privilégios. O acesso com privilégios pode ser provisionado por tempo limitado, de modo que seja possível conceder credenciais temporárias e removê-las automaticamente em uma data e um horário específicos.

O processo de solicitar acesso com privilégios é um fato comum. Para aumentar a produtividade, a experiência de usuário (para o solicitante e o aprovador) deve ser simples e conveniente. O mais importante é que o acesso que viola diretivas de segurança, por exemplo, uma violação de SoD (Segregation of Duties - Segregação de Tarefas), deve ser impedido automaticamente sem depender do aprovador para que este reconheça essas violações.

O CA Identity Suite fornece uma abordagem exclusiva de governança que ajuda a garantir a aplicação de privilégios mínimos e proporciona uma experiência rica e de fácil utilização tanto para solicitantes quanto para aprovadores. Essa abordagem reduz os riscos por meio de três recursos principais:

• Catálogo de direitos corporativos. Todos os direitos e sistemas podem ser mapeados de nomes de TI para termos de negócios que o usuário consegue reconhecer mais facilmente a fim de ajudar a simplificar significativamente as solicitações, aprovações e certificações.

Provisionamento de acesso — concedendo acesso a contas com privilégios

Solicitações de acesso — evitando direitos inadequados

ca.com/br

https://www.linkedin.com/company/ca-technologies
http://blogs.ca.com/
https://twitter.com/CAInc
http://www.ca.com/br
Page 4: Usuário com privilégios · Além disso, mecanismos separados para a governança de usuários regulares e com privilégios introduzem riscos, ... contextuais com base em riscos,

4 | RESUMO EXECUTIVO | NOVEMBRO DE 2016

• Verificações de SoD. Todas as solicitações são verificadas automaticamente quanto à conformidade com as diretivas de SoD. Isso é muito importante para os usuários com privilégios, pois o nível de acesso deles já é muito alto. Sendo assim, é necessário evitar combinações inadequadas de direitos.

• Análise de riscos com base em contexto. Muitas vezes, uma solicitação de acesso representa um risco além do normal, até mesmo para um usuário com privilégios. Por exemplo: à medida que um usuário acumula acesso a várias contas com privilégios, o risco de cada acesso aumenta porque essa pessoa eventualmente pode ter mais acesso do que realmente precisa. O CA Identity Suite calcula uma pontuação de risco para cada solicitação de acesso com base em uma série de fatores, tais como a confidencialidade do recurso, a função do usuário, se outros usuários com a mesma função têm esse acesso etc. O aprovador pode avaliar esse nível de risco e os motivos dele para tomar uma decisão mais bem fundamentada. O gráfico a seguir destaca esse fluxo de processo para o processo de solicitação de acesso.

Embora o gerenciamento de riscos seja o principal direcionador por trás do aumento de ênfase no controle e na governança de usuários com privilégios, a qualidade da experiência do usuário é algo essencial. O CA Identity Suite proporciona uma experiência de usuário simples, intuitiva e orientada aos negócios que simplifica todo o processo de solicitação de acesso. O acesso é solicitado por meio de um modelo de carrinho de compras familiar, e os termos complexos de TI são mapeados para termos mais conhecidos por meio do catálogo de direitos corporativos. A interface também pode ser localizada para que o solicitante e o aprovador possam trabalhar em seus próprios idiomas nativos. Esses recursos ajudam a aumentar a produtividade e a satisfação, além de reduzir o risco geral dos direitos com privilégios inadequados.

ca.com/br

https://www.linkedin.com/company/ca-technologies
http://blogs.ca.com/
https://twitter.com/CAInc
http://www.ca.com/br
Page 5: Usuário com privilégios · Além disso, mecanismos separados para a governança de usuários regulares e com privilégios introduzem riscos, ... contextuais com base em riscos,

5 | RESUMO EXECUTIVO | NOVEMBRO DE 2016

Certificação de acesso — eliminando direitos desnecessários

A certificação de acesso é uma etapa essencial na governança eficaz de todos os usuários, mas principalmente dos usuários de contas com privilégios. As empresas precisam de uma forma simples e conveniente de garantir que todo o acesso às contas com privilégios seja periodicamente (e frequentemente) certificado para confirmar se ele ainda é necessário.

Geralmente, há dois desafios nesse processo com os quais as soluções existentes não conseguem lidar:

• Esgotamento da certificação. Talvez os gerentes tenham de certificar tantas pessoas que acabem optando pelas aprovações em massa, sem dar a devida atenção para os requisitos de acesso de cada usuário individualmente.

• Informações contextuais inadequadas. Talvez seja solicitado apenas que os gerentes certifiquem o acesso de um usuário, sem que sejam fornecidas informações adicionais sobre o risco relativo desse acesso. O resultado? Uma decisão de certificação insatisfatória e pouco fundamentada.

O CA Identity Suite soluciona o primeiro problema proporcionando uma experiência rica, personalizável e de fácil utilização para os usuários. As informações sobre cada usuário e seu acesso podem ser apresentadas e agrupadas de acordo com as preferências de cada certificador. Além disso, o CA Identity

Suite pode exibir informações sobre as ações anteriores da campanha de certificação, o que ajuda a simplificar todo o processo, principalmente se forem esperadas algumas mudanças. Em resumo, a certificação de acesso deixa de ser uma tarefa complexa e passa a ser uma operação simples que pode ser executada com facilidade e que reduz os riscos.

A solução também fornece informações contextuais com base em riscos, o que ajuda os gerentes a concentrarem sua atenção no nível de risco do acesso de cada usuário. Por exemplo, um privilégio de acesso

particularmente arriscado é destacado para o certificador, de modo que os erros de certificação não intencionais possam ser drasticamente reduzidos.

A certificação de acesso está no cerne da governança eficaz de usuários com privilégios, mas não precisa ser o processo árduo e demorado que costuma ser. Uma experiência de usuário intuitiva e com foco nos negócios pode ajudar a simplificar esse processo, aumentar a satisfação dos usuários e eliminar os erros de certificação provenientes da falta de atenção.

Figura A.

A captura de tela destaca o uso da pontuação de risco durante o processo de aprovação. Neste caso, o usuário já tem um nível de risco igual a 400 com base nos direitos de acesso que ele já tem. A nova solicitação de acesso faz com que a pontuação de risco chegue a 550, possivelmente com base na confidencialidade do recurso ou em outros fatores relacionados a esse solicitante. Neste caso, o aprovador pode facilmente compreender o nível de risco dessa solicitação e depois aceitar, rejeitar ou delegar essa solicitação de modo apropriado a fim de estabelecer a diretiva de segurança. O resultado disso é uma decisão de acesso com muito mais qualidade e a redução dos riscos.

ca.com/br

https://www.linkedin.com/company/ca-technologies
http://blogs.ca.com/
https://twitter.com/CAInc
http://www.ca.com/br
Page 6: Usuário com privilégios · Além disso, mecanismos separados para a governança de usuários regulares e com privilégios introduzem riscos, ... contextuais com base em riscos,

6 | RESUMO EXECUTIVO | NOVEMBRO DE 2016

A CA Technologies (NASDAQ: CA) cria software que acelera a transformação das empresas e permite que elas aproveitem as oportunidades da economia dos aplicativos. O software está no cerne de todas as empresas, em todos os setores. Do planejamento ao desenvolvimento e do gerenciamento à segurança, a CA está trabalhando com empresas de todo o mundo para mudar a maneira como vivemos, fazemos negócios e nos comunicamos – usando dispositivos móveis, as nuvens privada e pública e os ambientes distribuídos e de mainframe. Obtenha mais informações em ca.com/br.

Conecte-se à CA Technologies em ca.com/br

1 Ponemon Institute, "2016 Cost of Data Breach Study: Global Analysis", junho de 2016

© Copyright 2016 CA. Todos os direitos reservados. Todas as marcas registradas, os nomes de marca, as marcas de serviço e os logotipos aqui mencionados pertencem a suas respectivas empresas. CS200-234375_1116

Benefícios da governança de identidades com privilégios

O CA Identity Suite é integrado ao CA Privileged Access Manager para fornecer provisionamento, desprovisionamento e governança de acesso a contas com privilégios por toda a empresa. Esses recursos fornecem inúmeros benefícios muito importantes para ajudar as organizações a:

Aumentar a segurança: a solução fornece visibilidade para ajudar a identificar e corrigir acessos inadequados ou redundantes para usuários com privilégios e aplica diretivas de SoD, possibilitando que os gerentes analisem e certifiquem o acesso de cada um dos usuários com privilégios com rapidez e facilidade.

Simplificar a conformidade: controlar o acesso com privilégios é um elemento importante de muitos regulamentos. Por esse motivo, uma solução eficaz é essencial para o sucesso nas auditorias. Normas, como a ISO 27002 (seções 8.1.2, 9.2.5), a PCI DSS (Payment Card Industry Data Security Standard) entre outras, incluem especificamente os requisitos para a governança de acesso com privilégios.

Eliminar silos: implementar soluções de governança separadas para o acesso com e sem privilégios pode criar deficiências não intencionais em sua estratégia de segurança cibernética. Uma única abordagem de governança promove consistência e reduz os riscos.

Para obter mais informações, leia o e-book, "Gerenciamento e governança de identidades na nova empresa aberta".

http://www.ca.com/br
https://plus.google.com/+CATechnologies/posts
http://www.ca.com/br
https://www.ca.com/br
https://www.facebook.com/CATechnologies
https://www.linkedin.com/company/ca-technologies
https://twitter.com/CAInc
https://www.youtube.com/user/catechnologies
http://blogs.ca.com/
http://www.slideshare.net/CAinc
https://www.ca.com/br/collateral/ebook/managing-and-governing-identities-in-the-new-open-enterprise.register.html

Direito Tributário I Administração Tributária. Garantias e Privilégios do Crédito Tributário

As Elevadas Posições e Privilégios Concedidos aos Cristãos..., por A. W. Pink

LEI COMPLEMENTAR Nº 15, DE 12 DE DEZEMBRO DE 2005. … · garantias e privilÉgios do crÉdito tributÁrio garantias e privilÉgios do crÉdito tributÁrio art. 246 titulo iv administraÇÃo

Slide 1. Slide 2 RISCOS AMBIENTAIS RISCOS NATURAISRISCOS SOCIAISRISCOS TECNOLÓGICOS RISCOS FÍSICOS RISCOS BIOLÓGICOS RISCOS GEOLÓGICOS RISCOS ATMOSFÉRICOS

HELOISA VITAL DOMINGOS NICOLLI …...2 CONCEITOS EM GEOLOGIA DE ENGENHARIA Riscos Ambientais Riscos Sociais Riscos Tecnológicos Riscos Naturais Riscos Físicos Riscos Biológicos

Privilégios ao Longo da História e o Princípio da Igualdade · Revista Virtual Direito Brasil – Volume 4 – nº 2 - 2010 1 Privilégios ao Longo da História e o Princípio

W2 Aconteceu no Outono - visionvox.com.br02... · Lisa Kleypas Aconteceu Aconteceu nonnoono outono outono outono Resumo: Quatro jovens damas se introduzem na sociedade londrina com

Garantias privilégios e administração tributária

PRIVILÉGIOS DE SER CRISTÃO VERDADEIRO Atos 6:8-15 e 7:54-60

Cristina Patriota Língua Portuguesa. DEFINIÇÃO: Aqueles que representam nomes já mencionados anteriormente e com os quais se relacionam. Introduzem as

RESUMO - anpad.org.br · atividades de valor agregado que, constantemente, introduzem novos materiais e elementos. Estas redes podem existir simplesmente para a troca de informações

OS PRIVILÉGIOS DA FAZENDA PÚBLICA EM JUÍZO

PRIVILÉGIOS ou PREFERÊNCIAS DO CRÉDITO TRIBUTÁRIO

Das Preferências e Privilégios Creditórios

RISCOS PROFISSIONAIS. RISCOS PROFISSIONAIS RISCOS = CONDIÇÕES INSEGURAS A)RISCOS DE OPERAÇÃO = SEGURANÇA DO TRABALHO - MÁQUINAS DESPROTEGIDAS - PISOS

Representantes do Estado nas Relações Internacionais Privilégios e imunidades

Privilégios dos cidadãos da cidade do Porto

Da caDeia significante à constelação De letras: os ... · Lacan indica que esses significantes emblemáticos introduzem um modo de identificação diferente ... suscita nela e

IMEDIAÇÕES DE PELOTAS: 110 DE MARÇO DE 2005. …enapet.ufsc.br/anais/imediacoes_de_PELOTAS_1_10_DE_MARCO_DE_2005... · De acordo com CRUTZEN et al. (1979) os incêndios introduzem

O CRESCENTE AUMENTO DOS PODERES E PRIVILÉGIOS DA TRIBUTAÇÃO A REVOGAÇÃO DO ART. 739-A DO CPC

CINDÍNICOS · 2019. 7. 16. · RISCOS 4 Associação Portuguesa de Riscos, Prevenção e Segurança Riscos Hidrometeorológicos Os riscos hidrológicos e, em certos casos, os riscos

INFRAESTRUTURA DE GERENCIAMENTO DE PRIVILÉGIOS (Privilege Management Infrastructure) CERTIFICADO DE ATRIBUTOS

Metabolismo do fármaco Reações de biotransformação –Reações de funcionalização da fase I Principalmente no Retículo Endoplasmático Introduzem ou expõem

TECNOLOGIAS DIGITAIS DA COMUNICAÇÃO E … · ... que indique mudanças no fazer ... Introduzem-se tecnologias sem verdadeiramente ... observava a pobreza de experiências que caracteriza

os privilégios e os abusos da nobreza em um período de transição

EDUCAÇÃO ESCOLAR NA ÉPOCA DO IMPÉRIO · PDF filee tratou de acomodá-la, onde fosse possível, aos seus direitos ou privilégios, os mesmos privilégios que tinham sido, no Velho

PROVAS DE INGRESSO - ipv.ptde concurso nacional e locais e aos pares estabelecimento/curso do ensino superior privado objeto de concursos institucionais, que introduzem alterações

Privilégios de processos no OpenSolaris

Panorama da arbitragem na França e na Itália. Perspectiva ... · linha os legisladores nacionais introduzem periodicamente alterações as disposições em matéria da ... enquanto

164 - core.ac.uk · O desaparecimento gradual dos diferentes reflexos básicos revela, em termos de desenvolvimento, que as estruturas superiores, nomeadamente o ... e introduzem-se

Os 7 Privilégios de Adão e suas duas Responsabilidades(Gn 2:7-10;2:19-25)

A FACE OCULTA DOS PRIVILÉGIOS CREDITÓRIOS de Mestrado...A FACE OCULTA DOS PRIVILÉGIOS CREDITÓRIOS: REFLEXÃO CRÍTICA SOBRE A SUA INTERVENÇÃO NO CONCURSO DE GARANTIAS REAIS “The

ASSISTENTE SOCIAL - Qconcursos.com · Seriam as novas redes de relacionamento ... Na frase: “[...] Tornamo-nos, ... os dois termos em destaque introduzem orações

PLANOS DE EDUCAÇÃO E AÇÕES ARTICULADAS · que introduzem e contextualizam temas importantes da política educa-cional contemporânea, ... No final de dezembro de 2010, ... Cultura

asapol.netasapol.net/asapol/legislacao/new/Código Processo Trabalho.pdf1 - Com o presente diploma, introduzem-se inovações na disciplina processual do direito do trabalho. O actual