O controle de dados não estruturados usando o IAM (Gerenciamento de Identidade e Acesso) tornou-se um objetivo crítico para muitas organizações. Elas perceberam que precisam estar sujeitos aos mesmos controles que qualquer outro ativo: deve ter um proprietário ou administrador identificado, controles e registros de acesso e relatórios sobre esses recursos.
Ao envolver proprietários de dados e automatizar seu envolvimento por meio das soluções IAM, as empresas podem reduzir riscos, aumentar a eficiência e simplificar a conformidade – tudo ao mesmo tempo.
Para saber se o sistema de arquivos está pronto para ser trazido para o IAM é preciso, primeiramente, responder a algumas perguntas:
- Quantos terabytes de dados não estruturados a empresa possui?
- Quantas pastas com permissão exclusiva existem?
- Quantas pastas possuem permissões inconsistentes?
- Quantas pastas estão abertas para todos na empresa?
- Quantos dados não estruturados estão ativos?
- Como priorizar quais dados levar para o IAM?
Se alguma dessas questões foi respondida, provavelmente as más notícias já são conhecidas – a maioria dos dados não estruturados precisa de algum TLC sério antes de poder ser gerenciado em uma solução IA.
Alguns problemas, entretanto, precisam ser resolvidos antes do gerenciamento de dados não estruturados com o IAM. Com base em avaliações de riscos realizadas em mais de 100 empresas, a Varonis descobriu:
- As empresas tiveram uma média de 84.081 pastas por TB
- 12% das pastas tiveram permissão exclusiva – mais de 10 mil por TB
- 45% das empresas tinham mais de 2 mil pastas com herança inconsistente
- 21% das pastas estavam acessíveis a todos os funcionários
- 54% dos dados de uma empresa estavam obsoletos
Outro problema está na perda de controle sobre quais grupos concedem acesso aos dados. Isso é impossível de ser feito sem que se saiba quais dados determinado grupo desbloqueia.
Permissões únicas
Ao adotar a ideia de que os proprietários de dados devem gerenciar o acesso e precisam revisar periodicamente quem tem acesso a esses dados, é preciso entender que quanto mais pastas com permissão exclusiva a empresa tiver, mais pastas precisarão ser revistas e mais tempo será necessário para a tarefa.
Herança inconsistente
Antes de gerenciar as permissões do sistema de arquivos com o IAM, as permissões devem funcionar de forma consistente. Pastas que não herdam as permissões corretamente podem ter entradas ausentes ou extras nas listas de controle de acesso. Isso significa que algumas pessoas podem obter acesso que não deveriam, e outras que deveriam ter acesso, não o tem.
Pastas abertas a todos
Pastas abertas para grupos de acesso global apresentam um risco inaceitável, essas pastas devem ser limpas antes da inclusão no IAM, uma vez que não faz sentido revisar milhares de pastas que permanecerão abertas para todos.
Dados obsoletos
Ao arquivar ou colocar em quarentena os dados obsoletos, é possível cortar o número de pastas pela metade. Dessa forma, deve-se ter uma política que bloqueie o acesso a esses dados e os libere apenas para quem precisa desse acesso.
Solução
- Deve-se eliminar os dados que não mais usados ativamente. Dados antigos também abrem as portas para riscos desnecessários, especialmente se forem confidenciais. Primeiro bloqueie as permissões, rotule o diretório como “a ser arquivado”, arquive o conteúdo e identifique o diretório como arquivado, e, finalmente, o exclua de acordo com a política da empresa.
- ACLs inconsistentes apresentam riscos significativos de segurança e gerenciamento de acesso a dados, pois resultam em provisionamento e relatórios de acesso imprecisos. Essa correção é geralmente um pré-requisito para a correção de Grupos.
- Com poucas exceções, os dados não devem estar acessíveis a grupos de acesso global, caso contrário. Elimine grupos globais e implemente um modelo de privilégios mínimos.
- Para gerenciar o acesso aos dados de forma eficaz, é importante determinar quais conjuntos de dados requerem que o gerenciamento seja iniciado. Como regra geral, qualquer conjunto de dados em que um usuário, que não seja de TI, tenha acesso para ler ou gravar deve ter um proprietário.
- Com a análise estatística da atividade do usuário combinada com outros metadados é possível identificar os proprietários dos dados que podem ser atribuídos, rastreados e envolvidos nas decisões de autorização.
- A associação de grupos a um único dado de hierarquia minimiza simplifica processos de provisionamento e revisão de acesso. Com a estrutura de grupo simplificada em vigor, o passo seguinte é garantir que o acesso aos dados seja gerenciado exclusivamente por intermédio dos grupos de finalidade única. Elimine SIDs órfãos e ACEs individuais, coloque os membros de grupos de segurança nos novos grupos de uso único e remova os grupos herdados das ACLs.
- Depois que as linhas de base das atividades são criadas, a automação pode identificar onde os usuários têm acesso aos dados que não precisam mais. Detecte e elimine o acesso desnecessário usando uma solução que automatize o processo.
Apesar dos desafios relacionados à automação do gerenciamento de dados não estruturados, por meio do IAM é possível ter benefícios operacionais e de segurança, como um uso mais eficiente do armazenamento, diminuição de riscos e maior aderência aos processos para conformidade.
O Varonis DatAdvantade permite o gerenciamento e controle total sobre seus dados não estruturados, onde quer que eles estejam. A solução facilita a visualização de todos os acessos. Rastreie e monitore atividades dos usuários facilmente. Solicite um teste gratuito.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.