Avaliação de um Sistema de Gestão de Identidade e Acesso
em uma Organização Pública Federal
Yuri Feitosa Negócio1, Felipe P. de Assumpção Santiago1, Laerte Peotta de Melo2
1
Empresa de Tecnologia e Informações da Previdência Social - DATAPREV
2
Universidade de Brasília - UNB.
{yuri.feitosa, felipe.santiago}@dataprev.gov.br, [email protected]
Abstract. The protection of individual and institution privacy is essential
within Brazilian federal public administration due to the critical informations
handled by the governmental systems. It involves the execution of a set of
procedures that ensures information access control properly. Concerning this
scenario, this paper analyzes the enforcement of information and
communication security controls related to identity and access management
applied by a federal public organization
Resumo. Para a Administração Pública Federal se torna imperativo proteger
a privacidade individual e das instituições. Devido à criticidade das
informações manipuladas por estes sistemas, exige-se que sejam aplicados
uma série de processos que assegurem que a informação tenha seu acesso
controlado adequadamente. Neste sentido, este trabalho realiza uma análise
na aplicação atual dos controles de segurança da informação e comunicações
relacionadas à gestão de identidade e de acesso fornecida aos clientes de uma
Organização Pública Federal.
1. Introdução
O avanço constante das tecnologias de computação e comunicação possibilita
cada vez mais o acesso da sociedade a uma vasta gama de informações, sem as
tradicionais restrições físicas e temporais. Esta nova realidade que se apresenta,
denominada de Sociedade da Informação, está alterando bruscamente as relações entre
os indivíduos e setores da sociedade. No sentido de reduzir a burocracia e melhorar o
atendimento da população, a Administração Pública Federal (APF) tem realizado
constantes investimentos no desenvolvimento de sistemas de informação. Segundo
Simião (2009), a APF é composta por organizações complexas de amplo alcance que
lidam com informações importantes, tanto para a prestação de serviços públicos aos
cidadãos, como também para a tomada de decisões estratégicas do Estado. Desta forma,
a medida que estes novos sistemas de informação representam os processos de negócio
e fornecem insumos para a tomada de decisões, eles tem se tornado cada vez maiores e
mais complexos, e, conseqüentemente, disponibilizam um maior volume de
informações e recursos sensíveis.
Considerando a sua importância e impacto nos objetivos de negócios de uma
organização, o controle de acesso necessita de leis, normas, regulamentos,
procedimentos que governem sua execução. Alguns esforços na APF são observados,
como o Decreto nº 4.553, de 27 de dezembro de 2002, a Instrução Normativa GSI nº 1,
de 13 de junho de 2008, e a Norma Complementar 07, de 06 de maio de 2010.
Entretanto, inúmeros desafios ainda estão presentes. Uma evidência das
dificuldades, mesmo que não diretamente relacionado com a APF, é que de acordo com
a pesquisa feita pelo Ponemon Institute (Ponemon, 2010), 87% dos usuários das
organizações possuem acesso a mais informações do que precisariam para execução de
suas atividades.
Neste sentido, considerando os desafios envolvidos na atividade de gestão da
segurança da informação e comunicações e tendo em vista reduzir as ameaças
envolvidas, este artigo apresenta uma avaliação da gestão de identidade e de acesso
desempenhados por uma organização da APF. Para isso, foram selecionados e avaliados
63 controles de segurança nos principais frameworks, normativos e guias como o
COBIT (ITGI, 2007), OISM3 (O-ISM3, 2011), ABNT NBR ISO 27002:2005 (ABNT,
2005), Norma Complementar 07 (DISC/GSIPR, 2010) e o guia de Boas Práticas em
Segurança da Informação do Tribunal de Contas da União (BRASIL, 2008).
Trabalhos similares foram realizados por (Barbosa, 2009) e (Paranhos, 2010). O
primeiro trabalho avalia de forma geral as Organizações Militares do Exército Brasileiro
quanto à maturidade e aplicação dos controles ISO/IEC 27002:2005. O segundo
trabalho propõe um framework para avaliação da maturidade da segurança da
informação em organizações, através do uso de diversas normas. Este artigo difere um
pouco dos demais, pois engloba os normativos e guias adotados pela APF como
referência.
Este artigo está organizado da seguinte forma: a seção 2 apresenta os conceitos e
a classificação adotada para os controles da gestão de identidade e de acesso. A seção 3
apresenta as principais referências selecionadas para a identificação dos controles. A
seção 4 apresenta os controles selecionados e o estado atual da aplicação deles na
organização avaliada. Por fim, a seção 5 apresenta as conclusões finais e os trabalhos
futuros.
2. Gestão de Identidade e Acesso
O conceito de identidade está relacionado com a associação entre um indivíduo e
suas características únicas. A gestão de identidade é o controle de todo o ciclo de vida
envolvido na execução deste processo. De acordo com NSTC (2008), a gestão de
identidade pode ser definida como a combinação de sistemas técnicos, regras e
procedimentos que definem a posse, utilização, e segurança de uma identidade. Seu
objetivo primário é estabelecer a confiança na associação de atributos a uma identidade
digital e conectar esta identidade com uma entidade individual.
Para complementar a gestão de identidade, existe a gestão de acesso que, de
acordo com FICAM (2009), tem como propósito garantir que a verificação da
identidade seja realizada quando um indivíduo tenta acessar os dados, sistemas de
informação ou instalações físicas. Para simplificar a compreensão e melhorar a
identificação das responsabilidades, o FICAM (2009) dividiu a gestão de acesso em três
áreas principais:
 Gestão de Recursos: Responsável por estabelecer e manter os dados (regras de
acesso, requisitos de credenciais) para uma determinada informação ou recurso
que possa ser acessado.
 Gestão de Privilégios: Responsável pela gestão de políticas e processos que
definem como são fornecidos os direitos de acesso das entidades aos sistemas de
informação. Engloba a gestão de todos os dados que constituem os privilégios de
acesso e atributos, envolvendo o armazenamento, organização e acesso a
informação nos diretórios.
 Gestão de Políticas: Responsável pelos processos que estabelecem e mantêm as
políticas de controle de acesso que são incorporadas nas lógicas e regras de
negócio. Normalmente, é baseada nos atributos e papéis associados a uma
identidade. Ela gerencia o que é permitido ou não de ser acessado em uma
determinada transação.
A gestão de identidade e de acesso é uma atividade complexa que pode estar
difusa nos processos de uma organização. Diante da inexistência de um programa de
gestão de identidade e de acesso, é importante identificar as responsabilidades sobre a
execução de controles de segurança por áreas. Sendo assim, este artigo adota a
separação em cinco áreas de gestão identidade, gestão de acesso (recursos, privilégios, e
políticas) e auditoria.
3. Controles para Gestão de Identidade e Acesso
A atividade de controle está relacionada com a capacidade de uma determinada
pessoa ou grupo adquirir domínio sobre uma determinada atividade ou outro grupo.
Para a área de tecnologia da informação não existe um consenso formal sobre a
definição de controle, entretanto, para esta pesquisa foi utilizada a definição proposta
pelo COBIT (ITGI, 2007) em que c
detectados e corrigidos.
As próximas subseções irão apresentar os principais frameworks e normas
relacionados com a segurança da informação e com a gestão de identidade e de acesso.
Cada subseção irá identificar as áreas ou grupo de controles diretamente envolvidos na
gestão de identidade e de acesso.
3.1. COBIT
O Control Objectives for Information and related Technology (ITGI, 2007) é
e orientado a processos, baseado em controles e orientado
por medic
modelo COBIT, em sua versão 4.1, apresenta um conjunto de boas práticas
identificadas através de um consenso entre especialistas internacionais, que são
organizadas através modelo de processo genérico baseado em quatro domínios e trinta e
quatro processos. O COBIT define suas atividades em alto nível, orientando a
organização no que precisa ser feito e não em como deve ser feito para se obter
governança, gerenciamento e controle.
Os processos são responsáveis, em conjunto com os recursos de TI, por
constituir a arquitetura de TI da organização. No COBIT, os processos são mapeados
em domínios que equivalem às tradicionais áreas sob responsabilidade de TI, como o
planejamento, construção, processamento e monitoramento. Os quatro domínios de
processos (ITGI, 2007) são: Planejar e Organizar (PO), Adquirir e Implementar (AI),
Entregar e Suportar (DS), Monitorar e Avaliar (ME).
Em 2009, criou-se o Programa de Auditoria e Garantia de Gestão de Identidade
(ISACA, 2009) com o objetivo de prover uma avaliação independente relacionada com
a eficácia da gestão de identidade, suas políticas, procedimentos e atividades de
governança através de uma revisão de auditoria. O foco desta revisão de auditoria está
relacionado nos padrões, guias e procedimentos, bem como na sua implementação e
governança sobre tais atividades.
De acordo com (ISACA, 2009) os domínios Planejar e Organizar (PO) e Entrega
e Suporte (DS) estão diretamente relacionados com a avaliação da gestão de identidade.
Para o primeiro domínio temos os controles Esquema de Classificação de Dados (PO
2.3) e Responsabilidade por Riscos, Segurança e Conformidade (PO 4.8). Para o
segundo domínio temos os controles Gestão de Identidade (DS 5.3) e Gestão de Contas
de Usuário (DS 5.4).
3.2. Open Information Security Management Maturity Model (O-ISM3)
O Open Information Security Management Maturity Model (O-ISM3, 2011) é
um framework para a criação, adaptação e operação de um Sistema de Gerenciamento
de Segurança da Informação (SGSI) desenvolvido pelo The Open Group. Ele define um
número gerenciável e coeso de processos de segurança da informação necessários para a
maioria das organizações. Para cada processo relevante, alguns controles de segurança
são identificados e atuam como partes essenciais do processo. Neste sentido, o ISM3 é
compatível com os padrões ISO/IEC 27000:2009, COBIT e ITIL(OGC, 2007).
De acordo com o O-ISM3, para serem efetivos, os processos de segurança da
informação de uma organização devem ser documentados, medidos e gerenciados. O
framework O-ISM3 define a maturidade de acordo com a execução de processos
essenciais para a segurança. A capacidade é definida em termos de métricas e práticas
gerenciais utilizadas. O framework exige que os objetivos de segurança e suas
responsabilidades sejam derivados dos objetivos de negócio, além de promover uma
medição formal da eficácia de cada processo de segurança.
A gestão de identidade e controle de acesso é uma das categorias de objetivos de
segurança essenciais para determinar os processos que compõe o sistema de gestão de
segurança da informação (SGSI) baseado no O-ISM3. Nesta pesquisa, foram
identificados quatro processos diretamente relacionados, são eles:
1. Definição das regras de divisão de responsabilidades (SSP-4): Através da
divisão das responsabilidades, é possível melhorar o uso dos recursos e
reduzir os riscos de incidentes por ameaças internas.
2. Inventário de Ativos (OSP-3): A operação do SGSI depende da
identificação e classificação dos ativos críticos da organização.
3. Controle de Acesso (OSP-11): Garante a proteção contra incidentes como,
por exemplo, espionagem, negação de responsabilidade, tentativa de
acesso não autorizado e divulgação da informação.
4. Registro de Usuários (OSP-12): Garante a proteção contra incidentes
relacionados com o cadastro errôneo e concessão inadequada de acesso
as informações da organização.
São três processos operacionais e um único estratégico. O SSP-4 é um processo
estratégico que tem a importante missão de separar a responsabilidade na execução de
processos de negócio críticos. O OSP-3 é responsável por classificar a informação e os
ativos da organização, sendo considerada uma atividade essencial para uma política de
controle de acesso eficaz. O OSP 11 e OSP-12 são os tradicionais processos de gestão
de acesso e identidade.
3.3. Guia de Boas Práticas em Segurança da Informação do TCU
O Tribunal de Contas da União, com
a Administração Pública Federal,
em segurança da informação (Brasil, 2008). O guia tem como objetivo apresentar as
boas práticas para qualquer pessoa que se relacione de alguma forma com sistemas
informatizados, desde simples usuários até profissionais envolvidos diretamente com
segurança da informação.
O documento está dividido em quatro capítulos, que tratam o controle de acesso
lógico, a política de segurança de informações e o plano de contingência. Por fim, o
guia apresenta no quarto capítulo os comentários sobre a NBR ISO/IEC 27002:2005 e
Por ter sido escrito de forma abrangente, o guia apresenta informalmente
conceitos e controles relacionados com os assuntos pertinentes a cada capítulo.
Considerando o foco desta pesquisa, observa-se que as práticas envolvidas no controle
de acesso lógico de sistemas podem ser divididas em sete grupos de práticas, são elas:
Credenciamento,
Autenticação,
Gerenciamento
de
Sessões,
Autorização,
Monitoramento, Administração de Usuários e Acesso e Políticas de Controle de Acesso.
3.4. Norma Complementar 07
O Departamento de Seguranca da Informac
(DSIC) do
Gabinete de Segurança Institucional da Presidência da República (GSI-PR) aprovou a
Norma Complementar 07 que estabelece as diretrizes para a implementac
a da Informac
entidades da Administrac
A Norma Complementar 07 baseou-se amplamente nos controles definidos pela
ISO/IEC 27002:2005. Entretanto, ela faz uma clara distinção entre o controle de acesso
lógico e o físico. Para o controle de acesso lógico foram definidos três grupos de
diretrizes, são eles: Criação e Administração de Contas, Acesso a Rede de
Computadores e Ativos da Informação. Para o controle de acesso físico são definidos
quatro grupos de diretrizes: Acesso as Áreas e Instalações Físicas, Usuários, Ativos de
Informação e ao Perímetro de Segurança. O foco deste trabalho está orientado na
avaliação da organização quanto ao controle de acesso lógico, portanto, apenas as
diretrizes relacionadas controle de acesso lógico foram avaliados.
3.5. ISO 27002:2005
A ABNT NBR ISO 27002:2005 é a versão nacional do código de práticas para
gestão da segurança da informação. Historicamente, a norma derivou-se da BS77991:1999 definida pelo BSI (British Standards Institution) no Reino Unido. Seu objetivo
é definir, de forma abrangente, um conjunto de controles que podem ser implementados
por uma organização. Segundo Calder; Watkins (2008), ela é utilizada como guia de
ações necessárias para a implementação de um Sistema de Gestão de Segurança da
Informação (SGSI) segundo a norma ABNT NBR ISO 27001:2005.
De acordo ABNT NBR ISO 27002:2005(ABNT, 2005), seus controles podem
ser considerados como o ponto de partida para o desenvolvimento de diretrizes voltadas
para a segurança da informação em uma organização. Entretanto, nem sempre eles
podem ser aplicados ou são suficientes para assegurar a segurança da informação. Um
exemplo desta afirmativa, é o fato de que determinados controles podem ser mais
dispendiosos que o valor da informação que eles pretendem proteger ou que a constante
evolução das ameaças justifique a adoção de controles adicionais. Sendo assim, eles
devem ser selecionados mediante uma análise de risco e de retorno de investimento
periódica.
Os controles relacionados com gestão de identidade e de acesso estão
distribuídos em graus diferentes por todas as áreas definidas. Entretanto, eles estão
concentrados em maior grau nas áreas de gestão de ativos, segurança em recursos
humanos e controle de acesso.
4. Controles Selecionados e Avaliação em uma OPF
Segundo a ABNT NBR ISO 27002:2005 (ABNT, 2005), convém que os
controles sejam selecionados e implementados para assegurar que os riscos sejam
reduzidos a um nível aceitável. Para cada controle identificado foi realizada uma análise
do objetivo envolvido. Diante desta análise, os controles similares foram agrupados em
um único controle e classificados quanto ao seu tipo: Administrativo (A), Operacional
(O) e Técnico (T). Para cada item de controle identificado, sua execução foi classificada
através da escala apresentada na Tabela 1.
Tabela 1 – Escala de verificação de controles
Nível
Descrição
Efetivo
Quando o controle é aplicado e o seu resultado é considerado eficiente.
Não Efetivo
Quando o controle é aplicado mas o seu resultado não é considerado eficiente.
Insuficiente
Quando o controle é aplicado, mas não atende completamente.
Não Aplicado
Quando o controle não é aplicado.
A Tabela 2 apresenta os controles identificados já agrupados, a relação de cada
controle com o framework ou norma que o definiu e a relação com do controle com a
área de gestão identidade e de acesso (recursos, privilégios e políticas). Ao total foram
63 controles identificados, onde 22 relativos à gestão de identidade, 34 com a gestão de
acesso e 7 com auditoria.
Para a avaliação dos controles foram utilizadas técnicas como a análise
documental, observação direta e a realização de entrevistas semi-estruturadas com os
dois principais responsáveis pela área de gestão de identidade e de acesso da
organização.
Tabela 2 – Controles Selecionados para a Gestão de Identidade e de Acesso
Controles
C
O
T
N
2
Gestão de Identidade
Políticas e Procedimentos
(A) Se todos os usuários possuem um único
identificador universal e formalmente definido.
x
(A) Se o custo beneficio para a representação da
identidade digital foi definido
x
(A) Se os direitos e obrigações do uso da
identidade estão definidos no contrato de
trabalho
x
(A) Se o processo de solicitação, emissão,
revogação, modificação de identidade está
definido
x
x
x
x
x
x
C
O
T
N
2
(O) Se os direitos de acesso são
concedidos baseados nos princípios
necessidade de conhecer, mínimo
privilégio e interesse do serviço
Controles
x
x
x
x
x
(O) Se os direitos de acesso são
revisados periodicamente
x
(O) Se existem relatórios de métricas
de acesso
x
x
Gestão de Políticas
x
x
x
x
(A) Se os direitos e obrigações do uso
dos direitos de acesso estão definidos
no contrato de trabalho
x
(O) Se existe política de confidencialidade na
entrega de credenciais
(A) Se são definidos políticas e procedimentos
prévios de credenciamento
x
(A) Se o credenciamento ocorre apenas depois
da contratação
x
x
(A) Se existe política para a criação de
credenciais seguras
x
x
(A) Se o credenciamento dos usuários está de
acordo com as normas e legislações vigentes
para o acesso a sistemas críticos
x
(A) Se são definidas políticas para a concessão
de credenciais de administração
x
Execução e Verificação
(T) Se as identidades digitais estão armazenadas
em um repositório central
x
x
(O) Se as identidades digitais são revisadas
periodicamente
x
x
x
(A) Se existe uma política que
descreva
o
procedimento
de
autenticação
x
(A) Se são definidos nos contratos
políticas que apliquem sanções a
acessos não autorizados por parte das
terceirizadas
x
x
x
(A) Se a política de controle de acesso
está em conformidade com a política
de segurança da informação e
comunicações
x
x
(A) Se existem programas de
conscientização e sensibilização sobre
controle de acesso
x
Execução e Verificação
x
(T) Se o registro de último acesso é
preservado e mostrado ao usuário
x
(T) Se a sessão de acesso é expirada
após tempo de inatividade
x
(O) Se as credenciais
periodicamente
modificadas
x
(T) Se a sessão de acesso proíbe acesso
concorrente
x
(T) Se os históricos das credenciais são
armazenados
x
(T) Se a concessão de acesso baseia-se
em horários
x
(T) Se as identidades são bloqueadas por
inatividade
x
(T) Se as conexões são encerradas apos
o fim da sessão de acesso
x
(T) Se informações relevantes não são
informadas no procedimento de
autenticação
x
(T) Se o credenciamento é feito por um
processo automatizado
x
(O) Se as credenciais são removidas após o
desligamento do usuário
x
(T) Se a autenticação utiliza múltiplos fatores
x
x
x
x
Gestão de Privilégios
Política e Procedimentos
(A) Se o processo de solicitação,
concessão, modificação e revogação de
direitos de acesso está definido
Gestão de Acesso
Gestão de Recursos
(A) Se existe um
solicitação de acesso
Política e Procedimentos
x
x
(A) Se a implementação do controle de
acesso é aprovada previamente pela
direção da organização
x
(A) Se a política de classificação da informação
está definida
x
x
(T) Se o primeiro acesso com uma credencial é
controlado
são
x
(A) Se a segregação de funções é
definida na política de controle de
acesso
x
(A) Se o processo de solicitação, emissão,
revogação e modificação de identidade está
definido para os ambientes de desenvolvimento
(A) Se existem relatórios de métricas das
identidades
x
(A) Se a política de controle de acesso
é
definida
formalmente
pela
organização
x
(A) Se existem políticas de privacidade para o
uso da identidade
Política e Procedimentos
x
modelo
para
(A) Se a concessão de acesso é baseada
na segregação de funções
x
x
x
x
x
x
(A) Se os controles de acesso são identificados
com base na gestão de riscos de segurança da
informação e comunicações
x
(A)
Se
são
definidos
termos
responsabilidade para o uso dos recursos
x
de
(A) Se os direitos de acesso são documentados
x
(A) Se os direitos de acesso são
aprovados pelos proprietários das
informações
x
x
(A) Se os recursos criptográficos utilizados são
homologados
Execução e Verificação
x
(O) Se os proprietários da informação são
definidos
x
(O) Se o tempo de retenção da informação é
definido
x
x
x
x
x
x
(T) Se o recurso oferecido utiliza canal seguro
de comunicação
x
x
(A) Se existe um modelo para solicitação de
acesso
x
x
(A) Se o processo de revisão de concessão de
direitos de acesso é definido formalmente
(O) Se os direitos de acesso são
concedidos baseados nos princípios
necessidade de conhecer, mínimo
privilégio e interesse do serviço
x
(O) Se os direitos de acesso são
revisados periodicamente
x
x
x
x
x
x
x
x
Políticas e Procedimentos
(A) Se os eventos de auditoria são
previamente definidos
x
(T) Se são definidos mecanismos que
garantam a exatidão dos registros de
auditoria
x
Execução e Verificação
x
(T) Se o uso da identidade é registrado
(trilha de auditoria)
x
(O) Se as trilhas de auditoria do uso da
identidade são analisadas
x
(A) Se a concessão de acesso é baseada na
segregação de funções
(A) Se os direitos de acesso são aprovados
pelos proprietários das informações
x
Auditoria
x
(T) Se o armazenamento das informações é
adequado
(A) Se o processo de solicitação, concessão,
modificação e revogação de direitos de acesso
está definido
(A) Se o processo de revisão de
concessão de direitos de acesso é
definido formalmente
(O) Se existem relatórios de métricas
de acesso
x
(O) Se a classificação da informação é revisada
periodicamente
(T) Se os direitos de acesso são armazenados
em um repositório central
x
Execução e verificação
x
(O) Se a informação está classificada quanto ao
sigilo
x
x
x
x
x
Legenda: C = Cobit, O = OISM2, T = TCU, N = NC 07 e 2 = ISO 27002
x
(T) Se os usuários são identificados no
acesso as informações (trilhas de
auditoria)
(O) Se as trilhas de auditorias do
acesso as informações são analisadas
periodicamente
(T) Se os acessos são registrados para
oferecer rastreabilidade das ações
tomadas
x
x
x
x
x
x
x
As próximas subseções apresentam os resultados coletados sobre a
conformidade de uma organização com os controles identificados.
4.1. Gestão de Identidade
A Figura 1 apresenta os resultados obtidos dos controles relacionados com a
Gestão de Identidade Política e Procedimentos. Foram identificados 59% dos controles
como efetivos, 25% como insuficientes, 8% como não efetivos e 8% como não
aplicados. Quanto a Execução e Verificação foram identificados 60% dos controles
como efetivos, 20% como insuficientes, 20% como não aplicados e nenhum controle
como não efetivo.
Figura 1: Avaliação dos Controles da Gestão de Identidade
4.2. Gestão de Acesso
A Figura 2 apresenta os resultados obtidos dos controles relacionados com a
Gestão de Acesso e Política e Procedimentos. Foram identificados 50% dos controles
como efetivos, 11% como insuficientes, 39% como não aplicados e nenhum como não
efetivo.
Figura 2: Controles da Gestão de Acesso
A Figura 2 também apresenta os resultados obtidos dos controles relacionados
com a Gestão de Acesso e Execução e Verificação. Foram identificados 56% dos
controles como efetivos, 19% como insuficientes, 19% como não aplicados e 6% como
não efetivos.
4.3. Auditoria
A Figura 3 apresenta os resultados obtidos dos controles relacionados com a
Auditoria Políticas e Procedimentos. Foram identificados 50% dos controles como
efetivos, 50% como insuficientes. Não foram identificados controles como não
aplicados e não efetivos. Quanto a Execução e Verificação, foram identificados 60%
dos controles como efetivos, 20% como insuficientes, 20% como não aplicados e
nenhum como não efetivo.
Figura 3: Controles de Auditoria relacionados com Políticas e Procedimentos
5. Conclusão e Trabalhos Futuros
Este trabalho teve como objetivo avaliar um sistema de gestão de identidade e de
acesso em uma Organização Pública Federal. Para o estabelecimento do critério de
análise, foram identificados os principais controles técnicos, administrativos e
operacionais relacionados com a gestão de identidade e de acesso, com base nos
principais normativos. Os controles relacionados foram identificados e agrupados de
acordo com o seu propósito, levando em consideração gestão da identidade e as
subdivisões da gestão de acesso, como a gestão de recursos, gestão de privilégios e
gestão de políticas.
Após a identificação, os controles de segurança foram avaliados em uma
organização específica integrante da APF. Embora os dados coletados sejam suficientes
para compreender o panorama atual da gestão da identidade e do acesso da organização
pesquisada, a não adoção de um modelo de maturidade tornou impossível a
classificação do estágio atual em níveis. Este desafio será foco de futuros trabalhos, com
o objetivo de melhorar a avaliação do sistema de gestão de identidade e de acesso.
Por fim, a identificação dos controles de segurança da gestão de identidade e do
acesso com base nos principais normativos e a verificação da implementação real de tais
controles foram as principais contribuições da pesquisa para a organização. Os controles
identificados podem ser utilizados por outras organizações para a avaliação de seus
sistemas de gestão de identidade e de acesso, como também, podem ser verificados
novamente para identificar a evolução destes processos. Esta nova verificação permite
observar e direcionar melhorias na segurança da informação e comunicações no
controle de acesso às informações.
Referências Bibliográficas
ABNT. Código de prática para a gestão da segurança da informação: ABNT NBR
ISO/IEC 27002:2005. 2a. ed. Rio de Janeiro, 2005.
BARBOSA, A. de S. Avaliação Preliminar dos Níveis de Maturidade dos Controles de
Segurança da Informação e Comunicações adotados em Organizações Militares do
Exército Brasileiro, de acordo com a Norma ABNT NBR ISO/IEC 27002:2005.
Monografia de Conclusão de Curso (Especialização). Universidade de Brasília. 2009.
ALDER A WA K N
G
:AM
’ G
D
ISO 27001/ISO 27002. 4ª Edição. Reino Unido. Kogan Page Limited. 2008.
y
BRASIL. Tribunal de Contas da União. Boas práticas em segurança da informação /
Tribunal de Contas da União. – 3. ed. Brasília. TCU 2008.
DSIC/GSIPR. Norma Complementar 07/IN01/DSIC/GSIPR. 2010.
FICAM. Federal Identity, Credential, and Access Management (FICAM). Roadmap and
Implementation Guidance. Versão 1.0. 2009.
ISACA. Information Systems Audit and Control Foundation. Identity Management
Audit/Assurance Program. ISACA. 2009.
ITGI - IT GOVERNANCE INSTITUTE. COBIT 4.1. 4.1. ed. USA, 2007.
NTSC. National Science and Technology Council: Subcommittee on Biometrics and
Identity Management. Identity Management Task Force Report. USA. 2008.
OGC. Information Technology Infrastructure Library: Service Strategy. Londres. 2007.
O-ISM3. Open Information Security Management Maturity Model. Open Group. 2011.
PARANHOS, M. M. Framework de segurança da informação para medição do nível de
maturidade das organizações. Dissertação de mestrado. UCB. Brasília. 2010.
PONEMON. Access Governance Trends Survey 2010 - Study of IT Practitioners in
Multinational Organizations. Ponemon Institute. 2010.
SILVA, S. R. F. Proposta de Modelo de Controle de Acesso Lógico por Servidores
Públicos aos Recursos Computacionais da Administração Pública. Monografia de
Conclusão de Curso (Especialização). Universidade de Brasília. 2008.
SIMIÃO, R. S. Segurança da Informação e Comunicações: conceito aplicável em organizações
governamentais. Monografia de Conclusão de Curso (Especialização). Universidade de
Brasília. 2009.