5 dicas essenciais para passar com 5 estrelas em uma auditoria de segurança de T.I.
O novo mundo de cloud computing, big data e mobilidade tem estimulado as empresas a ter mais atenção na área de segurança da informação. Com isso notamos um aumento significativo de empresas que passam pelo menos uma vez por ano por auditorias de T.I. sendo recorrente o acompanhando as não conformidades.
É por estes motivos que vamos passar algumas dicas para profissionais de T.I. de como não passar sufoco em um processo de auditoria seja ela interna ou externa. Vale lembrar que alem dos benéficos óbvios de uma auditoria, isto fara com que nosso gerenciamento dos serviços de TI sejam mais eficiente e impactando positivamente nos negócios.
Atenção: neste post vamos focar na auditoria de segurança da informação e não uma auditoria de Ti que é muito mais abrangente. Este assunto abordaremos em um próximo post.
Então para o bom entendimento como diz meu amigo Jack “vamos por partes” e aqui deixo as perguntas que devem ser respondidas:
Quem é o responsável?
É vital ter toda a documentação atualizada, assim como o histórico de mudanças. Por exemplo: quem foi adicionado a grupos ou fornecido acesso direto ao um usuário que tenha controle total ou parcial de acesso aos dados da empresa. Isto inclui principalmente os servidores responsáveis pelos serviços de diretórios que são a base de acesso a todos os outros componentes e que fazem parte da estrutura. Podemos incluir também: banco de dados, servidor de e-mail, plataformas utilizados na nuvem e outras aplicações vitais que possam conter dados importantes da empresa ou forneça o acesso. Resumindo, para você sobreviver nesta etapa é necessário saber quem tem acesso , quem já teve e por quanto tempo.
O que estão fazendo?
Não é suficiente o fato de saber quem tem acesso privilegiado aos sistemas mais críticos, você também precisa saber o que estão fazendo com estas credenciais. Por este motivo é necessário termos histórico das atividades dos usuários com acesso administrativo para que qualquer alteração feita não comprometa a segurança dos dados e possa ser rastreado.
O que mudou?
Esta pergunta talvez seja uma das mais importantes na auditoria de segurança, e possuí um peso bastante importante na aprovação. Para você poder ter a visão total de tudo o que acontece no seu ambiente é primordial ter controle. Vamos a um exemplo prático: Na minha empresa temos um analista chamado Marcio. Ele possuí credenciais de administrador, mas por algum motivo, divisão de tarefas ou mesmo férias, contratamos um segundo analista que vamos chamar de Luiz que irá desempenhar uma função semelhante a de Marcio e também terá credenciais de administrador. Em um processo de auditoria para garantir a conformidade dos processos, é necessário manter todos os registros e mudanças ocorridas na administração da rede. Somente um controle eficiente lhe dará uma visão completa dos processos de mudanças e garantirá conformidade em um processo de auditoria.
Quando a mudança aconteceu?
Mais importante do que saber o que mudou é termos a informação de quando ocorreu a mudança. Toda atividade deve ser monitorada por data, assim é possível diagnosticar com precisão o impacto das mudanças e revertê-las a um estado anterior, caso seja necessário, sem que comprometam a segurança.
Quais sistemas tiveram impacto após a mudança?
Finalmente, precisamos avaliar o impacto de uma mudança sobre sistemas dependentes ou atrelados. Podemos citar por exemplo uma alteração em um grupo do Active Directory, que possuí um grande impacto em aplicações criticas como acessos externos, acesso ao ERP, serviços de e-mail e etc. Outras mudanças, que parecem sutis e sem tanta importância, podem causar problemas críticos. Uma mudança no servidor windows pode expor um risco de segurança para as aplicações e ou serviços que estão em produção comprometendo a estabilidade de todo o ambiente. Então, podemos concluir que qualquer aplicação e serviços que estão atrelados e que tiverem mudanças deverão ser registrados, pois cada detalhe e ação tomada poderá e deverá ser justificada em um processo de auditoria de segurança de T.I.
Por fim, para garantir sucesso em um processo de auditoria, não deixe de manter e atualizar sempre toda a documentação da rede desde o setup inicial e suas atualizações.
Imagino que agora você deve estar se perguntando: Vou ter que fazer isto manualmente? Não, de forma alguma, é muito importante identificar ferramentas de apoio para monitorar e auditar a segurança de seu ambiente.
Vou aproveitar a mencionar duas ferramentas eficientes e que cumprem o que propõem. Poderia fazer uma lista enorme de ferramentas básicas e Enterprise com mais ou menos recursos, mas na minha experiência estas ferramentas são as mais adequadas, principalmente para quem ainda não teve contato com este tipo de solução.
Netwrix – uns dos lideres do segmento, tem soluções para pequenas, medias e grandes empresas
AD Audit Plus produto da Manage Engine que tem um bom custo beneficio.
