Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

Descubra se seus dados estão prontos para uma solução de gestão de identidade e acesso

A automação do gerenciamento de dados não estruturados por meio do IAM diminui riscos e aumenta a aderência aos processos de conformidade
Emilia Bertolli
3 minuto de leitura
Ultima atualização 11 de Fevereiro de 2022

Conteúdo

    O controle de dados não estruturados usando o IAM (Gerenciamento de Identidade e Acesso) tornou-se um objetivo crítico para muitas organizações. Elas perceberam que precisam estar sujeitos aos mesmos controles que qualquer outro ativo: deve ter um proprietário ou administrador identificado, controles e registros de acesso e relatórios sobre esses recursos.

    Ao envolver proprietários de dados e automatizar seu envolvimento por meio das soluções IAM, as empresas podem reduzir riscos, aumentar a eficiência e simplificar a conformidade – tudo ao mesmo tempo.

    Para saber se o sistema de arquivos está pronto para ser trazido para o IAM é preciso, primeiramente, responder a algumas perguntas:

    • Quantos terabytes de dados não estruturados a empresa possui?
    • Quantas pastas com permissão exclusiva existem?
    • Quantas pastas possuem permissões inconsistentes?
    • Quantas pastas estão abertas para todos na empresa?
    • Quantos dados não estruturados estão ativos?
    • Como priorizar quais dados levar para o IAM?

    Se alguma dessas questões foi respondida, provavelmente as más notícias já são conhecidas – a maioria dos dados não estruturados precisa de algum TLC sério antes de poder ser gerenciado em uma solução IA.

    Alguns problemas, entretanto, precisam ser resolvidos antes do gerenciamento de dados não estruturados com o IAM. Com base em avaliações de riscos realizadas em mais de 100 empresas, a Varonis descobriu:

    • As empresas tiveram uma média de 84.081 pastas por TB
    • 12% das pastas tiveram permissão exclusiva – mais de 10 mil por TB
    • 45% das empresas tinham mais de 2 mil pastas com herança inconsistente
    • 21% das pastas estavam acessíveis a todos os funcionários
    • 54% dos dados de uma empresa estavam obsoletos

    Outro problema está na perda de controle sobre quais grupos concedem acesso aos dados. Isso é impossível de ser feito sem que se saiba quais dados determinado grupo desbloqueia.

    Permissões únicas

    Ao adotar a ideia de que os proprietários de dados devem gerenciar o acesso e precisam revisar periodicamente quem tem acesso a esses dados, é preciso entender que quanto mais pastas com permissão exclusiva a empresa tiver, mais pastas precisarão ser revistas e mais tempo será necessário para a tarefa.

    Herança inconsistente

    Antes de gerenciar as permissões do sistema de arquivos com o IAM, as permissões devem funcionar de forma consistente. Pastas que não herdam as permissões corretamente podem ter entradas ausentes ou extras nas listas de controle de acesso. Isso significa que algumas pessoas podem obter acesso que não deveriam, e outras que deveriam ter acesso, não o tem.

    Pastas abertas a todos

    Pastas abertas para grupos de acesso global apresentam um risco inaceitável, essas pastas devem ser limpas antes da inclusão no IAM, uma vez que não faz sentido revisar milhares de pastas que permanecerão abertas para todos.

    Dados obsoletos

    Ao arquivar ou colocar em quarentena os dados obsoletos, é possível cortar o número de pastas pela metade. Dessa forma, deve-se ter uma política que bloqueie o acesso a esses dados e os libere apenas para quem precisa desse acesso.

    Solução

    1. Deve-se eliminar os dados que não mais usados ativamente. Dados antigos também abrem as portas para riscos desnecessários, especialmente se forem confidenciais. Primeiro bloqueie as permissões, rotule o diretório como “a ser arquivado”, arquive o conteúdo e identifique o diretório como arquivado, e, finalmente, o exclua de acordo com a política da empresa.

    2. ACLs inconsistentes apresentam riscos significativos de segurança e gerenciamento de acesso a dados, pois resultam em provisionamento e relatórios de acesso imprecisos. Essa correção é geralmente um pré-requisito para a correção de Grupos.

    3. Com poucas exceções, os dados não devem estar acessíveis a grupos de acesso global, caso contrário. Elimine grupos globais e implemente um modelo de privilégios mínimos.

    4. Para gerenciar o acesso aos dados de forma eficaz, é importante determinar quais conjuntos de dados requerem que o gerenciamento seja iniciado. Como regra geral, qualquer conjunto de dados em que um usuário, que não seja de TI, tenha acesso para ler ou gravar deve ter um proprietário.

    5. Com a análise estatística da atividade do usuário combinada com outros metadados é possível identificar os proprietários dos dados que podem ser atribuídos, rastreados e envolvidos nas decisões de autorização.

    6. A associação de grupos a um único dado de hierarquia minimiza simplifica processos de provisionamento e revisão de acesso. Com a estrutura de grupo simplificada em vigor, o passo seguinte é garantir que o acesso aos dados seja gerenciado exclusivamente por intermédio dos grupos de finalidade única. Elimine SIDs órfãos e ACEs individuais, coloque  os membros de grupos de segurança nos novos grupos de uso único e remova os grupos herdados das ACLs.

    7. Depois que as linhas de base das atividades são criadas, a automação pode identificar onde os usuários têm acesso aos dados que não precisam mais. Detecte e elimine o acesso desnecessário usando uma solução que automatize o processo.

    Apesar dos desafios relacionados à automação do gerenciamento de dados não estruturados, por meio do IAM é possível ter benefícios operacionais e de segurança, como um uso mais eficiente do armazenamento, diminuição de riscos e maior aderência aos processos para conformidade.

    O Varonis DatAdvantade permite o gerenciamento e controle total sobre seus dados não estruturados, onde quer que eles estejam. A solução facilita a visualização de todos os acessos. Rastreie e monitore atividades dos usuários facilmente. Solicite um teste gratuito.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento