Gestão de “roles”: desejo ou necessidade?

Um dos elementos críticos em todas as organizações de TI é a gestão de utilizadores, tanto no que se refere à sua faceta operativa e eficiência de custos, como à parte do controlo de riscos e cumprimento de políticas e normativas.
De um modo geral, a gestão de utilizadores concede aos diferentes colaboradores das organizações os acessos às aplicações e recursos de que eles necessitam para realizarem o seu trabalho.
Para simplificar e automatizar este processo, cedo surgiu a ideia do agrupamento de utilizadores por “roles” e de gerir os acessos (a recursos) com base nas funções desempenhadas pelos utilizadores (RBAC – Role Based Access Control). Nesta perspectiva, a gestão de “roles” é um componente fundamental dos projectos de Gestão de Identidades.
Na teoria tudo isto soa muito bem, mas na prática existe uma série de circunstâncias que complicam a aplicação de modelos de gestão baseados em “roles”.
A realidade
Todas as organizações têm um grau de complexidade que torna muito difícil enquadrar todos os utilizadores em “roles” puros, por isso, e seguindo a típica Lei de Pareto, a maior parte dos direitos dos utilizadores pode ser reflectida num número suficientemente pequeno de “roles” (ou grupos). O problema é que a partir daí a parte restante tem de ser coberta com nomeações ad-hoc, que vão crescendo ao longo do tempo em número e complexidade.
Além disso, todas as organizações podem conceder estes novos acessos ad-hoc de forma eficiente quando são necessários, mas quase todas falham em eliminar esses acessos quando já não são necessários.
Isto aponta para a outra faceta do problema, a validação e auditoria de que os direitos concedidos aos utilizadores estão a ser utilizados de forma correcta quanto ao nível de risco ou cumprimento de políticas (empregados com acesso a aplicações e recursos herdados de cargos anteriores mas que já não são necessários, nem convenientes, ou separação de responsabilidades). A gestão de “roles” é, pois, um problema… ou uma solução?
A solução
A verdade é que a gestão de “roles” não só é uma solução como também uma necessidade. Não podemos entendê-la como algo que se faz uma vez e se mantém para sempre, é uma função viva que requer atenção e monitorização contínua. Para isso são necessárias ferramentas que facilitem este trabalho, encarregadas da consolidação e correlação da informação de acessos e da execução de relatórios e simulações de cenários.
Nos nossos Sistemas de Informação já existem de forma implícita “roles” ou grupos que são alterados cada vez que são solicitados novos acessos ou a modificação dos existentes. Mas o importante é que o conhecimento, a identificação e a correlação destes “roles” (implícitos ou explícitos) nos fornecem uma valiosa informação para a gestão de identidades, análise de riscos e cumprimento de normas e execução de auditorias.
Utilidade da gestão de “roles” na gestão de utilizadores
Numa organização típica com cerca de mil utilizadores e com uma combinação de serviços de produtividade interna (e-mail, servidores de ficheiros, impressoras) e aplicações, facilmente se atingem dezenas de milhar de acessos que é necessário gerir, com uma taxa provável de centenas que mudam todos os dias.
Sem dúvida que, nestas circunstâncias, as ferramentas de gestão de utilizadores são uma grande ajuda para os administradores de sistemas e responsáveis pela segurança. Mas, quer se disponha deste tipo de ferramentas ou não, ou se esteja a proceder à implementação e optimização de processos de gestão de utilizadores, é muito útil dispor de uma visão comum dos diferentes repositórios de utilizadores, das relações que existem entre os diversos direitos de um mesmo utilizador, e da informação do conjunto de direitos que são partilhados por grupos mais ou menos numerosos de utilizadores. E também, de todos os direitos definidos mas não atribuídos.
A solução de gestão de “roles” permite, portanto, dispor dessa visão conjunta e identificação dos “roles” técnicos já existentes nos sistemas. Isto pode facilitar, em grande medida, a identificação de “roles” funcionais ou anomalias nas atribuições, mas pode também facilitar o processo de gestão de utilizadores, dado que sempre é mais fácil atribuir a um novo empregado os privilégios já existentes para um colega de departamento, do que os ir atribuindo a pouco e pouco, e à medida que vão sendo solicitados.
Por outro lado, se já se dispõe de ferramentas de gestão de utilizadores (“provisioning”), a gestão de “roles” é um complemento muito importante para perfilar utilizadores, modelar os “roles” disponíveis e conservar a sua limpeza e eficácia. Além disso, como será descrito mais adiante, facilitam e completam os trabalhos de análise de riscos e auditoria.
Utilidade da gestão de “roles” na análise de riscos
A gestão da segurança está intimamente relacionada com a avaliação e gestão de riscos.
No enfoque qualitativo da gestão de riscos são determinadas as ameaças, vulnerabilidades e controlos necessários para cobrir as mesmas.
Intrinsecamente, tudo isto parte da identificação dos activos da organização, que incluem as aplicações e fontes de informação sensível.
Normalmente é estabelecida ou não a existência de políticas de controlo de acessos (segundo a norma ISO 27002), mas isto não é suficiente, dado que as políticas nem sempre são implementadas e mantidas da forma adequada. Por isso é necessário verificar (auditar) quais os utilizadores que têm acesso e com que características, por exemplo, através de uma avaliação ACIDA (Autenticação, Confidencialidade, Integridade, Disponibilidade e Auditoria) a esses activos mais sensíveis.
A forma de obter estes dados é auditando os diferentes sistemas de informação que alojam esses activos e correlacionar os privilégios e direitos de acesso dos utilizadores com os grupos e funções a que pertencem. Este é o papel das ferramentas de gestão de “roles”, que agilizam e garantem a completude desta informação, o que de outro modo requer cuidados e um prolongado trabalho manual.
Utilidade da gestão de “roles” na auditoria e cumprimento
É cada vez maior o esforço necessário para justificar a adaptação e cumprimento das normas existentes às quais estão obrigadas as nossas organizações. E em todas elas, tal como no caso da análise de riscos, os utilizadores desempenham um papel determinante.
Em geral existe um conjunto de medidas ou boas práticas que estas normas impõem (ou as próprias políticas internas de segurança ou a boa gestão):
•    Permitir o acesso apenas ao que seja necessário. As empresas devem atribuir aos utilizadores direitos de acesso apenas àqueles recursos de que necessitam para desempenharem as suas funções.
•    Acesso autorizado a informação sensível. As empresas devem garantir que apenas os utilizadores autorizados têm acesso a informação sensível (que é precisamente a que está sujeita a normas).
•    Separação de responsabilidades. As empresas devem confirmar que práticas de boa gestão são aplicadas na atribuição de recursos, como por exemplo, quem decide sobre uma encomenda não deve ser quem efectua os pagamentos.
•    Tudo isto é necessário verificar e justificar através de auditorias periódicas.
Para tudo isto é necessário verificar a informação dos privilégios, disponíveis em vários repositórios: bases de dados de recursos humanos, os próprios sistemas operativos, metadirectórios e ferramentas de gestão de utilizadores.
No caso de se dispor de ferramentas de “provisioning”, os relatórios fornecidos pelas ferramentas são evidentemente uma ajuda, mas podem não ser suficientes para os trabalhos de auditoria e cumprimento, dado que nem sempre cobrem todos os sistemas ou as alterações introduzidos por fora da ferramenta, mas fundamentalmente porque estes relatórios são concebidos de forma unilateral (ou seja, parte dos utilizadores) e não para combinar e correlacionar informação de fontes múltiplas, que é o que fornecem as soluções de gestão de “roles” (mais concebidas para analisar desde os privilégios até aos utilizadores). Isto é especialmente importante quando se trata de determinar a separação de responsabilidades e na identificação de empregados que funcionam como colectores de privilégios, ou na determinação de quem tem acesso a informação sensível.
Conclusões
Os “roles” são algo intrínseco à gestão de utilizadores e identidades nos sistemas de informação, mas a sua gestão torna-se uma tarefa delicada que requer bastante esforço e que, além disso, é necessário manter viva. Por isso têm cada vez maior interesse as ferramentas de engenharia e gestão de “roles”.
Estas ferramentas são um bom complemento para as soluções de gestão de utilizadores, mas podem também funcionar de forma independente para melhorar estes processos em organizações que não dispõem de sistemas de “provisioning”, como ferramenta para completar e melhorar a análise de riscos, e sobretudo para auditorias e gestão do cumprimento de políticas e normas.
É necessário não esquecer que por trás da gestão de “roles” há componentes organizativos e de negócio das empresas, mas este tipo de ferramentas automatiza todo o trabalho de extracção e correlação da informação de acessos e permite a simulação de novos cenários organizativos e de processos, com o que se tornam um dos apoios essenciais para o trabalho operativo, táctico e estratégico dos responsáveis pela segurança nos sistemas de informação.