Com a transformação digital e o aumento da competitividade, é cada vez mais necessário que as organizações alcancem resultados progressivos e melhores utilizando menos recursos. Neste sentido, os requisitos de negócio vêm mudando ao longo dos últimos anos, a partir de um novo panorama de novas ameaças, regulações, além de mudanças nas relações entre empresas, clientes e parceiros. 

Considerando esse contexto, existe uma série de normas e frameworks envolvendo desde aspectos técnicos até questões de negócio. Alguns exemplos incluem o desenvolvimento da governança corporativa, a garantia da proteção de dados de pagamento de clientes ou melhoria da postura e mitigação de riscos de cibersegurança na organização. Para garantir conformidade com essas normas e regulações, as organizações podem implantar soluções de segurança, como ferramentas de Gestão de Acesso Privilegiado ou PAM. Mas quais são os principais frameworks e normas relacionados à cibersegurança, qual a sua importância e quais os principais benefícios trazidos por eles?

A segurança da informação em foco

Vivemos em um mundo hiperconectado, e os riscos de segurança cibernética estão cada vez mais alinhados à continuidade de negócios. Isso tem levado muitas organizações a considerar o aspecto segurança da informação não apenas como despesa, mas, também, como investimento, e assim melhorar sua postura cibernética, aumentando a confiança de clientes, parceiros e fornecedores e assegurando a continuidade dos negócios. Uma das formas para isto é através, por exemplo, da implantação de soluções de segurança da informação, como ferramentas PAM. No entanto, depender apenas da tecnologia pode levar muitas organizações a uma falsa sensação de segurança. Assim, em um contexto que apenas um clique é suficiente para que um agente malicioso ganhe acesso à infraestrutura da organização, o que pode ser feito para obter um maior controle em relação à segurança da informação?

Normas e frameworks para a segurança da informação

Normas e frameworks de cibersegurança vêm se mostrando poderosas ferramentas para as organizações. Essas diretrizes foram desenvolvidas com o objetivo de oferecer uma abordagem sistemática para proteger os dados de funcionários, clientes e parceiros. Alguns desses frameworks podem ser, em alguns casos, desenhados para uma indústria específica, e foram desenvolvidos para reduzir vulnerabilidades desconhecidas e erros de configuração existentes no ambiente organizacional. De maneira simplificada, esses padrões introduzem modelos para permitir às organizações entender a sua abordagem de segurança e como melhorá-la. E como eles foram testados em diferentes situações e indústrias, é possível atestar a sua confiança e eficácia. Esses frameworks podem ser usados com soluções de segurança cibernética, como ferramentas de Gestão e Correlação de Eventos de Segurança (SIEM) ou de Gestão de Acesso Privilegiado (Privileged Access Management ou PAM).

Alguns dos principais frameworks, normas e padrões de gestão de risco em cibersegurança do mercado são os padrões ISO 27000, o Framework de Cibersegurança do NIST (e mais recentemente o Framework de Privacidade), a norma PCI DSS e os Controles Críticos de Segurança para Efetiva Ciberdefesa do Center for Internet Security (CIS). Mesmo os controles desses frameworks tratando de inúmeros aspectos de Segurança da Informação, alguns deles são influenciados ou efetivamente exigem os conceitos associados à PAM.

PAM, normas e frameworks

A Gestão de Acesso Privilegiado se refere a um conjunto de tecnologias e práticas que monitoram e gerenciam o acesso privilegiado (também chamado de acesso administrativo) a sistemas críticos. Através de uma credencial privilegiada, um usuário pode, por exemplo, modificar configurações de sistemas, contas de usuários e acessar dados críticos. Desta maneira, dado o seu nível de acesso e controle sobre os sistemas que gerenciam informações ou processos, um usuário privilegiado expõe a organização a potenciais riscos de negócio. Tanto através de um ataque, abuso de privilégio ou erro humano, um usuário privilegiado pode ser um vetor de ataque de um eventual incidente de segurança.

Considerando os Controles Críticos de Segurança para Efetiva Ciberdefesa do CIS, um dos controles introduzidos pelo framework aborda diretamente os aspectos de PAM. Assim, os subcontroles associados ao controle número 4 estão associados ao uso controlado de privilégios administrativos, considerando a gestão de acesso através de contas privilegiadas.

O que é a norma ISO/IEC 27001?

Já a ISO/IEC 27001 é uma norma de Gerenciamento de Segurança da Informação publicada pela ISO com a IEC, e é utilizada por organizações em todo o mundo com o objetivo de estabelecer, implementar, manter, avaliar e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Dos 35 objetivos de controle previstos na norma, aproximadamente 80% deles estão diretamente ou indiretamente ligados aos processos de Gerenciamento de Acesso Privilegiado. Um dos requisitos do SGSI é o rastreamento completo de credenciais de funcionários próprios e terceiros, assim como usuários não humanos, como credenciais embutidas em scripts e aplicações. Se esses usuários são capazes de realizar modificações não autorizadas em sistemas, acessar dados sensíveis e apagar as trilhas de suas ações privilegiadas, a organização está exposta a sérios riscos.

O Framework para Melhoria da Cibersegurança de Infraestrutura Crítica do NIST consiste em uma série de padrões, orientações e melhores práticas para gerenciar riscos ligados à cibersegurança. Segundo o NIST, “a abordagem de baixo custo, priorizada e flexível do framework auxilia a promover a proteção e resiliência da infraestrutura crítica e outros setores importantes para a economia e segurança nacional”. Alguns dos aspectos associados à Gestão de Acesso Privilegiado,  correlacionados aos controles contidos no Framework de Cibersegurança do NIST, estão vinculados à concessão e revogação de acessos privilegiados, à gestão de ativos e à rastreabilidade de ações no ambiente através de trilhas de auditoria.

O que o padrão PCI aborda?

O padrão PCI consiste em 12 requisitos e em seis objetivos de controle, que abordam gerenciamento de segurança, políticas, procedimentos, arquitetura de rede e desenvolvimento de software para a proteção de dados de cartões de pagamento. O Gerenciamento de Acesso Privilegiado é um aspecto crítico para conformidade ao padrão PCI DSS. Alguns dos requisitos do padrão, inclusive, são possíveis de serem atendidos por meio de uma solução de PAM; são ligados à utilização de senhas padrão ou outras configurações de segurança dos softwares no ambiente; e à identificação e autenticação do acesso a componentes de sistema.

Por que implementar uma solução PAM na sua empresa?

Adotar qualquer um desses frameworks de cibersegurança não é tarefa fácil para qualquer organização, independentemente do seu tamanho, segmento ou maturidade. Nesse contexto, uma solução de PAM pode ser considerada uma importante ferramenta para agilizar a implantação da infraestrutura de cibersegurança, e permite que funções relativas à identidade e ao controle de acesso sejam implementadas. Além disto, uma solução de PAM permite controle de credenciais privilegiadas, trazendo conformidade à organização no aspecto segurança cibernética. Assim, aqueles que descobrem o seu valor agregado e conseguem implantar os controles associados podem reduzir os riscos de cibersegurança associados, bem como garantir a continuidade dos negócios