Até o momento, vimos alguns temas, definições de termos e exemplos diários de como o IAM é fundamental, para que nossas atividades do cotidiano sejam desenvolvidas de maneira segura.
Para uma Gestão de Acessos realmente efetiva precisamos de um “norte”, que pode ser encontrado através das principais normas, padrões e frameworks do mercado como CIS controls, NIST framework e a famosa ISO27001.
Entrando nessa seara, a elaboração de uma política de acesso na qual todos os usuários estejam à ela subordinados, torna-se fundamental para o apoio na definição e implementação de processos que dizem respeito à Gestão de Identidades e Acessos.
É na política onde o escopo será definido junto com suas regras.
Para facilitar os primeiros passos na construção de uma política de acessos, partindo do absoluto zero, podemos utilizar o método 5W1H, através das seguintes perguntas:
1.Quem pode acessar?
2.Quando pode acessar?
3.Onde pode acessar?
4.O que pode acessar?
5.Por que deve acessar?
6. Como deve acessar?
Uma política de acesso bem elaborada, traz consigo não somente a melhoria nos processos de Segurança da Informação, mas também benefícios colaborativos como o aumento da produtividade.
Para responder às perguntas anteriores, é necessário que um mapeamento seja realizado, contendo TODOS os sistemas e seus módulos, que serão acessados pelos usuários, quais são as áreas que acessam esses sistemas e ainda relacionar “quais áreas” acessam “quais sistemas”!
Para um analista de marketing, acessar o Instagram pode ser fundamental para o desenvolvimento de suas atividades publicitárias, que fazem parte do seu cotidiano e pertencem ao seu escopo de atuação.
Diferentemente de um analista de suporte, por exemplo, o qual não necessita desse acesso e sendo assim, não há necessidade de tê-lo, liberado!
Com a criação de uma política de acessos, definição do escopo, relacionamento de acessos X áreas, podemos então partir para outros aspectos mais técnicos de controle de acessos tais como RBAC, Acesso Condicional e BYOD por exemplo, os quais serão mais tangíveis de se construir e implementar, uma vez que as regras já foram estabelecidas na Política de Acessos, que será a nossa base para os próximos passos.
Temos então, um ponto de partida para a construção e aprimoramento dos demais controles.
Dica: Para te auxiliar nesse pontapé inicial, da construção da política de acessos, a norma ISO27001 dispõe do anexo A.9, no qual está inteiramente dedicado aos controles que devem fazer parte de uma Política de controle de acessos.
Texto 100% autoral
Instagram- @manadeinfosec