Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
Perfis por Funo em Sistemas Corporativos
Maio de 2008
Autor: Rudnei Guimares, Consultor Snior da Order
Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
Resumo A implantao e utilizao de Perfis por Funo uma prtica recomendada pelos rgos reguladores e normas internacionais. Eles permitem prover os privilgios de acessos aos sistemas corporativos estritamente necessrios para os colaboradores desempenharem suas atividades. A criao e manuteno dos Perfis por Funo em ambientes corporativos efetuadas por processos manuais podem no acompanhar o dinamismo da corporao. A adoo de sistemas de Gerenciamento de Identidade Corporativa automatizou toda a administrao da concesso de acessos e devem estar em sintonia com os Perfis por Funo. Diante destes desafios, ser apresentado o resultado de um trabalho efetuado utilizando o Eurekify Sage como ferramenta de apoio para a criao, administrao, reviso e conformidade dos Perfis por Funo.
Introduo O Perfil por Funo (ou RBAC Role Based Access Control) um projeto do National Institute of Stantard and Technology (NIST), que tem por objetivo criar um modelo para prover e administrar privilgios de acesso em uma organizao. Sugesto: um conceito sobre prticas de controle de acesso que originou nos anos 70 e se desenvolveu at ter sua primiera proposta de padro em 2004 pelo NIST. O Perfil por Funo o controle de acesso baseado no papel, na atividade ou na funo que o colaborador exerce dentro da organizao. Vrios sistemas corporativos modernos possuem algum modelo de Perfil por Funo. Por exemplo: SAP so as profiles; Microsoft AD so os grupos; RACF so os domnios e grupos; CA Top Secret so as profiles; Oracle so as roles;
Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
BMC Control-SA so as profiles; IBM TIM so as profiles; Novell Identity Manager so as roles. O Perfil por Funo agrega os acessos, possibilitando ter uma viso do privilgio de acesso de forma corporativa e no mais por sistema; incorpora a hierarquia organizacional e segregao de funes dentro do seu modelo. A segregao de funes probe o usurio de, exercendo certa atividade, executar outra atividade ao mesmo tempo que implique em risco operacional para o negcio. A hierarquia organizacional reflete a estrutura dos papis desempenhados pelos colaboradores dentro da organizao. Vrias normas e regulamentos governamentais, como Sarbanes-Oxley (SOX), COBIT, ISO/IEC 17799, recomendam a implementao de controles, como o Perfil por Funo, como forma de seguir as polticas de acesso. O trabalho desenvolvido foi executado em um sistema proprietrio, contendo Perfis por Funo, seus privilgios de acesso e os usurios a eles conectados. Englobou: O planejamento das atividades; A reviso dos privilgios de acesso atual; A certificao dos privilgios de acesso pelos responsveis; A verificao se os privilgios de acesso revisados esto em conformidade com as normas da organizao; A proposio de novos perfis por funo; A verificao se os perfis por funo propostos esto em conformidade com as normas da organizao; A integrao com a ferramenta de Identity Management (IdM) utilizada pela corporao. Este sistema proprietrio a principal porta de entrada da plataforma de negcios, sendo utilizada pelos colaboradores que atendem os clientes da empresa e continha inicialmente 292 Perfis por Funo. Ele controla os acessos a 152 plataformas de negcio.
Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
O principal objetivo do trabalho foi reorganizar os privilgios de acesso em novos Perfis por Funo.
Planejamento das Atividades A seguinte metodologia foi utilizada para desenvolver o trabalho: Obteno de Dados: RH: definio e obteno de dados essenciais dos usurios (como Status, lotao, cargo, etc); Regras de Negcio: obteno das regas de negcio dos privilgios de acesso, normas, regulamentos e segregao de funo, utilizadas na organizao; Levantamento das atividades: entendimentos de como os servios so desempenhados pelos colaboradores; Importao e tratamento das Bases Autoritativas: manipulao dos dados do formato proprietrio da base autoritativa para o formato Sage e saneamento dos dados; Campanhas de certificao: foram criadas campanhas para envolver os responsveis e solicitar a reviso de certificao dos privilgios de acesso atuais; Prospeco de novos Perfis por Funo: aps o saneamento e certificao, propor nova organizao dos Perfis por Funo; Certificao dos Perfis por Funo: avaliar junto com o gestor do Negcio e a rea de Segurana da Informao, os Perfis por Funo e os privilgios de acesso propostos.
Um dos desafios na engenharia de Perfis por Funo encontrar o nvel correto de granularidade que permita controle e que, ao mesmo tempo, no resulte em excesso ou falta de privilgios de acesso. Para efetuar o ajuste fino e encontrar o ponto de equilbrio entre Perfis por Funo e excesso/falta de privilgios, foram utilizados os seguintes critrios: Sobreposio de usurios em mais de um Perfil por Funo: 0%;
Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
Nmero mnimo de privilgios de acesso: mdia dos privilgios de acesso; Fuso de perfis por Funo: 100% dos usurios devem ser iguais ou; No mnimo 90% dos privilgios de acesso devem ser iguais ou; Usurios devem ser da mesma rea de negcio e no mnimo 80% dos privilgios de acesso devem ser iguais.
Reviso dos Privilgios de Acesso Atuais Aps a fase de obteno de dados, j se pode obter os primeiros resultados: Usurios inativos: ao cruzar os usurios do sistema com os dados obtidos do RH, identificou- se que 23% dos usurios j tinham sido desligados da empresa; Responsveis pelo Perfil por Funo que no esto em conformidade com os regulamentos: 0,55%; Perfis por Funo inativos: 23% dos Perfis por Funo no eram utilizados por ningum, sendo que um Perfil por Funo no tinha nem privilgio de acesso; Perfis por Funo iguais: 6% dos Perfis por Funo possuam exatamente os mesmos privilgios de acesso; Privilgios de acesso inativos: 26,7% dos privilgios de acesso cadastrados no eram utilizados. Foi identificado de imediato que a funcionalidade provida por 1 privilgio de acesso, apesar de cadastrado, no existia mais; Privilgios de acesso com a mesma descrio: 7% dos privilgios de acesso possuam a mesma descrio, porm com funcionalidades diferentes. Destes, dois privilgios de acesso no tinham descrio.
Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
Adicionalmente, foi identificada a taxa de utilizao de cada privilgio de acesso do usurio, provido pelo Perfil por Funo. Esta taxa de utilizao auxiliou o responsvel na certificao do privilgio de acesso.
Certificao de Privilgios de Acesso pelos Responsveis Um dos principais desafios na certificao de privilgios de acesso envolver o responsvel pelo Perfil por Funo de tal modo que ele possa entender que esta atividade importante para o desempenho das atividades dos usurios com mais qualidade e segurana. Para que o principal objetivo do trabalho fosse atingido (reorganizar os privilgios de acesso em novos Perfis por Funo), uma nova abordagem foi utilizada em relao tradicional. Na abordagem tradicional, o responsvel verificaria se os usurios e privilgios de acesso deveriam estar conectados quele Perfil por Funo. A abordagem utilizada foi mostrar para o responsvel a taxa de utilizao de cada privilgio de acesso pelos usurios de seu Perfil por Funo. Deste modo, ficava evidente o que era e o que no era utilizado, auxiliando o responsvel na certificao do Perfil por Funo. Estes dados foram disponibilizados no Sage Portal e foram criadas campanhas de esclarecimento e certificao. As campanhas de esclarecimentos foram efetuadas por meio de workshops, de no mximo 2 horas. Foi fornecido um kit esclarecimento, que descrevia passo-a-passo o que o responsvel deveria efetuar. As campanhas de certificao foram efetuadas pelo envio de um link individual por e-mail para cada responsvel pela certificao pelo Perfil por Funo. O link abria uma pgina Web, a qual possibilitava o responsvel identificar os privilgios de acesso a serem certificados. Ele podia aprovar ou reprovar e, neste caso, inserir uma justificativa. A campanha pelo Sage Portal tambm possibilitou acompanhar a evoluo das certificaes dos Perfis por Funo pelos responsveis, relembrando, quando necessrio, alguns responsveis sobre necessidade de efetuar a certificao.
Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
Outra vantagem das campanhas foi efetuar a delegao das certificaes de alguns responsveis que estavam saindo de frias ou tiveram suas atividades transferidas para outras pessoas.
Verificao se os Privilgios de Acesso revisados esto em conformidade Na fase de certificao de privilgios de acesso, foi dada a liberdade para que os responsveis pudessem solicitar novos privilgios de acesso. Aps a finalizao das campanhas, foram verificadas se as solicitaes de novos privilgios de acesso estavam em conformidade com as normas da empresa. Esta verificao foi efetuada utilizando a funo do Sage ERM de auditoria e regras de negcios.
Proposio de Novos Perfis por Funo Aps a reviso dos privilgios de acesso efetuada pelos responsveis, a variao dos privilgios de acesso dentro de um mesmo Perfil por Funo original variou bastante. Por exemplo, um Perfil por Funo que abrangia 21% dos usurios, continha 81 privilgios de acesso. Aps a reviso, a solicitao de privilgios de acesso para este Perfil por Funo variou de 1 a 81. Dois Perfis por Funo agrupavam 35% do total dos usurios e 53% dos Perfis por Funo continham apenas uma pessoa. Ao tentar reorganizar em novos Perfis por Funo, o resultado foi a proliferao de novos perfis com pouqussimos privilgios de acesso (menos que 40) e contendo apenas uma ou duas pessoas. A tentativa de reorganizar em novos perfis por funo utilizando o critrio do organograma tambm no obteve um bom resultado. Para estas situaes, preferiu-se e manter os privilgios de acesso. Ao avaliar os privilgios de acesso, identificou-se 19 que privilgios de acessos so utilizados por 94% dos usurios antes da proposio dos perfis por funo. Estes 19 privilgios de acesso passaram a formar um Perfil por Funo bsico do sistema. Aps a proposio, estes privilgios
Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
passaram a ser utilizados por 99% dos usurios e por 98% dos perfis por funo propostos, sem implicar em excesso de privilgios. O resultado da prospeco por novos perfis por funo foi a seguinte proposta: 247 novos perfis por funo: 1 Perfil por Funo contendo 259 usurios (21,5% total de usurios); 65 Perfis por Funo contendo uma pessoa (correspondendo a 26% do total).
Verificao se os Perfis por Funo propostos esto em conformidade Aps a proposio dos novos Perfis por Funo, foram verificados se os usurios e privilgios de acesso do Perfil por Funo estavam em conformidade com as normas da empresa, efetuando- se os ajustes necessrios para aqueles que violavam as regras.
Integrao com a ferramenta de Identity Management Desde o incio do trabalho, ficou evidente que o Sage deveria ser integrado ferramenta de IdM, atuando como fonte autoritativa dos Perfis por Funo. Aps estudos, identificaram-se dois modos de integrar o Sage com a ferramenta da IdM: Via Web Service, no qual a ferramenta de IdM consultaria o Sage para fornecer os Perfis por Funo; Via arquivo, no qual os Perfis por Funo estavam relacionados com seus privilgios de acesso. Optou-se por utilizar o Web Service, como forma de obter os Perfis por Funo sempre atualizados. A integrao por arquivo foi utilizada tambm, como forma de contingncia. Neste caso, os Perfis por Funo poderiam ficar desatualizados por at 24hs.
Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
Toda vez que um gestor solicita acesso para um novo colaborador, mostrado os Perfis por Funo disponveis. O gestor selecionar o Perfil por Funo e o IdM trata de efetuar os provisionamentos necessrios. A remoo de um colaborador de um Perfil por Funo acarreta em remover os privilgios de acesso do colaborador. Neste caso, o Sage no precisa ser informado. A modificao de um Perfil por Funo no Sage processada pelo IdM diariamente, sendo que as modificaes efetuadas nos Perfis por Funo so removidas ou concedidas aos colaboradores automaticamente. A integrao do Sage com a ferramenta de IdM proporcionou implantar o Perfil por Funo Corporativo. Este Perfil por Funo engloba as principais plataformas tecnolgicas da empresa.
Concluso O trabalho de reviso dos privilgios de acesso atual e proposio de novos Perfis por Funo foi concludo em 2 meses e meio. Ficou evidente que a utilizao do Sage como ferramenta de auxlio para a reviso, administrao e criao de Perfis por Funo economizou tempo e adicionou qualidade ao trabalho. Estimou-se que se todo o trabalho fosse efetuado manualmente (planilhas e desenvolvimento de interfaces para tratamento dos dados) demandaria pelo menos 6 meses. Pde-se observar que o saneamento inicial da base autoritativa eliminou vrios problemas de segurana e violaes s normas, sem impacto para as atividades de negcio providas por este sistema. A integrao do Sage com a ferramenta de IdM proporcionou uma maior agilidade para o gestor do negcio, reduzindo o tempo para incio do trabalho de um novo colaborador e proporcionando um melhor controle sobre quem faz o qu. A rea de Segurana da Informao passou a ter um controle automatizado dos processos e a rea de Auditoria passou a ter uma ferramenta que j verifica os privilgios de acessos contra as normas da empresa.
Os negcios das companhias com a gesto de perfis e privilgios
Copywright Order Solues em TI direitos reservados
Ganhos observados: Reduo da quantidade de Perfis por Funo em 15,4%; Reduo de 74% dos Perfis por Funo utilizados por 1 usurio; Reduo dos privilgios de acesso em 40% dos usurios; Manuteno dos privilgios de acesso em 32% dos usurios; Reduo de 30% no tempo de concesso de acesso em todos os sistemas necessrios para o colaborador comear a trabalhar; Reduo de 60% no retrabalho da concesso de acesso; Diminuio substancial dos excessos de privilgios, comprovados pela reduo em 80% de pontos de auditoria dos sistemas gerenciados pelo IdM /Sage.