PUBLICIDADE
InícioTecnologiaPrincipais motivos para implantar o modelo de controle de acessos RBAC nas...

Principais motivos para implantar o modelo de controle de acessos RBAC nas organizações

MBA DE GESTÃO E TECNOLOGIA DA SEGURANÇA DA INFORMAÇÃO

TURMA 22

Ana Lúcia Mizobe Sato

Fabio Negrão

Rômulo Cordeiro

Leandro Miranda

Thais Baniski

PRINCIPAIS MOTIVOS PARA IMPLANTAR O MODELO DE CONTROLE DE ACESSOS RBAC NAS ORGANIZAÇÕES

Trabalho apresentado como requisito parcial para obtenção do título de Especialista em MBA em Gestão e Tecnologia da Segurança da Informação, para a Daryus Centro Educacional, sob a orientação da Prof.a.Dra. Sandra Regina da Luz Inácio.

São Paulo – SP

Fevereiro/2021

RESUMO

A proteção das informações é uma preocupação crescente em organizações de forma geral, privadas ou governamentais, uma vez que as informações são uma necessidade para o funcionamento tático, estratégico e operacional de qualquer organização. O mau uso ou a indisponibilidade das informações, pode trazer impactos financeiros, de imagem, legal ou operacional que podem colocar em risco a continuidade da organização. Nesse cenário, o controle de acesso às informações torna-se um requisito de Segurança da Informação obrigatório para qualquer organização. O objetivo deste trabalho é apresentar os principais motivos para implantar o modelo de controle de acesso baseado em função nas organizações, conhecido como RBAC – Role-Based Access Control, apesar dos desafios que essa tarefa apresenta e da necessidade de investimento para sua implantação. A metodologia utilizada é a bibliográfica, descritiva, exploratória, de natureza pura, qualitativa e utilizada como exemplo do estudo de caso referente ao projeto de implantação de projeto RBAC na Companhia de Seguros. E como resultado alcançado os principais motivos para implantar o RBAC na organização são: administração simplificada dos acessos aos sistemas, aumento de produtividade organizacional, redução no tempo de inatividade de novos funcionários, aumento de segurança e integridade dos sistemas e conformidade regulamentar simplificada. E consequentemente, os motivos citados permitem um retorno no investimento da implantação do RBAC a médio prazo. No Relato de Caso apresentado, a previsão do retorno do investimento foi estimada para 18 meses após a implantação completa do projeto.

Palavras-chave: Controle de acesso, Controle de acesso baseado em função, Controle de acesso baseado em papéis, RBAC.

ABSTRACT

The protection of information is a growing concern in organizations in general, private or governmental, since information is a necessity for the tactical, strategic and operational functioning of any organization. Misuse or unavailability of information can have financial, image, legal or operational impacts that can jeopardize the continuity of the organization. In this scenario, controlling access to information becomes a mandatory Information Security requirement for any organization. The objective of this work is to present the main reasons for implementing the role-based access control model in organizations, known as RBAC – Role-Based Access Control, despite the challenges that this task presents. The methodology used is the bibliographic, descriptive, exploratory, of a pure, qualitative nature and used as an example of the case study referring to the project to implement the RBAC project at an insurance company. The results found were: the advantages that the RBAC model provides, the challenges to be faced in its implementation, characteristics of organizations where RBAC is recommended and the good practices recommended for its implementation.

Keywords: Access control, Role-based access control, RBAC.

1. INTRODUÇÃO

Atualmente as organizações possuem diversos sistemas e processos por onde transitam muitas informações de negócio as quais requer um modelo de controle de acessos adequado.

Diante deste cenário, o modelo de controle de acessos RBAC (Role Based Access Control – Controle de acesso baseado em função) tem por objetivo estruturar as permissões de acesso dos sistemas dentro de uma organização, a partir de um mapeamento realizado entre as funções desempenhadas pelos colaboradores a nível de cargo versus permissão de acesso, garantindo assim que as permissões sejam devidamente atribuídas conforme definido pela matriz de acessos, de forma automatiza minimizando os erros operacionais durante a concessão de acessos.

Entretanto, existem diversos desafios na implementação do modelo de controle de acessos RBAC, tais como: requer um alto nível de maturidade e conscientização entre as áreas da organização, de modo que, tanto a área que utilizará o acesso como o gestor responsável pelo sistema devem estar alinhados, a partir de funções e responsabilidades bem definidos, para que possam ser refletidos nos perfis de acesso, e consequentemente, a gestão de acesso dos sistemas e diretórios realizada por uma equipe treinada.

O objetivo deste trabalho é apresentar os principais motivos para implantar o modelo de controle de acesso baseado em função nas organizações, conhecido como RBAC – Role-Based Access Control, apesar dos desafios que essa tarefa apresenta.

O problema de pesquisa tratado foi: Quais os principais motivos para implantar o modelo de controle de acesso RBAC nas organizações?

A importância e justificativa deste artigo é que uma vez implantado o modelo RBAC em uma organização possibilita a esta aprimorar seus processos de gestão de acessos tornando-os automatizados, ágeis e rastreáveis.

2. REFERENCIAL TEÓRICO

Neste capítulo, trataremos os conceitos envolvidos, os desafios e as vantagens do uso do modelo RBAC, com foco nas grandes organizações, assim como algumas recomendações de boas práticas.

2.1 DEFINIÇÃO DE CONTROLE DE ACESSO

Controle de acesso é um requisito de Segurança da Informação previsto na ABNT NBR ISO/IEC 27001:2013 A.9 Controle de Acesso e tem como objetivo:

a) Limitar o acesso à informação e aos recursos e processamento da informação;

b) Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços;

c) Tornar os usuários responsáveis pela proteção das suas informações de autenticação;

d) Prevenir o acesso não autorizado aos sistemas e aplicações.

Segundo Strong Security (2017), o controle de acesso nas informações da empresa faz com que limites sejam estabelecidos aos usuários do sistema, garantindo que os dados sejam acessados somente pelos funcionários autorizados e que recursos, tais como a Internet, possam ser controlados. Quando atrelado ao conceito de Segurança da Informação, o controle de acesso subdivide-se em três processos:

a) Autenticação;

b) Autorização;

c) Auditoria.

Conforme definição de Amoroso (2009), a autenticação é a etapa para confirmar que algo ou alguém é autêntico, ou seja, uma garantia de que qualquer alegação de ou sobre um objeto é verdadeira. As maneiras para validar uma identidade em um computador variam. Elas incluem o uso de senhas, certificados, números especiais e outros tipos de dados.

Segundo o CCMTecnologia (2020), a autorização é a etapa após a confirmação da autenticação e é configurada para elencar o que cada usuário tem permissão para acessar e realizar no sistema. Desse modo, ela delimita os níveis de permissões a cada tipo de usuário de acordo com sua posição na organização. Por exemplo, um colaborador do almoxarifado não precisa ter acesso às informações do financeiro, logo o seu acesso a esses dados é automaticamente bloqueado. E a terceira fase de Auditoria consiste na coleta em tempo real dos históricos de uso dos recursos tecnológicos de cada usuário. Esses dados são utilizados para possíveis verificações futuras caso algum erro aconteça, ou algum usuário utilize sua permissão de forma mal intencionada.

2.2 A IMPORTÂNCIA DO CONTROLE DE ACESSO

De acordo com Gallaher (2002), à medida que as organizações aumentam a funcionalidade e as informações oferecidas em redes internas e externas, o controle do acesso às informações e outros recursos se torna mais complexo e caro. Além disso, as falhas de segurança podem interromper as operações de uma organização e podem ter impactos financeiros, jurídicos, de segurança humana, privacidade pessoal e confiança do público. 

Os sistemas de controle de acesso em uma rede de computadores são usados ​​para controlar as ações, funções, aplicativos e operações de usuários legítimos em uma organização e para proteger a integridade das informações armazenadas no sistema.

Segundo Ferraiolo (1992), as organizações devem desenvolver e aplicar políticas de acesso que protejam informações sigilosas e confidenciais; prevenir conflito de interesses; e proteger o sistema e seu conteúdo de danos intencionais e não intencionais, roubo e divulgação não autorizada. Falhas de segurança podem interromper as operações de uma organização e podem ter impactos financeiros, jurídicos, de segurança humana, privacidade pessoal e confiança do público.

2.3 TIPOS DE CONTROLE DE ACESSO

Segundo Strong Security (2017), dentre os principais tipos de controle que podem ser implantados, podemos destacar 3 tipos de controles de acesso:

a) Mandatório (Obrigatório)

Para Strong Security (2017), essa classificação de controle costuma ser representada pelo acrônimo MAC (Mandatory Access Control). Por meio desta funcionalidade, é o sistema quem aplica as políticas de acesso, obedecendo às configurações de privilégio (definidas pelo administrador de sistemas) e a rotulação das informações (feita pelo gestor da informação).

b) Discricionário

Para Strong Security (2017), no controle de acesso discricionário (Discretionary Access Control – DAC), quem determina as regras e critérios de acesso às informações é o proprietário do recurso. Resumidamente, o proprietário da informação define os usuários que podem acessá-la.

c) Baseado em perfis (RBAC)

Segundo Strong Security (2017), também é conhecido como: (Role Based Access Control – RBAC), o acesso é determinado em função de grupos de trabalho (departamentos) ou do próprio cargo exercido pelo usuário. No caso, cada perfil terá seus privilégios aplicados de forma genérica.

Gallaher (2002), cita o tipo de controle de acesso Lista de Controle de Acesso, conhecido como: Access Control List (ACL), que é um dos modelos de controle de acesso mais comuns, onde cada parte dos dados, banco de dados ou aplicativo tem uma lista de usuários associados a eles que têm acesso permitido.

2.4 O MODELO RBAC

Para Sandhu (1995), o modelo de controle de acesso baseado em funções (Role-Based Access Control – RBAC) flexibiliza o gerenciamento do controle de acesso através da adição de um componente que intermedia usuários e permissões. O modelo considera a existência de quatro componentes básicos: usuários (ou sujeitos); funções; permissões; e sessões.

Ainda para Sandhu (1995), usuários podem ser seres humanos ou outros agentes autônomos, tais como robôs, agentes de softwares e computadores. Permissões são os direitos de executar um ou mais ações ou operações sobre objetos do sistema. Os objetos podem representar arquivos ou dispositivos como conexões de rede, bancos de dados, entre outros. As permissões concedidas variam conforme a semântica do objeto. Um banco de dados, por exemplo, pode conceder permissões para leitura ou alteração de registros, enquanto um sistema operacional pode permitir a execução de um programa ou a impressão de um arquivo.

Segundo Sandhu (1995), as funções são os intermediários entre os usuários e as permissões. Em vez de conceder permissões diretamente aos usuários, as permissões são concedidas as funções. Funções são funções distintas dentro do sistema ou ambiente organizacional, como por exemplo Administrador, Contador ou Auditor.

Usuários são associados a um ou mais funções. Quando um usuário acessa o sistema, ele inicia uma sessão e, durante essa sessão, pode haver um ou mais funções ativas. É possível ainda que um usuário mantenha várias sessões ativas paralelamente. Conforme a especificação do modelo, o usuário pode ter ou não o poder de decidir quais funções ativar em um dado momento.

Para Sandhu (1995), o modelo RBAC permite que sejam impostas restrições na ativação de funções, de modo a impedir a ativação de funções com conflitos de interesse ou mesmo que um usuário possua funções conflitantes. As funções podem ser organizadas de maneira hierárquica, gerando uma cadeia de herança de permissões.

A Figura 1 apresenta os diversos elementos do modelo RBAC, incluindo usuários, funções, permissões, restrições e sessões. Um usuário pode ter várias sessões abertas e cada sessão pode ter várias funções ativadas.  Uma função pode estar relacionada   a muitas permissões e uma mesma permissão pode estar relacionada a muitas funções. Um usuário pode estar relacionado a muitas funções e uma função pode estar relacionado a vários usuários. Pode haver ainda uma relação de herança entre múltiplos funções. Por fim, as restrições podem ser aplicadas a diversas partes do modelo.

Figura 1: Elementos do Modelo RBAC

Fonte: Ueda (2012)

Segundo Sandhu (1995), a flexibilidade do RBAC reside no fato de que o gerenciamento de permissões não precisa mais ser individualizado. Ou seja, quando um usuário deixa de ser responsável por uma função no sistema, basta desassociá-lo da função. Caso seja necessário adicionar uma permissão a função, basta conceder o direito a função, em vez de ter que conceder o direito individualmente para todos os participantes que estão associados a função.

2.5 PRINCIPAIS MOTIVOS PARA IMPLANTAR O RBAC

Gallaher (2002) apresenta os seguintes tipos de benefícios associados ao RBAC em comparação aos outros métodos:

a) Administração simplificada dos acessos aos sistemas;

b) Aumento de produtividade organizacional;

c) Redução no tempo de inatividade de novos funcionários;

d) Aumento de segurança e integridade dos sistemas;

e) Conformidade regulamentar simplificada.

Segundo Gallaher (2002), a simplificação da gestão do controle de acesso no RBAC é obtida uma vez que as permissões são associadas as funções e os usuários são feitos membros de funções, adquirindo assim as permissões da função. Por exemplo, se um usuário muda para uma nova função dentro da organização, o usuário pode simplesmente ser atribuído ao novo função e removido do antigo, enquanto na ausência de RBAC, os privilégios antigos do usuário teriam que ser individualmente localizados, revogada e novos privilégios teriam que ser concedidos. Essa simplificação acaba trazendo benefícios financeiros em sua utilização devido à redução de custos operacionais.

Por causa da maior flexibilidade e amplitude de design de rede associada ao RBAC, o modelo pode ser adaptado para espelhar a estrutura da organização. Isso cria o potencial para formas novas e inovadoras de estruturar a organização, alterar o encaminhamento de informações, ou mudar os processos de produção da organização permitindo um grande impacto na produtividade dos funcionários.

Segundo Gallaher (2002), o RBAC pode reduzir o tempo de estabelecimento de acesso e a estrutura do RBAC possibilita a automação para estabelecer e verificar o acesso. As funções definidas limitam a possibilidade de violações de segurança interna de indivíduos que não deveriam ter acesso aos dados e aplicativos associados a cada função. Além disso, como os privilégios não são atribuídos manualmente, é menos provável que o administrador de segurança cometa um erro e, inadvertidamente, conceda um acesso para um usuário a informações ou aplicativos aos quais não deva ter acesso.

Segundo Schwingel (2020), o aumento da segurança é um item a ser destacado como vantagem do RBAC. Por exemplo, a administração de perfis que aprovam transações financeiras, perfis que têm acesso a dados sensíveis, seguindo para demais perfis com poder de aprovação em fluxos de trabalho (materiais, entrada/saída, entre outros).

Outro motivador para sua implementação é o aumento da agilidade e produtividade: perfis dos cargos que mais ocorrem na organização, perfis cujos cargos têm maior rotatividade e aqueles mais propensos a gerar erros manuais.

Segundo SANDHU (1995), ainda dentro do aspecto de segurança, o RBAC também suporta três princípios de segurança bem conhecidos:

a)  Princípio do menor privilégio – é suportado porque o RBAC pode ser configurado para que apenas as permissões precisamente necessárias para o as tarefas realizadas pelo usuário na função são atribuídas à função.

b) Separação de funções – é alcançado garantindo que funções mutuamente exclusivas devem ser executadas para completar uma tarefa crítica, como exigir a atuação de um funcionário de contabilidade e de um gerente de contas na emissão de um cheque.

c) Abstração de dados – é suportada pela abstração das permissões como crédito e débito para um objeto conta em vez de ler, gravar, executar que são permissões normalmente fornecidas pelo sistema operacional.             

No que tange ao custo financeiro de investimento em um projeto RBAC, observou-se que os números apresentados no Relato de Caso no capítulo 4, reforçam que os motivos citados acima, permitem um retorno no investimento da implantação do RBAC a médio prazo. No Relato de caso, o projeto se pagou após o primeiro ano de implantação.

2.6 OS DESAFIOS DE IMPLEMENTAR O RBAC

Para Gallaher (2002), implementar um modelo de controle de acesso baseado em funções, não costuma ser uma tarefa fácil além de envolver um custo alto, por isso é comum que apenas organizações de certo tamanho e que precisam seguir alguma regulamentação buscam utilizar deste modelo. 

De acordo com Gallaher (2002), uma saída visando reduzir os custos e tempo de implementação, pode ser adotar a implementação do RBAC em fases, em um ritmo incremental, ajudando na escalabilidade o processo e reduzindo riscos. 

Com o tema “Segurança da Informação” sendo cada vez mais inserido nas estratégias das organizações, nota-se um crescente avanço na implementação de controles sobre os acessos aos dados, consequentemente há um alto volume de funções e cargos, elevando custo e manutenção do processo, podendo até reduzir a eficácia deste tipo de controle de acesso, caso não seja bem gerido. 

De acordo com o PlainID (2019), é muito difícil que uma estrutura da organização permaneça estática, tornando as metodologias da RBAC complicadas em um ambiente de negócios dinâmico. Organizações estão estabelecendo integrações entre seu sistema de RH e Active Directory, ferramenta de gestão de usuários de rede mais usada pelas organizações, para criação sincronizada de funções e gerenciamento contínuo de seus ciclos de vida. Essas integrações podem não só ser caras, mas frágeis, difíceis de manter e, em última instância, não gerar os resultados desejados. 

Segundo Cyber Defense Magazine (2019), é importante uma boa definição das funções, que precisam tanto de testes e verificação quanto de outras funcionalidades. Se for definido funções não tão estruturadas no início e colocá-las em produção, pode-se acabar com um número alto de usuários que não têm o acesso de que precisam ou que têm mais acesso do que deveriam. Pode haver um grande esforço de limpeza se você implantar uma estrutura de função que não foi configurada e testada corretamente. Dependendo do tamanho da organização, para se manter o ciclo de vida de funções ativamente, será necessário ter uma área e ou pessoas dedicadas para tal função. Talvez seja necessário contratar analistas de negócios experientes que tenham uma experiência aprofundada em entrevistar os stakeholders do negócio e funcionários de TI, para reunir requisitos detalhados da RBAC para cada área de negócio envolvida no programa RBAC.

Segundo Rathod (2020), em estudos realizados na implantação do RBAC, identificou-se os seguintes pontos que podem levar um projeto a falhar:

a) Falta de patrocínio executivo e financiamento do projeto;

b) Ausência do envolvimento dos usuários de negócios durante o processo de definição de funções;

c) Comunicação insuficiente do custo total do projeto;

d) Design limitado de funções;

e) Falha no cumprimento do princípio de menores privilégios;

Falta de extensibilidade e flexibilidade dos modelos de papéis: ressaltando que os modelos de papéis devem ser adaptáveis às mudanças de negócios.

Dessa forma um projeto de implantação do RBAC deve considerar esses pontos para minimizar o risco de falha em sua execução.

2.7 RBAC NAS GRANDES ORGANIZAÇÕES

Segundo o SEBRAE-SP (2013), define no Anuário do trabalho de micro e pequena organização, o conceito de grandes organizações se dá pela sua composição de 500 ou mais empregados, no que tange ao âmbito de Indústrias, vide quadro abaixo:

Quadro 1: Definição de porte de estabelecimentos segundo o número de empregados

Fonte: SEBRAE-SP (2013)

Segundo o NIST (2020), pode-se observar que o modelo de gestão de acessos baseado em funções (RBAC) é fortemente recomendado para a implantação em grandes organizações, devido ao alto volume de atividades e processos existentes nas diversas áreas dessas organizações, as quais demandam um grande esforço de levantamento prévio para implantação de um modelo robusto e eficaz como o RBAC.

Um ambiente com maior número de funções e atividades existentes, permite que o RBAC seja amplamente aproveitado em seu melhor desempenho e performance dentro da organização para obter os resultados satisfatórios em sua totalidade e assim, o alcance de uma gestão de acessos adequada sendo realizada de ponta-a-ponta, ou seja, cobrindo todas as arestas necessárias no processo de concessão e remoção de acessos para garantir a conformidade e rastreabilidade.

Ainda segundo o NIST (2020), muitas organizações utilizam da estratégia de desenvolvimento de padrões RBAC de uso geral ou para domínios (processos) específicos, de acordo com a necessidade da organização.

Verificou-se no estudo de caso de implementação do RBAC para um grande banco europeu com mais de 50.000 funcionários e 1.400 agências atendendo a mais de 6 milhões de clientes, que a complexidade da organização permitiu a implantação do RBAC e constatando que a partir disto, houve a identificação de 1300 novas funções que até então, eram desenvolvidas pelas áreas do banco entretanto, não se tinha ciência dessa formalização e do seu devido mapeamento, e um dos pontos que são vitais para a implantação do RBAC, é o mapeamento de todas as atividades para estruturação de uma gestão de acessos completa e robusta, um estudo de caso do Sistema de Controle de Acesso Baseado em Funções de um Banco Europeu sobre Modelos e Tecnologias de Controle de Acesso, pp. 3-9, 2001.

Neste estudo de caso, permitiu-se identificar que a existência de um sistema grande e real do banco europeu, teve seu alto grau de compatibilidade com RBAC, devido a complexidade das atividades e funções encontradas no ambiente respectivo, e o sistema de controle de acesso conforme indicado no estudo de caso é diretamente ligado ao banco de dados da área de Recursos Humanos, tornando-o com flexibilidade para certas mudanças organizacionais e funcionando em nível de toda organização, corroborando para servir as diversas plataformas utilizadas no ambiente trazendo a visibilidade e rastreabilidade de toda jornada de concessão e remoção de acessos da organização.

O RBAC é fortemente sustentado e recomendado para as grandes organizações e os fatores de sucesso na implantação do mesmo, vale ressaltar que também dependem de diversos itens além do RBAC em si, como o aculturamento da organização, a colaboração e conscientização de todas as áreas para que a implantação ocorra dentro do esperado e definido, as quais direcionam para um modelo assertivo à uma gestão de acessos adequadamente sustentável.

2.8 AS BOAS PRÁTICAS DE IMPLEMENTAÇÃO DO RBAC

Segundo Costa (2020), embora as dificuldades apresentadas para implementar o RBAC possam assustar e muitas vezes desanimar as organizações a praticarem o tema, a lista de recomendações a seguir pode ser o caminho para que esse modelo de gestão de acessos tenha o sucesso esperado. Sendo:

2.8.1 Responsáveis pelo projeto

Para Prado (2009), a organização deve estabelecer um projeto formal para a implementação do RBAC, contendo pessoas designadas para a gestão do projeto, líderes detentores das informações que serão necessárias para mapear os funções e objetos e responsáveis pela disseminação do assunto para seus liderados, os executores das ações e os patrocinadores financeiros e hierárquicos (comumente a alta gestão da organização), com o intuito de subsidiarem os custos do projeto e para gerenciar conflitos de aderência ao tema.

2.8.2 Cenário atual

Segundo Costa (2020), é necessário que um grande e minucioso levantamento de dados seja efetuado para que o próximo passo seja executado com sucesso. Nesses dados devem constar a relação de todos os funcionários, cargos, unidades físicas, áreas e departamentos estabelecidos, os softwares utilizados pela organização e a descrição detalhada de suas bases de dados. Deve-se listar também toda a estrutura de arquivos em rede e quem a acessa.

2.8.3 Mapear funções e classificar informações

Segundo Costa (2020), com os dados atuais em mãos, é o momento de levantar todas as funções existentes na organização, suas responsabilidades e limites. As responsabilidades e limites deve ser levantada por cada área, revisitando seus processos sistêmicos para desenhar fluxos detalhados deles a fim de obter o “mapa” das funções. Na prática, o resultado será uma lista com o que cada cargo deve acessar e o que cada cargo não pode acessar. Adicionalmente, deve-se estabelecer hierarquia de cargo por herança.

Contudo, é necessário também estabelecer esses níveis de acesso citados nos exemplos anteriores. Qual será a gama de informações que esses níveis poderão acessar. Para isso, uma norma de Classificação de Informações ou Objetos deve estar em execução na organização e cruzada com as informações constantes nos sistemas e diretórios de arquivos. Essa norma tem o objetivo de determinar o quão críticas as informações são para a organização, classificando-as como públicas, sensíveis ou confidencias por exemplo, para aplicar as restrições necessárias de acesso. Vale ressaltar que a norma de Classificação de Informações é item obrigatório da ISO27001, framework de Segurança da Informação, já citado anteriormente.

2.8.4 Criar políticas

Segundo Costa (2020), antes de aplicar os novos acessos, é primordial que estas regras estejam claras, documentadas e disponíveis para toda a organização. Uma política ou norma de gestão de acessos deve ser criada, especificando as regras, funções e responsabilidades e o caminho a ser seguido dentro da organização.

2.8.5 Colocar em prática

Segundo Costa (2020), com todo planejamento efetuado e posse das informações necessárias, executar o RBAC não é uma das tarefas mais difíceis. Porém, para que isso aconteça e não passe a ser um problema para administrar, é importante o uso de ferramentas específicas para gestão de acessos baseada em RBAC. Essas ferramentas devem ter visibilidade dos sistemas de RH, associar cada usuário nos perfis estabelecidos no mapeamento e integrar acessos para o Active Directory e com quaisquer outros sistemas utilizados.

2.8.6 Gestão do RBAC

Segundo Netadmin (2021), o sucesso de uma implementação RBAC é garantir que esse modelo de gestão de acesso é executado de modo correto. Dessa forma é fundamental o estabelecimento de alguns processos para que essa execução seja comprovada:

a) Fluxo de admissão, afastamento, transferência e desligamento de funcionários e terceiros;

b) Revisões de acessos pelos gestores a cada 3 meses;

c) Rastreabilidade das ações dos usuários;

d) Listagem sempre atualizada de todas as contas e permissões;

e) Revisitar o processo de mapeamento de funções a cada 6 meses.

Algumas ferramentas de acesso possibilitam esse gerenciamento de forma automatizada, diminuindo o esforço envolvido nas atividades e, consequentemente, reduzindo os riscos de segurança da informação.

3. METODOLOGIA DE PESQUISA

A metodologia utilizada foi o levantamento de informações em publicações na internet, referencial teórico como embasamento para obter tais informações em monografias e artigos.

Tratando-se de uma pesquisa de natureza pura, exploratória, descritiva e bibliográfica.

Pesquisa exploratória e descritiva: Por ser um assunto que tem muito a ser explorado, o intuito desse trabalho é de investigar mais as características do RBAC.

Segundo Mattar (2001), os métodos utilizados pela pesquisa exploratória são amplos e versáteis. Os métodos empregados compreendem: levantamentos em fontes secundárias, levantamentos de experiências, estudos de casos selecionados e observação informal.

De acordo com Aaker (2004), a pesquisa descritiva, normalmente, usa dados dos levantamentos e caracteriza-se por hipóteses especulativas que não especificam relações de causalidade.

Da mesma maneira, o levantamento das informações referentes aos assuntos que permeiam esse estudo, em diversos tipos de publicação, caracterizam esse trabalho também como pesquisa bibliográfica.

Segundo Vergara (2000), a pesquisa bibliográfica é desenvolvida a partir de material já elaborado, constituído, principalmente, de livros e artigos científicos e é importante para o levantamento de informações básicas sobre os aspectos direta e indiretamente ligados à nossa temática. A principal vantagem da pesquisa bibliográfica reside no fato de fornecer ao investigador um instrumental analítico para qualquer outro tipo de pesquisa, mas também pode esgotar-se em si mesma.

Segundo Barros (2014), pesquisa pura ou pesquisa básica é mais uma especulação mental a respeito de determinados fatos. Esse tipo de pesquisa não implica, em um primeiro momento, em ação interventiva nem transformação de realidade social. Na pesquisa pura o pesquisador está voltado para satisfazer a uma necessidade intelectual de conhecer e compreender determinados fenômenos.

O método utilizado foi um relato de caso retirado da monografia Aplicabilidade do modelo RBAC no controle de acesso para a rede sem fio do Senado Federal encontrada na internet na data de 26/01/2021.

4. RELATO DE CASO: COMPANHIA DE SEGUROS

Este relato de caso está relatado no site do NIST, publicado pelo autor Michael P. Gallaher datado de março de 2002, e retrata a experiência de uma companhia de seguros que conduziu o projeto de implementação do RBAC para gerenciar as permissões de acesso de funcionários e de usuários de seu ambiente. Um dos objetivos principais do relato de caso para os autores consiste em demonstrar mais detalhes sobre o processo de implementação do RBAC.

A expectativa da companhia de seguros é que o uso do RBAC aumente a produtividade e a quantidade de novos negócios anualmente. A instalação e implementação custarão à companha de seguros cerca de U$783.636 dólares ao longo de 12 a 18 meses. 

Uma vez implementado o RBAC, o relato de caso aponta que as estimativas de diminuição de custos administrativos e de produtividade anuais totalizarão cerca de U$ 661.330 dólares. Além disso, a empresa estima que sua estratégia de e-business habilitada para RBAC aumentará sua quantidade anual de novos negócios em 10 a 20%. O RBAC também fornecerá o nível de segurança exigido por uma instituição com um grande número de usuários e uma ampla variedade de tipos de usuários, incluindo agentes de seguros potencialmente concorrentes.

A companhia de seguros poderia ter escolhido um modelo alternativo de controle de acesso, entretanto, teria sido mais caro, embora a extensão do custo adicional seja desconhecida. O que se sabe, de momento, é que uma solução não RBAC teria acarretado um componente de programação maior, o que aumentaria os custos de instalação e customização. O sistema também teria sido muito mais caro de operar e menos seguro por vários motivos relacionados à administração e manutenção de sistemas, como manutenção de diretório e conta de usuário (ou seja, sem administração delegada).

A atividade de trabalho final a ser incluída no projeto de implementação RBAC é a engenharia de funções. A companhia de seguros ainda não concluiu este processo de engenharia de funções e não sabe exatamente a quantidade de tempo e, portanto, das despesas que levará para conclusão da tarefa.

Vale ressaltar que no relato de caso, observou-se que o custo da engenharia de funções também se trata de custo recorrente, ou seja, de acordo com o crescimento da companhia de seguros, a sua estrutura organizacional tende a mudar também.

A companhia planeja primeiramente migrar os usuários da extranet para o novo sistema de controle de gestão de acessos em RBAC e, em seguida, a permissão de acessos de seus funcionários. Todo o processo da primeira etapa da extranet possui a estimativa de ser concluído em 9 meses, e posteriormente será tratado a permissão de acesso de seus funcionários.

4.1 Pontos Positivos

Com base na bibliografia pesquisada identificamos no Relato de Caso, os pontos positivos a partir do estudo de estimativa na implementação do RBAC na companhia de seguros, conforme abaixo:

  1. Minimiza os erros operacionais durante a concessão de acessos, haja vista que o processo automatizado de RBAC proporciona as permissões concedidas conforme a função definida para a área respectiva;
  2. Diminui consideravelmente o tempo de concessão de acessos;
  3. Atendimento da Segurança da Informação requerida para o negócio em relação a gestão de acessos;
  4. Possibilidade de retorno do investimento a médio prazo;
  5. E como estratégia de projeto, a decisão da companhia de seguros de fasear a implantação devido ao seu tamanho e complexidade.

4.2 Pontos Negativos

Com base no relato de caso da companhia de seguros, identificamos a necessidade de um alto custo de investimento como sendo um dos pontos negativos na implantação do RBAC. Além da necessidade de criação de uma nova área ou função responsável por centralizar a definição e manutenção das funções existentes na organização e seus respectivos perfis de acesso e que impacta em custos adicionais e sendo uma nova área que se relaciona com toda a empresa, necessita de apoio da alta direção para alcançar seus objetivos. No caso da companhia de seguros, essa nova área foi nomeada como engenharia de funções.

4.3 Análise do Relato de Caso RBAC NA COMPANHIA DE SEGUROS

Ao observar a experiência relatada no relato de caso da companhia de seguros, pode-se perceber que a implementação do RBAC em seu ambiente, trouxe como resultados:

a) A redução de tempo para as permissões necessárias para cerca de 1 hora (antes eram 3 dias);

b) Previsão de retorno anual em U$660K: com diminuição de custos administrativos​ e aumento de produtividade​;

c) Aumento do nível de segurança; ​

d) Aumento de novos negócios através dos corretores (sistemas de vendas on-line) em até 20%;

e) O modelo de gestão de acessos RBAC tem sido cada vez mais explorado pelas organizações, de modo que, tem proporcionado o retorno financeiro de médio a longo prazo, pois de fato, o RBAC é fortemente recomendado pela sua atuação a partir da concessão e remoção de acessos por funções de modo ágil, rastreável e adequado.

5. CONCLUSÕES

Um projeto de RBAC bem-sucedido contribuirá em reduzir muitos pontos de exposição de segurança cibernética relacionados à “ameaça interna” dentro da organização e, portanto, o sucesso deste projeto é muito importante para qualquer organização que procura fortalecer sua infraestrutura de controle de acesso à informação. 

Foi abordado os principais motivos que ajudarão as empresas evoluir no seu controle de acesso: 

a) Administração simplificada dos acessos aos sistemas; 

b) Aumento de produtividade organizacional;

c) Redução no tempo de inatividade de novos funcionários;

d) Aumento de segurança e integridade dos sistemas;

e) Conformidade regulamentar simplificada;

f) Possibilidade de retorno financeiro.

Como todo e qualquer processo, se faz necessário atenção alguns pontos sensíveis principalmente relacionado a definição dos papéis e funções. Muito do sucesso de implementação deste tipo de controle de acesso está vinculado a este tema. 

Outro tema importante que foi notado é referente ao tamanho da empresa. Foi observado que a gestão de acessos baseado em funções é fortemente recomendado para a implantação em grandes corporações, que já possuem uma estrutura mínima para gerenciar esta atividade. 

O objetivo traçado inicialmente consistiu em apresentar os principais motivos para implantar o modelo de controle de acesso baseado em funções (RBAC) nas organizações foi alcançado, pois os mesmos foram detalhados para que haja um referencial a ser considerado.

O problema de pesquisa tratado foi: Quais os principais motivos para implantar o modelo de controle de acesso RBAC nas organizações? Foi respondido porque os motivos mais relevantes encontrados na pesquisa foram apresentados e detalhados.

Espera-se que o apresentado neste trabalho possa ajudar as corporações a decidir em seguir com um processo de adequação ao RBAC. 

6. REFERÊNCIAS

AAKER, D.; KUMAR, V.; DAY, G. S. Pesquisa de Marketing. São Paulo: Atlas, 2004

ABREU, Vilmar; SANTIN, Altair O.; VIEGAS, Eduardo K.; STIHLER, Maicon. A Multi-Domain Role Activation Mode. Disponível em: https://secplab.ppgia.pucpr.br/files/papers/2017-1.pdf. Acesso em 01/02/2021.

AMOROSO, Danilo. O que é autenticação?. 2009. Disponível em: <https://www.tecmundo.com.br/seguranca/1971-o-que-e-autenticacao-.htm>. Acesso em:  26 jan 2021.

BARROS, Aidil Jesus da Silveira; LEHFELD, Neide Aparecida de Souza. Fundamentos da Metodologia Científica. 3.ed. São Paulo: Pearson Prentice Hall,  2014.

CCMTecnologia. Segurança da informação: Como fazer controle de usuários? 2020. Disponível em: <https://blog.ccmtecnologia.com.br/post/seguranca-da-informacao-como-fazer-controle-de-usuarios>. Acesso em: 24/01/2021.

COSTA, Romeu. Controle de acesso baseado em funções. Como implementar o RBAC nos seus negócios? Disponível em: https://brookhillgc.com/controle-de-acesso-baseado-em-funcoes-como-implementar-o-rbac-nos-seus-negocios/. Acesso em 29/01/2021.

CYBER DEFENSE MAGAZINE. Role based access control and best implementation practices. 2019. Disponível em: https://www.cyberdefensemagazine.com/role-based-access-control-and-best-implementation-practices/. Acesso em 28/01/2021.

GALLAHER, Michael P.; O’CONNOR, Alan C; KROPP, Brian. The Economic Impact of Role-Based Access Control. 2002. Disponível em: https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=916549. Acesso em 02/02/ 2021.

HU, Vincent; FERRAIOLO, David. Attribute Based Access Control ABAC. Disponível em <https://csrc.nist.gov/projects/attribute-based-access-control>. Acesso em: 28 /01/2021.

MATTAR, F. N. Pesquisa de marketing. 3.ed. São Paulo: Atlas, 2001

Net Admin Software. Gerenciamento de Identidade e Acesso. Disponível em: https://netadmin.software/gestao-de-identidade-e-acesso/. Acesso em 01/02/2021.

NIST. Role Engineering and RBAC Standards. 2020. Disponível em:https://csrc.nist.gov/projects/role-based-access-control/role-engineering-and-rbac-standards

PLAINID. Problem with RBAC. 2019. Disponível em: https://blog.plainid.com/problem-with-rbac.  Acesso em 27/01/2021

PRADO, Felipe. Gestão de perfis RBAC (Role Based Access Control). Disponível em: https://administradores.com.br/artigos/gestao-de-perfis-rbac-role-based-access-control. Acesso em 29/01/2021.

SANDHU, Ravi S.; COYNEK, Edward J.; FEINSTEINK, Hal L.; YOUMANK, Charles E. Roled-Based Access Control Models. 1995.  Disponível em: https://csrc.nist.gov/CSRC/media/Projects/Role-Based-Access-Control/documents/sandhu96.pdf. Acesso em 02/02/2021.

SEBRAE-NA- Dieese. Definição de porte de estabelecimentos segundo o número de empregados – Anuário do trabalho na micro e pequena organização. Disponível em: http://www.sebrae.com.br/Sebrae/Portal%20Sebrae/Anexos/Anuario%20do%20Trabalho%20Na%20Micro%20e%20Pequena%20Organização_2013.pdf. Acesso em 01/02/2021.

SCHAAD, Andreas. MOFFETT, Jonathan. JACOB, Jeremy. Estudo de caso: O Sistema de Controle de Acesso Baseado em Funções de um Banco Europeu: Um Estudo de Caso e Discussão, proc. do 6º Simpósio ACM sobre Modelos e Tecnologias de Controle de Acesso, pp. 3-9, 2001. Disponível em: http://moffett.me.uk/jdm/pubs/ACM_Case_Study.pdf. Acesso em: 29/01/2021.

SCHWINGEL, Dino. O que é Gestão de Identidades e Acessos? (Parte 2).  Disponível em: https://www.e-trust.com.br/o-que- e-gestao-de-identidades-e-acessos-parte-2/. Acesso em 02/02/2021

STRONG SECURITY. Controle de acesso nas informações da empresa: por que fazer?. 2017. Disponível em: < https://www.strongsecurity.com.br/blog/controle-de-acesso-nas-informacoes-da-empresa-por-que-fazer/>. Accesso em: 26/01/2021.

UEDA, Eduardo Takeo. Análise de políticas de controle de acesso baseado em funções com rede de Petri colorida. 2012. Tese (Doutorado) – Escola Politécnica da Universidade de São Paulo. Disponível em: http://www.teses.usp.br/teses/disponiveis/3/3141/tde-08032013-120904/. Acesso em 02/02/2021.

VERGARA, Sylvia C. Projetos e relatórios de pesquisa em administração. 3.ed. Rio de Janeiro: Atlas, 2000.

Veja também...

PUBLICIDADE