Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

Perfis por Funo em Sistemas Corporativos


Maio de 2008







Autor: Rudnei Guimares, Consultor Snior da Order






Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

Resumo
A implantao e utilizao de Perfis por Funo uma prtica recomendada pelos rgos
reguladores e normas internacionais. Eles permitem prover os privilgios de acessos aos
sistemas corporativos estritamente necessrios para os colaboradores desempenharem suas
atividades. A criao e manuteno dos Perfis por Funo em ambientes corporativos efetuadas
por processos manuais podem no acompanhar o dinamismo da corporao. A adoo de
sistemas de Gerenciamento de Identidade Corporativa automatizou toda a administrao da
concesso de acessos e devem estar em sintonia com os Perfis por Funo. Diante destes
desafios, ser apresentado o resultado de um trabalho efetuado utilizando o Eurekify Sage como
ferramenta de apoio para a criao, administrao, reviso e conformidade dos Perfis por
Funo.

Introduo
O Perfil por Funo (ou RBAC Role Based Access Control) um projeto do National Institute of
Stantard and Technology (NIST), que tem por objetivo criar um modelo para prover e administrar
privilgios de acesso em uma organizao.
Sugesto: um conceito sobre prticas de controle de acesso que originou nos anos 70 e se
desenvolveu at ter sua primiera proposta de padro em 2004 pelo NIST.
O Perfil por Funo o controle de acesso baseado no papel, na atividade ou na funo que o
colaborador exerce dentro da organizao. Vrios sistemas corporativos modernos possuem
algum modelo de Perfil por Funo. Por exemplo:
SAP so as profiles;
Microsoft AD so os grupos;
RACF so os domnios e grupos;
CA Top Secret so as profiles;
Oracle so as roles;



Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

BMC Control-SA so as profiles;
IBM TIM so as profiles;
Novell Identity Manager so as roles.
O Perfil por Funo agrega os acessos, possibilitando ter uma viso do privilgio de acesso de
forma corporativa e no mais por sistema; incorpora a hierarquia organizacional e segregao de
funes dentro do seu modelo. A segregao de funes probe o usurio de, exercendo certa
atividade, executar outra atividade ao mesmo tempo que implique em risco operacional para o
negcio. A hierarquia organizacional reflete a estrutura dos papis desempenhados pelos
colaboradores dentro da organizao.
Vrias normas e regulamentos governamentais, como Sarbanes-Oxley (SOX), COBIT, ISO/IEC
17799, recomendam a implementao de controles, como o Perfil por Funo, como forma de
seguir as polticas de acesso.
O trabalho desenvolvido foi executado em um sistema proprietrio, contendo Perfis por Funo,
seus privilgios de acesso e os usurios a eles conectados. Englobou:
O planejamento das atividades;
A reviso dos privilgios de acesso atual;
A certificao dos privilgios de acesso pelos responsveis;
A verificao se os privilgios de acesso revisados esto em conformidade com as normas da
organizao;
A proposio de novos perfis por funo;
A verificao se os perfis por funo propostos esto em conformidade com as normas da
organizao;
A integrao com a ferramenta de Identity Management (IdM) utilizada pela corporao.
Este sistema proprietrio a principal porta de entrada da plataforma de negcios, sendo
utilizada pelos colaboradores que atendem os clientes da empresa e continha inicialmente 292
Perfis por Funo. Ele controla os acessos a 152 plataformas de negcio.



Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

O principal objetivo do trabalho foi reorganizar os privilgios de acesso em novos Perfis por
Funo.

Planejamento das Atividades
A seguinte metodologia foi utilizada para desenvolver o trabalho:
Obteno de Dados:
RH: definio e obteno de dados essenciais dos usurios (como Status, lotao, cargo,
etc);
Regras de Negcio: obteno das regas de negcio dos privilgios de acesso, normas,
regulamentos e segregao de funo, utilizadas na organizao;
Levantamento das atividades: entendimentos de como os servios so desempenhados
pelos colaboradores;
Importao e tratamento das Bases Autoritativas: manipulao dos dados do formato
proprietrio da base autoritativa para o formato Sage e saneamento dos dados;
Campanhas de certificao: foram criadas campanhas para envolver os responsveis e
solicitar a reviso de certificao dos privilgios de acesso atuais;
Prospeco de novos Perfis por Funo: aps o saneamento e certificao, propor nova
organizao dos Perfis por Funo;
Certificao dos Perfis por Funo: avaliar junto com o gestor do Negcio e a rea de
Segurana da Informao, os Perfis por Funo e os privilgios de acesso propostos.

Um dos desafios na engenharia de Perfis por Funo encontrar o nvel correto de
granularidade que permita controle e que, ao mesmo tempo, no resulte em excesso ou falta de
privilgios de acesso. Para efetuar o ajuste fino e encontrar o ponto de equilbrio entre Perfis por
Funo e excesso/falta de privilgios, foram utilizados os seguintes critrios:
Sobreposio de usurios em mais de um Perfil por Funo: 0%;



Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

Nmero mnimo de privilgios de acesso: mdia dos privilgios de acesso;
Fuso de perfis por Funo:
100% dos usurios devem ser iguais ou;
No mnimo 90% dos privilgios de acesso devem ser iguais ou;
Usurios devem ser da mesma rea de negcio e no mnimo 80% dos privilgios de
acesso devem ser iguais.

Reviso dos Privilgios de Acesso Atuais
Aps a fase de obteno de dados, j se pode obter os primeiros resultados:
Usurios inativos: ao cruzar os usurios do sistema com os dados obtidos do RH, identificou-
se que 23% dos usurios j tinham sido desligados da empresa;
Responsveis pelo Perfil por Funo que no esto em conformidade com os regulamentos:
0,55%;
Perfis por Funo inativos: 23% dos Perfis por Funo no eram utilizados por ningum,
sendo que um Perfil por Funo no tinha nem privilgio de acesso;
Perfis por Funo iguais: 6% dos Perfis por Funo possuam exatamente os mesmos
privilgios de acesso;
Privilgios de acesso inativos: 26,7% dos privilgios de acesso cadastrados no eram
utilizados. Foi identificado de imediato que a funcionalidade provida por 1 privilgio de
acesso, apesar de cadastrado, no existia mais;
Privilgios de acesso com a mesma descrio: 7% dos privilgios de acesso possuam a
mesma descrio, porm com funcionalidades diferentes. Destes, dois privilgios de acesso
no tinham descrio.



Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

Adicionalmente, foi identificada a taxa de utilizao de cada privilgio de acesso do usurio,
provido pelo Perfil por Funo. Esta taxa de utilizao auxiliou o responsvel na certificao do
privilgio de acesso.

Certificao de Privilgios de Acesso pelos Responsveis
Um dos principais desafios na certificao de privilgios de acesso envolver o responsvel pelo
Perfil por Funo de tal modo que ele possa entender que esta atividade importante para o
desempenho das atividades dos usurios com mais qualidade e segurana.
Para que o principal objetivo do trabalho fosse atingido (reorganizar os privilgios de acesso em
novos Perfis por Funo), uma nova abordagem foi utilizada em relao tradicional.
Na abordagem tradicional, o responsvel verificaria se os usurios e privilgios de acesso
deveriam estar conectados quele Perfil por Funo. A abordagem utilizada foi mostrar para o
responsvel a taxa de utilizao de cada privilgio de acesso pelos usurios de seu Perfil por
Funo. Deste modo, ficava evidente o que era e o que no era utilizado, auxiliando o
responsvel na certificao do Perfil por Funo. Estes dados foram disponibilizados no Sage
Portal e foram criadas campanhas de esclarecimento e certificao.
As campanhas de esclarecimentos foram efetuadas por meio de workshops, de no mximo 2
horas. Foi fornecido um kit esclarecimento, que descrevia passo-a-passo o que o responsvel
deveria efetuar.
As campanhas de certificao foram efetuadas pelo envio de um link individual por e-mail para
cada responsvel pela certificao pelo Perfil por Funo. O link abria uma pgina Web, a qual
possibilitava o responsvel identificar os privilgios de acesso a serem certificados. Ele podia
aprovar ou reprovar e, neste caso, inserir uma justificativa.
A campanha pelo Sage Portal tambm possibilitou acompanhar a evoluo das certificaes dos
Perfis por Funo pelos responsveis, relembrando, quando necessrio, alguns responsveis
sobre necessidade de efetuar a certificao.



Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

Outra vantagem das campanhas foi efetuar a delegao das certificaes de alguns
responsveis que estavam saindo de frias ou tiveram suas atividades transferidas para outras
pessoas.

Verificao se os Privilgios de Acesso revisados esto em
conformidade
Na fase de certificao de privilgios de acesso, foi dada a liberdade para que os responsveis
pudessem solicitar novos privilgios de acesso.
Aps a finalizao das campanhas, foram verificadas se as solicitaes de novos privilgios de
acesso estavam em conformidade com as normas da empresa. Esta verificao foi efetuada
utilizando a funo do Sage ERM de auditoria e regras de negcios.

Proposio de Novos Perfis por Funo
Aps a reviso dos privilgios de acesso efetuada pelos responsveis, a variao dos privilgios
de acesso dentro de um mesmo Perfil por Funo original variou bastante. Por exemplo, um
Perfil por Funo que abrangia 21% dos usurios, continha 81 privilgios de acesso. Aps a
reviso, a solicitao de privilgios de acesso para este Perfil por Funo variou de 1 a 81.
Dois Perfis por Funo agrupavam 35% do total dos usurios e 53% dos Perfis por Funo
continham apenas uma pessoa. Ao tentar reorganizar em novos Perfis por Funo, o resultado
foi a proliferao de novos perfis com pouqussimos privilgios de acesso (menos que 40) e
contendo apenas uma ou duas pessoas. A tentativa de reorganizar em novos perfis por funo
utilizando o critrio do organograma tambm no obteve um bom resultado. Para estas
situaes, preferiu-se e manter os privilgios de acesso.
Ao avaliar os privilgios de acesso, identificou-se 19 que privilgios de acessos so utilizados
por 94% dos usurios antes da proposio dos perfis por funo. Estes 19 privilgios de acesso
passaram a formar um Perfil por Funo bsico do sistema. Aps a proposio, estes privilgios



Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

passaram a ser utilizados por 99% dos usurios e por 98% dos perfis por funo propostos, sem
implicar em excesso de privilgios.
O resultado da prospeco por novos perfis por funo foi a seguinte proposta:
247 novos perfis por funo:
1 Perfil por Funo contendo 259 usurios (21,5% total de usurios);
65 Perfis por Funo contendo uma pessoa (correspondendo a 26% do total).

Verificao se os Perfis por Funo propostos esto em
conformidade
Aps a proposio dos novos Perfis por Funo, foram verificados se os usurios e privilgios de
acesso do Perfil por Funo estavam em conformidade com as normas da empresa, efetuando-
se os ajustes necessrios para aqueles que violavam as regras.

Integrao com a ferramenta de Identity Management
Desde o incio do trabalho, ficou evidente que o Sage deveria ser integrado ferramenta de IdM,
atuando como fonte autoritativa dos Perfis por Funo. Aps estudos, identificaram-se dois
modos de integrar o Sage com a ferramenta da IdM:
Via Web Service, no qual a ferramenta de IdM consultaria o Sage para fornecer os Perfis por
Funo;
Via arquivo, no qual os Perfis por Funo estavam relacionados com seus privilgios de
acesso.
Optou-se por utilizar o Web Service, como forma de obter os Perfis por Funo sempre
atualizados. A integrao por arquivo foi utilizada tambm, como forma de contingncia. Neste
caso, os Perfis por Funo poderiam ficar desatualizados por at 24hs.



Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

Toda vez que um gestor solicita acesso para um novo colaborador, mostrado os Perfis por
Funo disponveis. O gestor selecionar o Perfil por Funo e o IdM trata de efetuar os
provisionamentos necessrios.
A remoo de um colaborador de um Perfil por Funo acarreta em remover os privilgios de
acesso do colaborador. Neste caso, o Sage no precisa ser informado.
A modificao de um Perfil por Funo no Sage processada pelo IdM diariamente, sendo que
as modificaes efetuadas nos Perfis por Funo so removidas ou concedidas aos
colaboradores automaticamente.
A integrao do Sage com a ferramenta de IdM proporcionou implantar o Perfil por Funo
Corporativo. Este Perfil por Funo engloba as principais plataformas tecnolgicas da empresa.

Concluso
O trabalho de reviso dos privilgios de acesso atual e proposio de novos Perfis por Funo
foi concludo em 2 meses e meio. Ficou evidente que a utilizao do Sage como ferramenta de
auxlio para a reviso, administrao e criao de Perfis por Funo economizou tempo e
adicionou qualidade ao trabalho. Estimou-se que se todo o trabalho fosse efetuado manualmente
(planilhas e desenvolvimento de interfaces para tratamento dos dados) demandaria pelo menos
6 meses.
Pde-se observar que o saneamento inicial da base autoritativa eliminou vrios problemas de
segurana e violaes s normas, sem impacto para as atividades de negcio providas por este
sistema.
A integrao do Sage com a ferramenta de IdM proporcionou uma maior agilidade para o gestor
do negcio, reduzindo o tempo para incio do trabalho de um novo colaborador e proporcionando
um melhor controle sobre quem faz o qu. A rea de Segurana da Informao passou a ter um
controle automatizado dos processos e a rea de Auditoria passou a ter uma ferramenta que j
verifica os privilgios de acessos contra as normas da empresa.




Os negcios das companhias com a gesto de perfis e privilgios

Copywright Order Solues em TI direitos reservados

Ganhos observados:
Reduo da quantidade de Perfis por Funo em 15,4%;
Reduo de 74% dos Perfis por Funo utilizados por 1 usurio;
Reduo dos privilgios de acesso em 40% dos usurios;
Manuteno dos privilgios de acesso em 32% dos usurios;
Reduo de 30% no tempo de concesso de acesso em todos os sistemas necessrios para
o colaborador comear a trabalhar;
Reduo de 60% no retrabalho da concesso de acesso;
Diminuio substancial dos excessos de privilgios, comprovados pela reduo em 80% de
pontos de auditoria dos sistemas gerenciados pelo IdM /Sage.