Ir ao conteúdo
  • Cadastre-se
Alexandre Levy

Segurança da Informação - Acesso administrador nas máquinas (clientes)

Recommended Posts

Prezados,

 

Não sei se estou postando da forma e local corretos, e caso não esteja, peço antecipadamente desculpas aos administradores, e peço encarecidamente que me orientem para corrigir!

 

Atuo como gestor de riscos e SI de uma organização certificada recentemente na ISO 27001. Uma das maiores brigas, é a questão do acesso administrador nas máquinas locais pela fábrica de software. Para facilitar o entendimento, uma breve descrição: A empresa atua no ramo de desenvolvimento e gestão de serviços. O pessoal de TI (Suporte) afirma que liberar acesso administrador nas máquinas causaria um maior trabalho de auditoria para manter as máquinas no padrão, e que o desenvolvimento deveria ser melhor planejado, pois sendo assim, o SLA de atendimento interno quando houvesse demandas de instalação de "plugins" ou algo que os desenvolvedores precisassem, não afetaria o prazo final dos mesmos. Já a fábrica, defende que e inviável estar sem esse acesso, por necessitar não só de instalações dinâmicas de "plugins", add-ons e outras ferramentas necessárias, além de eventualmente (com alta frequência até), precisam restartar serviços (Tomcat, apache, etc) e executar determinadas ações que apenas administradores locais têm permissão para isso.

 

Entendo perfeitamente a vulnerabilidade de ser administrador local, pois abre a possibilidade de instalações indevidas, que podem significar ameaças para a segurança local da máquina, apesar da rede e a própria máquina estarem "protegidas" por um bom anti-vírus sempre atualizado e monitorado via console pelo pessoal de TI. Mas como venho da área de desenvolvimento, sei também que é extremamente necessário ter um acesso administrador local para facilitar o desenvolvimento, e sei o quanto isso pode impactar negativamente num projeto caso não tenha. Vale citar que nossa rede não permite aderir às políticas "BYOD".

 

A ISO 27001 pede que riscos sejam identificados, analisados, mitigados, acompanhados e caso necessário, mesmo que não atinjam níveis aceitáveis, podem ser devidamente aceitos pela alta direção da organização. E em cima dessa análise, podem ser tomadas decisões estratégicas para a organização. Visto isso, gostaria de saber dos amigos, de acordo com suas visões e experiência, quais os riscos reais e efetivos que uma máquina cliente da rede pode oferecer para a organização, pois estou levantando experiências externas para criar uma avaliação criteriosa e concisa. Para isso, nada como a opinião dos mais experientes no assunto em um cenário externo para somar com nossa visão.

 

Qualquer contribuição será de grande valia, e precisando de maiores esclarecimentos, sintam-se à vontade para perguntar!

 

Um forte abraço,

 

Alexandre Levy

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×