Análise de Impacto no Negócio
Impacto/ Risco
Compartilhamento de credenciais
de acesso a ativos
Falta de identificação na rastreabilidade
de um evento de segurança.
Ex.: Acesso com usuário master a
base de email da diretoria da empresa.
Acessos feitos com perfil DBA
não são identificados
Manipulção dos dados auditados
TI pode manipular os dados e logs
a serem auditados referentes
as politicas de acesso
Funcionário desligados permanecem
com a credencial privilegiada
Como a aplicação resolve
Módulo do SenhaSegura
Guarda 100% das chaves de
acesso e só as libera mediante
identificação pessoal do usuário.
Módulo Básico
SSH, Windows, BD
Aplicação fornece um gateway
de acesso ao banco de dados,
não sendo necessária
exibição da senha.
Módulo de
Gravação de Sessão
A aplicação tem um perfil de
auditor que não pode ser alterado
e fornece acesso direto aos dados
para os auditores.
Módulo Básico
SSH, Windows, BD
Senha só é forncecida sob
demanda, além de ser alterada de
forma automática após uso.
Módulo Básico
SSH, Windows, BD
TI tem acesso a informações confidencias
TI consegue acessar documentos sigilosos
sempre que forem administradores de dominio.
Aplicação possui um repositório
de documentos que pode
restringir o acesso inclusive da TI.
Módulo Básico
SSH, Windows, BD
Acesso individual de ativos
de altíssima criticidade
Falta de acompanhamento de um terceiro
dentro da empresa. Ex.: Uma manutençao de link
desacompanhada pode derrubar uma rota de forma
inadequada deixando a operação fora do ar.
Fornecimento da credencial com
dupla custódia. Um funcionário
seria corresponsável pelo acesso.
Módulo Básico
SSH, Windows, BD
Falta de controle da Politica de Acesso
Um usuário que poderia ter privilégio para acesso
em um ocasião especifica (GMUD, incidente) pode
acessar a qualquer momento qualquer ativo da
empresa sem se identificar.
Ainda que a pessoa tenha
direito de acesso ao ativo
e só será concedido quando
houver aprovação.
Módulo Básico
SSH, Windows, BD
Alteração de dados no banco sem identificação
(Ex.: formula de um remedio,
dados de retorno de uma pesquisa realizada)
Senha de acesso a banco
de dados em código fonte
Vazamento de informação
(Ex.: Desenvolvedor tem acesso a uma informação
a qual ele não deveria ter acesso. Por exemplo ele
pode salvar imprimir, mandar por email o custo de
fabricação, a formula de um remédio, valores de
salários do rh, dados financeiros da empresa)
Senha de acesso ao banco será
criptografada e protegida no
senhasegura e não será mais
exibida para o desenvolvedor.
O sistema irá fornecer o objeto
de conexão com acesso a base
somente para a aplicação,
sem acesso ao banco.
Módulo A2A
Comprometimento da Senha do SAP
O usuário de serviço do SAP tem a senha
compartilhada entre a TI.
Um usuário pode derrubar o módulo
de produção, sem ser identificado
A gestão do usuário de serviço
é feita pelo senhasegura
e é contantemente alterada.
Usuário são identificados.
Módulo A2A
Monitoramento da atividade em ativos criticos
Concomitantemente a uma manutenção
programada, pode ser realizada um atividade ilicita.
Ex. (Port Mirror), grampo telefonico,
liberação de regra de firewall indevida
Efetua a gravação de
100% dos acessos.
Módulo de
Gravação de Sessão
Exposição das credenciais de alto privilégio
Mesmo identificado usuário pode fazer
mal uso da credencial,
tornando dificil a detecção
Aplicação fornece um gateway
de acesso ao ativo, não sendo
necessária exibição da senha.
Módulo de
Gravação de Sessão
(Controlador de Dominio, Firewall, Roteadores, PABX, Servidores web)
Demora na identificação ou não identificação
de tentativa de fraude ou sequestro de ativo
Ainda que o usuário seja
Dado o volume grande de ativos e administradores
área de segurança pode demorar a perceber uma administrador pode ter determinados comandos bloqueados.
tentativa de sequestro de equipamento.
Módulo de
Auditoria de Comandos
Acesso de terceiros em outras plantas
ou localidades de dificil acesso
Quando um terceiro acesso uma localidade fica de
posse da credencial por tempo identerminado.
Ex.: Pode acessar o equipamento em qualquer
outro momento expondo os dados.
Envia a senha ao ceular do prestador e a subsitui após o uso.
Módulo
Delivery a Terceiros
Terceiro e usuário da TI compartilham a credencial.
Brecha na reponsabilidade legal
Mais de uma pessoa tem a mesma
credencial no acesso de terceiros.
Torna impossível atribuir responsabilidade
legal em caso de falha de terceiro.
Envia a senha ao ceular do prestador e a subsitui após o uso.
Módulo
Delivery a Terceiros
Rastreabilidade no comportamento da TI
Um usuário de má fé altera seu
comportamento e passa a vigiar
o comportamento dos ativos da empresa
Envia resumo diário de acessos
e vizualizações de senha.
Módulo Básico
SSH, Windows, BD
+55 11 3065.7070
[email protected]
www.senhasegura.com.br