Matriz de acesso: entenda a relação com a segurança da informação

Autor: Telium Networks
Publicação: 14/09/2018 às 02:58

A adoção de novas tecnologias pelas empresas tem aumentado a necessidade de maiores investimentos em segurança da informação. Cada vez mais conectadas à internet e soluções em nuvem, as empresas têm sofrido com ataques cibernéticos e golpes que prejudicam seus resultados e geram diversos prejuízos.

Um estudo realizado pela PwC indica que empresas que faturam entre 100 milhões e 1 bilhão de dólares no ano apresentam prejuízo médio de 1 milhão de dólares devido a problemas com segurança de dados, como fraudes, falhas na segurança e crimes cibernéticos.

Entretanto, essa não é uma preocupação apenas das grandes corporações. Qualquer empresa que usa algum tipo de tecnologia em suas operações, seja um banco de dados ou softwares de gestão de caixa, está sujeita à alguma falha na segurança que compromete as informações e dados do negócio.

Além disso, ataques cibernéticos não são o único problema que afeta a proteção de suas informações. Na realidade, um estudo feito pelo Instituto Ponemon com parceria da empresa de segurança Varonis indica que 76% dos profissionais de TI acreditam que a principal causa da perda ou roubo de dados em suas organizações é a negligência interna, como falta de orientação, monitoramento, procedimentos mais seguros e malícia de colaboradores.

Nesse sentido, é fundamental investir em modelos e iniciativas que melhoram a seguridade da informação dentro das organizações, como a adoção da matriz de acesso, modelo cada vez mais comum entre as empresas, usado para melhorar a construção das políticas de defesa de uma organização.

Pensando nisso, vamos explicar abaixo as principais informações sobre a matriz de acesso, sua relação com a segurança da informação na empresa e como ela pode ser usada para melhorar essa área do negócio! Confira:

O que é matriz de acesso?

A matriz de acesso é um modelo teórico usado para mapear os acessos dentro de uma organização. Ele foi criado em 2013 pelo profissional de TI Ticiano Benetti, com o objetivo de apresentar as questões de segurança de informação de forma mais segmentada para gerentes de uma empresa. 

O modelo é bem simples é prático, apresentando duas colunas e linhas que fazem a relação entre os acessos que cada profissional possui dentro da organização e a real necessidade que ele precisa para realizar seu trabalho. 

O autor indica que, ao realizar essa análise, é possível corrigir e evitar erros de acessos que comprometem a preservação e integridade das informações de uma organização, construindo um ambiente em que cada membro possui somente os acessos necessários para suas atividades, garantindo a preservação dos pilares da segurança da Informação, que são:

  • disponibilidade: garantia de que as informações e dados estão sempre disponíveis para quem precisa deles dentro da empresa;
  • integridade: garantia de que as informações armazenadas e disponíveis aos colaboradores que as usam estão corretas;
  • confidencialidade: garantir que somente as pessoas autorizadas tomarão conhecimento das informações armazenadas.

Dessa forma, o uso da matriz melhora as questões de proteção interna de uma organização, direcionando os acessos de cada informação e sistemas utilizados por seus colaboradores.

Como ela pode ser usada para melhorar a segurança da informação?

Para entender melhor como cada quadrante da matriz contribui para melhorar a segurança da informação de uma organização, é preciso fazer uma análise em cada uma das quatro situações possíveis de acesso.

1. Não precisa e possui acesso (maçã)

Em muitas organizações é comum encontrar situações em que os funcionários possuem acessos dos quais não precisam para a execução de suas atividades. Essa situação representa uma tentação para os colaboradores curiosos ou mal intencionados, permitindo que eles comprometam a integridade dos dados, realizando mudanças nas informações, e em muitos casos, interferindo na confidencialidade. 

O levantamento feito com a ajuda da matriz permite identificar quais profissionais possuem acessos desnecessários e apresentam riscos para os pilares da segurança da informação. Dessa forma, é mais fácil fazer alterações internas.

2. Precisa e não possui acesso (placa de pare)

A segunda situação indica os casos nos quais os profissionais precisam, mas não possuem o acesso, gerando falta de informação e, possivelmente, prejudicando o bom funcionamento da organização. Em alguns casos, essa situação faz com que as operações parem, gerando prejuízos para a empresa e comprometendo a disponibilidade da organização.

É importante ressaltar que essas situações incentivam práticas incorretas por parte dos funcionários, como empréstimos de credenciais, por exemplo. Além de errado, elas abrem caminho para uma série de práticas que comprometem a segurança da organização.

Assim como no item anterior, o uso da matriz auxilia nas alterações necessárias para garantir as boas práticas de acessos e bom funcionamento dos processos. É possível, durante um processo de auditoria, levantar as necessidades de acessos pelos funcionários, fazendo mudanças mais corretas.

3. Não precisam e não possuem acesso (máscara de bandido)

Nesse quadrante, a máscara de bandido é usada para representar os casos em que os colaboradores não precisam e não possuem acesso. Essa é a situação ideal, entretanto, é preciso pensar em ações que garantem essa realidade, avaliando os padrões de segurança e políticas da empresa. 

Quando os profissionais acessam algo que não deveriam, isso indica vulnerabilidades na seguridade, ferindo seus três pilares: confiabilidade, integridade e disponibilidade. Portanto, é importante adotar medidas que impeçam essa situação. 

4. Precisa e possui acesso (envelope)

Por fim, o cenário em que os colaboradores possuem apenas os acessos de que necessitam. Nesse caso, os riscos estão na postura e aspecto do comportamento desses profissionais. Essa prática é chamada abuso de acesso lícito e compromete a disponibilidade, integridade e confiabilidade das informações. 

Nesse sentido, ao observar esse quadrante, os responsáveis pela segurança podem se questionar se os profissionais estão fazendo uso correto das informações. Para isso, muitas organizações adotam sistemas de monitoramento constante das atividades da empresa.

De forma geral, a matriz de acesso ajuda a mapear e identificar problemas que podem ferir os pilares da proteção da empresa, ajudando em suas adaptações e melhorias de forma constante, indicando quais são os possíveis problemas em cada quadrante e ajudando na construção de um dos itens mais importantes de uma Política de falhas da Informação (PSI): a definição de acessos.

Percebeu como a matriz de acesso é uma ferramenta inteligente para a construção de políticas e práticas de segurança mais eficientes no negócio? Queremos saber sua opinião: como é feito esse processo dentro do seu negócio? Comente aqui se você já teve algum problema com segurança de dados na sua empresa.