Buscar
  • Paulo Tavares

Gestão de acesso de colaboradores, Segurança da Informação e Privacidade




O caso de Juliana Barile


Em junho de 2021, Juliana Barile foi demitida de uma empresa de crédito. Após sua demissão, um colaborador da empresa pediu ao departamento de TI para desativar o acesso à rede de Barile, mas o pedido não foi atendido. Barile então acessou o banco de dados da empresa e apagou 21,3 GB de dados, incluindo pedidos de empréstimo hipotecário e outras informações sensíveis. Sua pequena vingança não só criou um enorme risco de segurança para o banco, mas aos clientes também, que dependiam dos documentos que foram excluídos e das aprovações para quitar seus empréstimos.


Gestão de Acessos


O caso da Juliana Barile nos faz refletir sobre a importância da gestão de acessos para garantia da proteção de dados e segurança da informação em um ambiente corporativo. De modo geral, a gestão de acessos começa após o mapeamento e documentação da arquitetura de redes e sistemas de uma empresa, onde será necessário definir as funcionalidades de cada perfil, identificar as áreas e cargos da organização, verificar os conflitos de interesse e criar matrizes de SoD (Segregation of Duties – Segregação de Funções), para que assim seja possível a estruturação de um ciclo de vida dos acessos da organização.


Provisionamento,Revisão e Revogação


Quando falamos em gestão de acessos, existem pelo menos três etapas muito importantes utilizadas para garantir a segurança e privacidade dos processos envolvidos nessa atividade. A primeira é o provisionamento do acesso, onde será verificado quais sistemas e redes o novo usuário deverá acessar e a quantidade de licenças e ativos necessária. A segunda atividade desse fluxo é a Revisão do acesso, que é um conjunto de atividades que busca identificar, corrigir e ajustar os perfis de acessos e matrizes já existentes. A última fase desse ciclo é a Revogação do acesso, que deve ocorrer sempre e imediatamente na saída de colaboradores ou encerramentos contratuais, no caso de acessos concedidos à terceiros.


Lições aprendidas


1- Antes de conceder privilégios, tenha certeza de que você sabe como e quando eles devem ser retirados.


2- Sempre desativar imediatamente as contas dos funcionários desligados (enquanto a pessoa está sendo desligada, se possível).


3- Ex-funcionários que utilizam essas contas para fazer algum mal sempre são pegos.


Se gostou do conteúdo, compartilhe com um amigo que tem interesse no assunto. Deixe seu comentário abaixo.

13 visualizações0 comentário

Posts recentes

Ver tudo