Este é um dos assuntos mais polêmicos dentro das áreas de operação e suporte de TI. Muitas das aplicações que estão em produção (operação) possuem contas (acessos) genéricas e com perfil privilegiado. Como controlar estes acessos para garantir a segurança, manter a operação em ordem e ao mesmo tempo fornecer para as auditorias (interna e externa) visibilidade dos acessos (quem acessou o que e quando)?
O primeiro ponto de análise é o entendimento da conta genérica. Muitas aplicações são instaladas através de uma conta (acesso) específica, chamada também de conta de serviço. A conta de serviço na maioria das vezes possui direitos amplos (alterar, remover, incluir) sobre a aplicação, por isso definimos isso como acesso privilegiado. Esta é uma conta impessoal, que não consegue estar relacionada com um usuário específico (identidade/colaborador). É geralmente através desta conta que as equipes de operação e suporte fazem acesso a aplicação. Até aqui parece não haver muito problema, fora o fato de que para este acesso a senha fica compartilhada (wow) entre as equipes de suporte e operação.
O segundo ponto de análise é em relação ao controle de acesso a conta de serviço. As perguntas do Auditor de TI são diretas: quem acessou a aplicação com esta conta? Quando ocorreram estes acessos? Qual a justificativa (porque houve a necessidade) do acesso? É neste momento que surgem planilhas “Mandrake”, onde as equipes tentam demonstrar que o controle de acesso a conta existe e funciona. O problema é o processo de controle de uma maneira geral, extremamente sensível a adulterações e dependente de fator humano.
A solução que foi encontrada para contornar estas questões é conhecida como PAM (Privileged Account Management) - Gestão de Acessos Privilegiados em tradução livre. Esta solução mantém as contas privilegiados sob seu controle, fornecendo relatórios e informações sobre quem (individualmente identificado) fez o acesso, quando, por quanto tempo, e as vezes também consegue apresentar o que foi feito (gravação de sessão). Estas soluções ajudam as organizações de TI sob os aspectos de segurança da informação, atendimento a requisitos de controle e auditorias.
De uma maneira geral o funcionamento deste tipo de solução está relacionado ao mapeamento das contas privilegiados com os usuários ou grupos de usuários. Assim, quando um usuário específico precisa fazer o acesso privilegiado, ele solicita o acesso na solução, que além de fornecer uma senha temporária (somente para aquele acesso), registra a data/hora que forneceu a senha, assim como registra o momento que o usuário devolve a senha (parece paradoxal, mas é como as soluções registram que o usuário não tem mais acesso e muda senha randomicamente). Outra forma é fornecer o acesso privilegiado por uma janela de tempo, por exemplo, por 120 minutos. Existem várias maneiras de fazer isso, expliquei apenas uma delas. Em relação ao acesso, algumas soluções conseguem realizar o registro do que foi realizado (session recording) e o armazenam. Assim é possível ver quais os comandos que o usuário executou e/ou quais as atividades realizadas.
A solução de PAM é mais uma ferramenta que ajuda no Compliance de TI, no controle e gestão de acesso e na Segurança da Informação. Além disso, é possível individualizar responsabilidades e validar outras informações sensíveis para a auditoria de TI. Os colaboradores (das equipes de operação e suporte) ficam mais protegidos, sem a necessidade de compartilhar riscos e responsabilidades desnecessariamente.