View
219
Download
0
Category
Preview:
Citation preview
+55 11 3065.7070
Impacto/ Risco Módulo do SenhaSeguraComo a aplicação resolve
Compartilhamento de credenciais de acesso a ativos
Falta de identi�cação na rastreabilidade de um evento de segurança.
Ex.: Acesso com usuário master a base de email da diretoria da empresa.
TI pode manipular os dados e logs a serem auditados referentes
as politicas de acesso
TI consegue acessar documentos sigilosos sempre que forem administradores de dominio.
Acessos feitos com per�l DBA não são identi�cados
Manipulção dos dados auditados
Funcionário desligados permanecem com a credencial privilegiada
Módulo Básico SSH, Windows, BD
Módulo de Gravação de Sessão
Módulo de Gravação de Sessão
Módulo de Gravação de Sessão
Módulo de Auditoria de Comandos
Módulo Delivery a Terceiros
Módulo Delivery a Terceiros
Módulo Básico SSH, Windows, BD
Módulo Básico SSH, Windows, BD
Módulo Básico SSH, Windows, BD
Módulo Básico SSH, Windows, BD
Módulo Básico SSH, Windows, BD
Módulo Básico SSH, Windows, BD
Módulo A2A
Módulo A2A
TI tem acesso a informações con�dencias
Acesso individual de ativos de altíssima criticidade
Falta de controle da Politica de Acesso
Senha de acesso a banco de dados em código fonte
Comprometimento da Senha do SAP
Acesso de terceiros em outras plantas ou localidades de di�cil acesso
Terceiro e usuário da TI compartilham a credencial. Brecha na reponsabilidade legal
Exposição das credenciais de alto privilégio
Rastreabilidade no comportamento da TI
Monitoramento da atividade em ativos criticos (Controlador de Dominio, Firewall, Roteadores, PABX, Servidores web)
Falta de acompanhamento de um terceiro dentro da empresa. Ex.: Uma manutençao de link
desacompanhada pode derrubar uma rota de forma inadequada deixando a operação fora do ar.
O usuário de serviço do SAP tem a senha compartilhada entre a TI.
Um usuário pode derrubar o módulo de produção, sem ser identi�cado
Concomitantemente a uma manutenção programada, pode ser realizada um atividade ilicita.
Ex. (Port Mirror), grampo telefonico, liberação de regra de �rewall indevida
Mesmo identi�cado usuário pode fazer mal uso da credencial,
tornando di�cil a detecção
Dado o volume grande de ativos e administradores área de segurança pode demorar a perceber uma
tentativa de sequestro de equipamento.
Quando um terceiro acesso uma localidade �ca de posse da credencial por tempo identerminado. Ex.: Pode acessar o equipamento em qualquer
outro momento expondo os dados.
Mais de uma pessoa tem a mesma credencial no acesso de terceiros.
Torna impossível atribuir responsabilidade legal em caso de falha de terceiro.
Um usuário de má fé altera seu comportamento e passa a vigiar
o comportamento dos ativos da empresa
Um usuário que poderia ter privilégio para acesso em um ocasião especi�ca (GMUD, incidente) pode
acessar a qualquer momento qualquer ativo da empresa sem se identi�car.
Alteração de dados no banco sem identi�cação (Ex.: formula de um remedio,
dados de retorno de uma pesquisa realizada)
Vazamento de informação (Ex.: Desenvolvedor tem acesso a uma informação a qual ele não deveria ter acesso. Por exemplo ele pode salvar imprimir, mandar por email o custo de
fabricação, a formula de um remédio, valores de salários do rh, dados �nanceiros da empresa)
Guarda 100% das chaves de acesso e só as libera mediante
identi�cação pessoal do usuário.
Aplicação fornece um gateway de acesso ao banco de dados,
não sendo necessária exibição da senha.
A aplicação tem um per�l de auditor que não pode ser alterado e fornece acesso direto aos dados
para os auditores.
Senha só é forncecida sob demanda, além de ser alterada de
forma automática após uso.
Aplicação possui um repositório de documentos que pode
restringir o acesso inclusive da TI.
Fornecimento da credencial com dupla custódia. Um funcionário
seria corresponsável pelo acesso.
Ainda que a pessoa tenha direito de acesso ao ativo
e só será concedido quando houver aprovação.
A gestão do usuário de serviço é feita pelo senhasegura
e é contantemente alterada. Usuário são identi�cados.
Aplicação fornece um gateway de acesso ao ativo, não sendo necessária exibição da senha.
Ainda que o usuário seja administrador pode ter determina-
dos comandos bloqueados.
Envia a senha ao ceular do presta-dor e a subsitui após o uso.
Envia a senha ao ceular do presta-dor e a subsitui após o uso.
Envia resumo diário de acessos e vizualizações de senha.
Efetua a gravação de 100% dos acessos.
Senha de acesso ao banco será criptografada e protegida no senhasegura e não será mais
exibida para o desenvolvedor. O sistema irá fornecer o objeto de conexão com acesso a base
somente para a aplicação, sem acesso ao banco.
Demora na identi�cação ou não identi�cação de tentativa de fraude ou sequestro de ativo
atendimento@senhasegura.com.brwww.senhasegura.com.br
Análise de Impacto no Negócio
Recommended