A Tecnologia da Informação - TI tem evoluído de maneira frenética dentro das organizações, atendendo as mais diversas necessidades e provendo os mais variados tipos de soluções e serviços. Esta evolução tem aumentado de forma significativa a complexidade do ambiente de TI e o seu relacionamento com as demais áreas dentro das organizações. Esta complexidade remete os gestores à aplicação de controles cada vez mais robustos, integráveis, específicos e poderosos, com o objetivo de oferecer o mínimo de gerenciamento possível e consiste do ambiente corporativo.

Mas além do gerenciamento, esta grande estrutura corporativa possui uma quantidade inimaginável de informação, nos seus mais diversos tipos e objetivos. A informação se tornou uma commodity onde as operações de negócio se tornaram muito dependentes. Alguns autores consideram a informação como Fator de Produção, assim como capital, trabalho e matéria prima. Além disso, a informação carrega em si conhecimento e inteligência e, justamente por isso, necessita ser protegida adequadamente. A proteção está diretamente ligada a Segurança, neste caso, a Segurança da Informação.

A Segurança da Informação tem sido um tema tão recorrente dentro das organizações, que a abordagem evoluiu a ponto de existir na estrutura organizacional a posição do Chief Information Security Officer – CISO. As ações de Segurança da Informação se tornaram organizadas, alinhadas ao negócio e principalmente embasadas por códigos de boas práticas e normas internacionais.

A principal referência mundial em norma de Segurança da Informação é a série ISO 27000. Esta série é composta por uma norma de certificação, conhecida como ISO/IEC 27001:2006 e pelo código de boas práticas estabelecido pela ISO/IEC 27002:2005. Este código de boas práticas reúne 133 controles de segurança, distribuídos em 39 objetivos de controles. Muitos destes controles são baseados na Tecnologia da Informação, outros na própria estrutura organizacional das corporações.

Dentre os controles de Segurança da Informação baseados na TI, é possível identificar sub-áreas específicas como segurança de redes e em sistemas de informação. Um ponto comum nestas sub-áreas é a abordagem do controle de acesso aos recursos de TI e a autenticação dos usuários. Além disso, o ciclo de vida de um usuário e sua autorização na organização é ponto que une a TI com o RH – Recursos Humanos. Estes controles, que atendem a diversas áreas da organização, possuem uma natureza complexa e o sucesso de sua aplicação muitas vezes depende das ferramentas e soluções utilizadas.

É possível identificar no mercado várias iniciativas de ferramentas que buscam este controle de maneira ágil, confiável e dinâmica. Mas neste universo, uma destaca-se de maneira relevante sobre as demais, a solução de gerenciamento de identidade.


A NORMA DE SEGURANÇA DA INFORMAÇÃO ISO/IEC 27002:2005

A ISO/IEC 27002, também referenciada como código de boas práticas, foi estruturada para fornecer a especificação de controles de segurança da informação dentro de uma organização, abrangendo separadamente cada uma das partes da respectiva estrutura do negócio, dentre eles, recursos humanos ou ambientais, equipamentos, sistemas e programas informatizados.

A história da ISO/IEC 27002 é mais longa que imaginamos. A primeira especificação do código de boas práticas em Segurança da Informação surgiu em 1993 com uma publicação do NCC - National Computer Centre do Reino Unido. Já em 1995 a BSI – British Standard Institution publicou a formalização deste código através da norma BS 7799. Em 2000, a ISSO formalizou uma norma internacional com base na BS 7799, denominada ISO/IEC 17799:2000, revisada em 2005 e transformada na atual ISO/IEC 27002:2005.

A norma ISO/IEC 27002 é estruturada em seções de controle, objetivos de controles e controles.

1.1 Seções de Controle
As cláusulas ou seções de controle foram dispostas em onze itens, que podem caracterizar setores ou departamentos distintos dentro da organização. Foram ordenados de tal forma que permitem uma implantação organizada, iniciando com Políticas de Segurança da Informação, Recursos Humanos, Segurança Física, Controle de Acessos, Gestão da Continuidade de Negócios, Incidentes de Segurança e por fim com Conformidade.

1.2 Objetivos Controles
Os trinta e nove objetivos de controles estão distribuídos dentro das onze seções de controle e apontam os pontos que necessitam de tratamento para proteger a informação dentro das organizações. Estes objetivos de controle também podem ser entendidos como Processos, pois possuem entradas, saídas e atividades específicas. Como todo processo, pode ser monitorado, medido e avaliado.

1.3 Controles
Os controles especificados na norma totalizam cento e trinta e três sugestões de boas praticas de segurança, estruturadas dentro dos objetivos propostos a serem tratados dentro das organizações, e abordam ações em sua maioria simples de ponto de vista da aplicabilidade.
O processo de análise e planejamento da estruturação da segurança da informação torna-se mais tangível com a utilização dos controles, que em momento algum são especificados como obrigatórios ou especificam ferramentas, mas tratam de opções aplicáveis dentro da necessidade de cada organização.

Dentre todos estes controles, os mais relevantes para a abordagem do Gerenciamento de Identidade são listados abaixo, totalizando 17 controles de segurança:

Onde o código X.Y.Z significa: Seção X; Objetivo de Controle Y; Controle Z
3.2.2 Rótulos e tratamento da informação
4.1.1 Papéis e Responsabilidades
4.3.3 Retirada de Direitos de Acesso
6.1.3 Segregação de Funções
7.1.1 Política de Controle de Acesso
7.2.1 Registro de Usuário
7.2.2 Gerenciamento de Privilégios
7.2.3 Gerenciamento de Senha dos Usuários
7.2.4 Análise Crítica dos Direitos de Acesso do Usuário
7.3.1 Uso de Senhas
7.4.1 Política de Uso dos Serviços de Rede
7.4.2 Autenticação para conexão externa do Usuário
7.5.1 Procedimentos Seguros de Entrada no Sistema (log on)
7.5.2 Identificação e Autenticação do Usuário
7.5.3 Sistema de Gerenciamento de Senha
7.5.6 Limitação do Horário de Conexão
7.6.1 Restrição de Acesso à Informação


O ALINHAMENTO ENTRE AS SOLUÇÕES IDM E A ISO 27002

Atender aos controles de segurança especificados pela norma ISO/27002 é uma atividade que demanda análise, pois muitas vezes podem ser utilizados softwares, hardwares ou mesmo metodologias e mudança de cultura.

As soluções IDM atendem vários controles e requisitos de segurança através de uma coleção de produtos. Assim como em outros controles da norma que são atendidos por uma gama imensa de opções, os controles aqui apresentados representam o resultado do sucesso de várias implantações realizadas pelas principais consultorias do mundo.