Essencialmente, o controle de acesso envolve a identificação, a autenticação, e a autorização de usuários, garantindo que as permissões de acesso estejam alinhadas às políticas organizacionais e às funções dos usuários. Em sua forma mais simples, o controle de acesso pode ser visto como uma combinação de senhas e permissões de usuário.
No entanto, os sistemas modernos de controle de acesso integram tecnologias avançadas, como verificação biométrica, autenticação multifator e estruturas dinâmicas que se baseiam em políticas. Esses sistemas são indispensáveis para gerenciar a segurança em diversos ambientes, desde empresas de pequeno a grande porte, sendo cruciais à observância dos padrões de conformidade regulatória. Eles também oferecem proteção contra vazamentos de dados e tentativas de acesso não autorizado.
O que são os sistemas de controle de acesso?
O controle de acesso é um tipo de sistema que restringe o acesso a espaços ou sistemas apenas aos usuários que receberam permissões ou ferramentas para tal (no caso de escritórios físicos: chaves e crachás; no caso de ativos digitais: credenciais de login). Este artigo se concentrará nos controles de acesso de usuários, que fornecem acesso a áreas restritas da empresa (por exemplo, sistemas e aplicativos).
Os controles de acesso de usuários funcionam com base nos princípios de verificação de identidade e gerenciamento de permissões na aplicação de políticas de segurança. Quando um indivíduo ou sistema solicita acesso a um recurso, os controles de acesso de usuários verificam a identidade do solicitante e o autenticam.
Com esses controles digitais de acesso, primeiro, é preciso identificar e autorizar o usuário, antes dele receber acesso a informações privadas. Isso significa que os princípios básicos de um sistema de controle de acesso incluem critérios e registros para cada vez que alguém “entra” no sistema. Dependendo do tipo de organização, a empresa deve considerar algumas ideias gerais: o nível de propriedade que o usuário terá sobre o sistema e como decidir quais funcionários terão acesso a quê. Existem muitos modelos, cada um com diferentes vantagens.
Quais são os três principais tipos de sistemas de controle de acesso?
Existem vários tipos de sistemas de controle de acesso, mas os três principais são:
- Sistemas de controle de acesso obrigatório (MAC, Mandatory Access Control)
- Sistemas de controle de acesso discricionário (DAC, Discretionary Access Control )
- Sistemas de controle de acesso baseado em funções (RBAC, Role-based Access Control)
Controle de acesso obrigatório (MAC)
O sistema de controle de acesso obrigatório oferece as proteções de segurança mais restritivas. Nele, o poder de permitir o acesso recai inteiramente sobre os administradores do sistema. Isso significa que os usuários não podem alterar permissões que negam ou permitem a entrada deles em diferentes áreas, criando uma segurança formidável em torno de informações confidenciais. Ele restringe até mesmo a capacidade do proprietário do recurso de conceder acesso a qualquer item listado no sistema.
Assim que um funcionário entra no sistema, ele é marcado com uma conexão exclusiva de “marcadores” variáveis (como um perfil de segurança digital), que indica o nível de acesso que ele possui. Portanto, dependendo dos marcadores que um usuário possui, ele terá acesso limitado aos recursos com base na confidencialidade das informações neles contidas. Esse sistema de segurança é de fato tão inteligente que é, em geral, usado por entidades governamentais devido ao seu compromisso com a confidencialidade.
Controle de acesso discricionário (DAC)
Um sistema de controle de acesso discricionário, por outro lado, oferece um pouco mais de controle aos líderes de segurança da organização. Ele determina quem pode acessar quais recursos, mesmo que o administrador do sistema tenha criado uma hierarquia de arquivos com determinadas permissões. Bastam as credenciais corretas para a obtenção de acesso.
A única desvantagem, claro, é a exigência de supervisão ao dar ao usuário final o controle dos níveis de segurança. E como o sistema exige um papel mais ativo no gerenciamento de permissões, é fácil deixar ações passarem despercebidas. Enquanto o método MAC é rígido e requer pouco esforço, um sistema DAC é flexível e de alto esforço.
Controle de acesso baseado em função (RBAC)
O controle de acesso baseado em função atribui permissões a um usuário com base em suas responsabilidades na empresa. Como o sistema de controle de acesso mais comum, ele determina o acesso com base na função do usuário na empresa, ajudando a garantir que funcionários de hierarquias inferiores não tenham acesso a informações de alçadas superiores.
Neste método, os direitos de acesso são desenvolvidos em torno de um conjunto de variáveis associadas à empresa, como recursos, necessidades, ambiente, cargo, localização, entre outros. Muitos executivos gostam dessa abordagem porque é simples agrupar funcionários com base no tipo de recurso ao qual precisam ter acesso.
Por exemplo, alguém do RH não precisa ter acesso a materiais de marketing privados, e os funcionários do marketing não precisam ter acesso aos salários dos funcionários. O RBAC oferece um modelo flexível que aumenta a visibilidade, mantendo a proteção contra violações de segurança e vazamentos de dados.
Quais são os quatro principais modelos de controle de acesso?
Existem quatro modelos principais de controle de acesso, que são divididos em dois tipos gerais. Os modelos de controle de acesso mais detalhados e práticos oferecem uma oportunidade para abordagens mais personalizadas. Dependendo de quão “prática” a empresa deseja ser, há muitos modos de elaboração. Os dois tipos mais comuns de controle de acesso são os baseados em regras e os baseados em atributos.
Sistemas de controle de acesso “mais inteligentes” e intuitivos transcendem completamente a tecnologia. São os sistemas que operam em um nível mais profundo e intuitivo. Exemplos desse tipo de controle de acesso são os baseados em identidade e os baseados em histórico.
Controle de acesso baseado em regras
Como você deve ter adivinhado, este sistema concede permissões com base em regras e políticas estruturadas. Em grande parte baseado em contexto, quando um usuário tenta acessar um recurso, o sistema operacional verifica as regras definidas na “lista de controle de acesso” para aquele recurso específico. A criação de regras, políticas e contexto adiciona algum esforço à implementação. Além disso, esse sistema frequentemente é combinado com o método baseado em funções que discutimos anteriormente.
Controle de acesso baseado em atributos
Aprofundando ainda mais, o controle de acesso baseado em atributos fornece um controle dinâmico e inteligente em relação aos riscos, com base nos atributos conferidos a um usuário específico. Pense nesses atributos como componentes de um perfil de usuário que, juntos, definem o acesso do usuário.
Uma vez definidas as políticas, elas podem usar esses atributos para determinar se um usuário deve ou não ter controle. Esses atributos também podem ser obtidos e importados de um banco de dados à parte, como o Salesforce, por exemplo.
Controle de acesso baseado em identidade
O mais simples, porém o mais complexo, o controle baseado em identidade, determina se um usuário tem permissão para acessar um recurso com base em sua identidade individual, seja ela visual ou biométrica. O acesso do usuário será negado ou permitido com base na correspondência ou não de sua identidade com um nome que consta da lista de controle de acesso.
Um dos principais benefícios desse método é que ele fornece acesso mais granular a indivíduos no sistema, em vez de agrupar os funcionários de forma manual. É um método muito detalhado e voltado para o uso de tecnologia, capaz de oferecer amplo controle ao proprietário da empresa.
Controle de acesso baseado em histórico
Outra solução “inteligente” é um sistema de controle de acesso baseado em histórico. Com base em ações de segurança anteriores, o sistema determina se o usuário obtém ou não acesso ao recurso solicitado.
O sistema então coleta o histórico de atividades do usuário (tempo entre solicitações, conteúdo solicitado, quais portas foram abertas recentemente, etc.). Por exemplo, se um usuário tem um longo histórico de trabalho exclusivo com materiais contábeis protegidos, uma solicitação para acessar o roteiro de marketing do próximo exercício pode ser sinalizada no sistema.
Principais componentes dos sistemas de controle de acesso
Os sistemas de controle de acesso são baseados em três componentes principais: identificação, autenticação e autorização. Cada etapa deve ser executada com sucesso antes que os usuários tenham acesso aos recursos.
Os administradores emitem uma identidade exclusiva para cada usuário quando ele é integrado a sistemas ou aplicativos. No caso dos controles de acesso de usuário discutidos aqui, eles são usadospara identificação e também para rastrear as atividades dos usuários.
Autenticação vs. autorização
Antes que possam obter acesso a sistemas ou aplicativos, usuários devem ser autenticados. A autenticação é um processo de segurança para comprovar a legitimidade da identidade apresentada pelo usuário. Os principais tipos de fatores de autenticação são:
- Algo que você sabe: o exemplo mais comum são as credenciais de nome de usuário/senha.
- Algo que você tem: em geral, um dispositivo móvel para onde são enviados códigos de verificação. Também pode ser um token de hardware ou aplicativo que gera senhas de uso único.
- Algo que você é: dados biométricos, como impressões digitais, leituras de íris ou reconhecimento facial.
Após a validação dos usuários, eles recebem acesso aos recursos com base na autorização que possuem. A autorização estabelece o que um usuário autenticado pode fazer ao receber acesso a um sistema ou aplicativo.
Por exemplo, um usuário com ampla autorização pode ter acesso total aos recursos, podendo não apenas criar, mas também editar, compartilhar ou excluir arquivos existentes e outros recursos. Administradores também fazem configurações de diversas maneiras, conforme explicado nas seções anteriores (por exemplo, controles de acesso baseados em funções e controle de acesso baseado em atributos).
Práticas recomendadas para a implementação de sistemas de controle de acesso
Aplique o princípio do privilégio mínimo (PoLP, Principle of Least Privilege)
Todo acesso deve ser concedido com base no privilégio mínimo. Isso significa conceder aos usuários os privilégios mínimos de acesso necessários à realização de suas tarefas. Também exige que os privilégios sejam revogados quando o acesso não for mais necessário.
Automatize o provisionamento de usuários
Automatizar o provisionamento e o desprovisionamento de usuários melhora os controles de acesso, eliminando os riscos inerentes aos processos manuais, como atrasos entre o momento em que um usuário sai da organização e o momento em que seus privilégios de acesso são revogados. Também ajuda a cumprir as políticas de acesso de forma consistente.
Realize auditorias de acesso com regularidade
Processos devem ser implementados para garantir que as auditorias dos sistemas de controle de acesso sejam realizadas com regularidade. Isso ajuda a reforçar o princípio do privilégio mínimo, identificando usuários com privilégios em excesso e contas inativas de usuários.
Garanta a integração com os aplicativos existentes
Escolha um sistema de controle de acesso que permita a integração com os aplicativos e os sistemas usados em toda a organização, inclusive com outros sistemas de segurança. Isso não apenas facilita o gerenciamento, mas evita processos complexos que atrapalham a produtividade dos usuários ou, pior, os levam a encontrar soluções alternativas para contornar sistemas de controle de acesso tediosos.
Implemente uma arquitetura de rede de confiança zero (ZTNA, Zero Trust Network Architecture)
Use uma arquitetura de confiança zero para gerenciar dispositivos, redes, aplicativos, serviços, cargas de trabalho e dados. Em seguida, faça valer os princípios básicos da confiança zero:
- Monitore e valide usuários continuamente, com verificação constante de suas identidades e privilégios após a concessão do acesso inicial.
- Defina políticas de acesso de acordo com o princípio do privilégio mínimo, avaliando e atualizando os privilégios regularmente, conforme as mudanças nos requisitos dos usuários.
- Utilize microssegmentação para subdividir redes, reduzindo a superfície de ataque ao limitar o acesso a pequenas áreas e recursos.
- Exija autenticação multifator para reforçar os controles de acesso dos usuários.
- Valide todos os dispositivos endpoint, estendendo os controles de acesso a sistemas físicos, além de usuários humanos.
Proíba o uso de contas compartilhadas
É altamente recomendável que usuários nunca tenham permissão para compartilhar contas de sistemas ou aplicativos de acesso. Isso traz riscos para a segurança, dificultando o rastreamento da atividade da conta e a responsabilização dos usuários por suas ações ou o rastreamento das causas-raiz em caso de incidentes de segurança relacionados a uma conta compartilhada.
Utilize a separação de funções
Refere-se à separação de funções, tarefas e responsabilidades entre vários usuários a fim de garantir que ninguém tenha privilégios suficientes para que se faça uso indevido dos recursos. Um exemplo organizacional clássico é proibir a pessoa que emite cheques, de assiná-los também. A separação de funções se aplica à ampla base de usuários, com exceções para usuários privilegiados, como administradores.
Exija senhas fortes
Os usuários devem ser obrigados a usar senhas fortes. As diretrizes de segurança de senhas da Agência de Segurança Cibernética e de Infraestrutura (CISA) sobre senhas fortes são:
- Torná-las longas, com pelo menos 16 caracteres.
- Torná-las aleatórias, com uma sequência de letras maiúsculas e minúsculas, números e símbolos, como cXmnZK65rf*&DaaD, ou usar uma sequência de palavras não relacionadas para criar uma paráfrase, como BibliotecaPraiaFlorDeBanana.
- Torná-las únicas.
- Usar senhas diferentes para cada conta.
Use autenticação multifator (MFA)
Exija que os usuários forneçam mais de um fator de verificação para obter acesso, como credenciais de usuário e um fator biométrico ou senha de uso único criada a partir de um token ou aplicativo gerador de código de autenticação.
Mantenha registros de privilégios de acesso
Use registros de privilégios de acesso para rastrear quais usuários têm acesso a quais recursos e rastrear alterações no acesso dos usuários.
Treine funcionários em protocolos de controle de acesso
Adicione controles de acesso aos programas de treinamento e conscientização sobre segurança cibernética para garantir que usuários entendam os sistemas que estão em vigor, por que estão sendo usados e os riscos de não seguir as políticas de uso.
Controle de acesso e conformidade regulatória
O uso de sistemas de controle de acesso é obrigatório em diversos estatutos regulatórios. Por exemplo:
- A Lei Federal de Gestão de Segurança da Informação (FISMA, Federal Information Security Management Act) exige que as agências federais implementem controles de acesso para proteger as informações e os sistemas de informação do governo.
- O Regulamento Geral de Proteção de Dados (RGPD) exige que as organizações que lidam com dados pessoais de cidadãos da UE usem controles de acesso para garantir o acesso a informações confidenciais somente a pessoal autorizado.
- A Lei Gramm-Leach-Bliley (GLBA, Gramm-Leach-Bliley Act) exige que as instituições financeiras implementem controles de acesso para proteger as informações financeiras pessoais dos clientes.
- A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, Health Insurance Portability and Accountability Act) exige que as organizações de saúde implementem controles de acesso que ofereçam proteção às informações de saúde protegidas (PHI, Protected Health Information).
- O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS, Payment Card Industry Data Security Standard) exige que as organizações que lidam com informações de cartão de crédito implementem medidas rígidas de controle de acesso visando a proteção dos dados de titulares de cartões.
- A Lei Sarbanes-Oxley (SOX, Sarbanes-Oxley Act) exige controles de acesso que impeçam o acesso não autorizado a dados financeiros a fim de garantir a precisão e a integridade dos relatórios financeiros.
O futuro: gerenciamento de identidade orientado por IA
À medida que o controle de acesso avança para o futuro, muitos preveem que a responsabilidade de gerenciar os sistemas continuará a se afastar das pessoas e a se concentrar na tecnologia.
A inteligência artificial (IA) não apenas nos permite avaliar as permissões de acesso dos usuários em tempo real, como também é capaz de prever todo o ciclo de vida de um funcionário. Essas soluções não apenas nos protegem do “agora”, como também são capazes de identificar riscos e problemas de conformidade antes que se tornem sérios. A empresa não precisa mais monitorar rigorosamente a complexa rede de políticas e listas de controle de acesso, pois a IA simplifica a visibilidade em alto nível.
Conclusão
Embora o controle de acesso tenha evoluído da proteção de documentos físicos em edifícios reais para sistemas baseados em nuvem, a ideia de proteger os recursos da empresa continua sendo uma realidade. Quanto mais inteligentes formos com o uso da tecnologia, mais opções teremos. Compreender as variáveis relevantes (como o porte da organização, as necessidades de recursos e a localização dos funcionários) ajudará a embasar a decisão.
