Utilização de matriz de classificação de conta e priorização para gestão de acesso privilegiado

GestaoIdentidade

A  forma de gerenciamento de contas e acessos privilegiados por parte das empresas pode variar de acordo com diversos fatores, como a política de tratamento de credenciais e a ferramenta utilizada para o gerenciamento das identidades.

Normalmente é utilizada uma abordagem que considera as credenciais de forma igualitária, sem nivelamento ou atribuição de criticidade, o que gera inconsistências devido a falta de uniformidade. Como exemplo de boa prática temos a “Matriz de criticidade de conta” que é projetada para auxiliar na padronização da maneira como é feita a classificação das contas, baseada, obviamente, em sua criticidade. Essa Matriz deve possuir critérios adaptados para as necessidades de cada organização. Vejam abaixo alguns exemplos de critérios que podem ser utilizados na Matriz.

  • Número de indivíduos que têm acesso a uma determinada credencial privilegiada;
  • Frequência do uso da conta;
  • Potencial para acesso a dados confidenciais;
  • Escopo de privilégio em sistemas ou plataformas únicos/múltiplos;
  • Nível de controle concedido.

Com base na classificação numérica proveniente da Matriz serão definidos o perfil das contas da organização em questão, quais são consideradas de “alto risco”, quais são considerados de “baixo risco” e assim por diante.

Em post publicado no blog da CyberArk por Art Chaisiriwatanasai, diretor da KPMG em Chicago (EUA), podemos saber mais sobre a utilização da Matriz. Leiam aqui.

A CyberArk é uma empresa de segurança focada na gestão de contas privilegiadas e parceira da Clavis Segurança da Informação.

Para saber mais sobre o Gerenciamento de identidades disponibilizamos dois episódios do SegInfoCast, ambos gravados com profissionais da própria CyberArk. Vejam abaixo:

SegInfocast #27 – Cofre de Senhas e Gerenciamento de Identidades

SegInfocast #30 – Contas, senhas e privilégios: onde atacarão e como se proteger