{"id":524,"date":"2018-09-12T13:35:27","date_gmt":"2018-09-12T16:35:27","guid":{"rendered":"http:\/\/b3bee.com.br\/site\/?p=524"},"modified":"2021-12-28T18:39:10","modified_gmt":"2021-12-28T21:39:10","slug":"resolucao-4-557-mitigacao-de-risco-com-login-unico-grafos-gri","status":"publish","type":"post","link":"https:\/\/www.b3bee.com.br\/site\/2018\/09\/12\/resolucao-4-557-mitigacao-de-risco-com-login-unico-grafos-gri\/","title":{"rendered":"Resolu\u00e7\u00e3o 4.557-Mitiga\u00e7\u00e3o de risco com \u2018Login\u2019 \u00fanico – Grafos GRI"},"content":{"rendered":"
\"\"
Mitiga\u00e7\u00e3o de risco com login \u00fanico<\/figcaption><\/figure>\n

Como a ado\u00e7\u00e3o de \u2018login<\/em>\u2019 \u00fanico de conex\u00e3o contribui para redu\u00e7\u00e3o do risco cibern\u00e9tico? Por que tem sido cada vez maior esse requisito em novos sistemas? Nos acessos aos servi\u00e7os da internet em geral, essa pr\u00e1tica est\u00e1 mais associada ao conforto e praticidade, mas no ambiente corporativo, adicionalmente pode reduzir a possibilidade de conex\u00e3o por pessoas n\u00e3o autorizadas. Estudar um risco \u00e9 modelar as m\u00faltiplas intera\u00e7\u00f5es do mundo real, buscando antecipar poss\u00edveis cen\u00e1rios a serem evitados ou estimulados. Exercitaremos num exemplo n\u00e3o exaustivo, onde a numera\u00e7\u00e3o abaixo refere-se \u00e0 figura anterior em Grafos GRI, usufruindo de benef\u00edcios que somente imagens proporcionam no entendimento e vis\u00e3o geral:<\/p>\n

 <\/p>\n

M\u00faltiplas pol\u00edticas de senhas<\/strong><\/p>\n

1, 2 e 3: Por conta de diferentes sistemas sem intera\u00e7\u00e3o (fornecedores diferentes, por exemplo) e sem pol\u00edtica padronizada para cria\u00e7\u00e3o de senhas, o usu\u00e1rio pode ter de memorizar diferentes senhas para cada conex\u00e3o.<\/p>\n

4: Quanto maior a combina\u00e7\u00e3o exigida entre letras mai\u00fasculas e min\u00fasculas, s\u00edmbolos especiais e n\u00fameros, maior complexidade em sua memoriza\u00e7\u00e3o (requisito do sistema A, por exemplo).<\/p>\n

5: Quanto menor o prazo de troca obrigat\u00f3ria de senha, maior a frequ\u00eancia de rememoriza\u00e7\u00e3o de novas senhas (requisitos dos sistemas B e C, por exemplo).<\/p>\n

6: Quanto menor a frequ\u00eancia de conex\u00e3o pelo usu\u00e1rio, maior possibilidade de esquecimento (sistema C).<\/p>\n

O peso de cada causa (1, 2 e 3) pode ser relacionado \u00e0 quantidade de usu\u00e1rios que se conectam em cada sistema. Se expresso em percentuais do total de usu\u00e1rios ativos, o excedente da soma que superar os 100% indicar\u00e1 usu\u00e1rios acessando mais de um sistema. Esse levantamento quantitativo pode ser feito a partir dos registros de conex\u00e3o nos bancos de dados da institui\u00e7\u00e3o.<\/p>\n

 <\/p>\n

M\u00faltiplas senhas descasadas e simultaneamente ativas para cada usu\u00e1rio (7)<\/strong><\/p>\n

Em geral, na correria do dia a dia, as senhas s\u00e3o trocadas apenas quando tais procedimentos s\u00e3o exigidos no momento da conex\u00e3o:<\/p>\n

. Com a prioridade em acessar o sistema, a nova senha pode ser criada de forma impulsiva e n\u00e3o planejada, dificultando sua memoriza\u00e7\u00e3o para futuras conex\u00f5es.<\/p>\n

. Haver\u00e1 senhas substitu\u00eddas recentemente e outras defasadas (por n\u00e3o ser exigida troca pelos crit\u00e9rios mais longos de obrigatoriedade de substitui\u00e7\u00e3o ou pela n\u00e3o conex\u00e3o em sistemas com menor frequ\u00eancia de utiliza\u00e7\u00e3o).<\/p>\n

A combina\u00e7\u00e3o desse h\u00e1bito com os demais fatores (4, 5 e 6) pode gerar um alto grau de esquecimento de senhas (7).<\/p>\n

 <\/p>\n

Risco de esquecimento: causa de risco de acesso n\u00e3o autorizado utilizando senha alheia<\/strong><\/p>\n

A fim de contornar esse potencial esquecimento de tantas senhas (7), os usu\u00e1rios podem:<\/p>\n

. Gravar senhas num arquivo texto ou demais formatos de f\u00e1cil leitura por acessos n\u00e3o autorizados (8).<\/p>\n

. Escrever senhas em meio f\u00edsico, podendo ser lidas por pessoas com acesso f\u00edsico a seu ambiente de trabalho (9).\u00a0Ambos riscos podem ser dif\u00edceis de quantificar, cabendo uma mensura\u00e7\u00e3o qualitativa e julgamental, pois n\u00e3o s\u00e3o recomendadas, mas veladamente praticadas e dif\u00edceis de serem identificadas.<\/p>\n

. Solicitar constante reinicializa\u00e7\u00e3o de senha para a infraestrutura (10).\u00a0Sob \u00f3tica do usu\u00e1rio, gera indisponibilidade durante o tempo de espera no seu atendimento.\u00a0Sob \u00f3tica da TI, gera tarefas operacionais adicionais que poderiam ser evitadas.\u00a0O volume dessas solicita\u00e7\u00f5es pode ser numericamente calculado a partir dos registros em base de dados.<\/p>\n

. Para compartilharem lembran\u00e7a no caso de esquecimento, um grupo de usu\u00e1rios cadastra a mesma senha (11). Assim, corre-se o risco da pessoa que est\u00e1 realmente conectada n\u00e3o ser o usu\u00e1rio do login<\/em>, pois todo o grupo possui a mesma senha. Um levantamento na base de dados de quantos usu\u00e1rios possuem a mesma senha \u00e9 recomendado para avaliar a incid\u00eancia ou n\u00e3o dessa pr\u00e1tica.<\/p>\n

 <\/p>\n

Login<\/em> \u00fanico (12)<\/strong><\/p>\n

.\u00a0 Uma solu\u00e7\u00e3o \u00e9 unificar a pol\u00edtica de senhas pelo mais rigoroso crit\u00e9rio, isto \u00e9, o usu\u00e1rio utiliza a senha mais complexa e a substitui na maior frequ\u00eancia obrigat\u00f3ria entre todos os sistemas que utiliza. Utilizando essa mesma senha inclusive nos sistemas de uso mais frequente, seu esquecimento ser\u00e1 reduzido. A vulnerabilidade \u00e9 aculturar e depender da disciplina dos usu\u00e1rios alterarem suas senhas em todos sistemas que t\u00eam acesso simultaneamente.<\/p>\n

. Outra solu\u00e7\u00e3o que complementa e refor\u00e7a a pol\u00edtica anterior, a fim de n\u00e3o depender apenas de aculturamento, \u00e9 implementar essa senha \u00fanica com ado\u00e7\u00e3o do SSO (**) associado ao AD (***). Sob \u00f3tica do usu\u00e1rio, ele se autentica com login<\/em> e senha na abertura do sistema operacional (Windows, por exemplo). Esse mesmo login<\/em> e senha, cadastrados no recurso AD em ambientes corporativos, ser\u00e3o os mesmos utilizados para autentica\u00e7\u00e3o nas solu\u00e7\u00f5es que implementaram o mecanismo SSO, sem necessidade de usu\u00e1rios preencherem novamente a cada conex\u00e3o. A autentica\u00e7\u00e3o se dar\u00e1 no momento do usu\u00e1rio se conectar ao sistema operacional, onde a pol\u00edtica de seguran\u00e7a poder\u00e1 determinar que a sess\u00e3o deve ser fechada caso se ausente de sua mesa de trabalho. Nessa pol\u00edtica, sua presen\u00e7a f\u00edsica deve ser obrigat\u00f3ria durante a sess\u00e3o aberta em seu computador.<\/p>\n

 <\/p>\n

Link<\/em> com acesso direto ao sistema, sem necessidade de nova autentica\u00e7\u00e3o\u00a0(13)<\/strong><\/p>\n

A ado\u00e7\u00e3o de SSO nas solu\u00e7\u00f5es ainda permitir\u00e1 recursos tais como envio de e-mail pelas pr\u00f3prias solu\u00e7\u00f5es com links<\/em> de acesso \u00e0s suas telas. Ao \u2018clicar\u2019 nesse link<\/em> dentro de um e-mail de alerta por exemplo, ser\u00e1 poss\u00edvel abrir diretamente a tela de intera\u00e7\u00e3o do usu\u00e1rio, sem necessidade de autentica\u00e7\u00e3o\u00a0no sistema, uma vez que ele \u00e9 automaticamente identificado como sendo o mesmo que se conectou no sistema operacional.<\/p>\n

 <\/p>\n

Formato visual para facilidade de entendimento e documenta\u00e7\u00e3o em Grafos GRI<\/strong><\/p>\n

Al\u00e9m de esclarecer as motiva\u00e7\u00f5es do \u2018login\u2019<\/em> \u00fanico com recursos do SSO e AD como mitigador de riscos, procuramos exemplificar os benef\u00edcios de uma visualiza\u00e7\u00e3o gr\u00e1fica da depend\u00eancia e motricidade entre riscos com ilimitadas rela\u00e7\u00f5es entre causas e consequ\u00eancias, descrevendo pesos conforme seus crit\u00e9rios l\u00f3gicos, bem como combinar informa\u00e7\u00f5es qualitativas com quantitativas, na medida do poss\u00edvel (melhor informa\u00e7\u00e3o dispon\u00edvel). Ainda \u00e9 recomend\u00e1vel armazenar os diferentes est\u00e1gios de evolu\u00e7\u00e3o, pois a migra\u00e7\u00e3o de um cen\u00e1rio para o outro (14) pode passar por uma transi\u00e7\u00e3o gradual na medida que h\u00e1 assimetria nos prazos de implementa\u00e7\u00e3o do SSO entre as diversas solu\u00e7\u00f5es sem esse recurso.<\/p>\n

 <\/p>\n

Buscando uma linguagem menos t\u00e9cnica poss\u00edvel:<\/p>\n

(*) Grafos GRI: Grafos de Riscos Integrados, acabamento visual inspirado no Diagrama de Ishikawa<\/a> combinado com a Teoria dos Grafos<\/a>, para representar a depend\u00eancia e motricidade entre diferentes riscos.<\/p>\n

(**) Single Sign-On (SSO): recurso implement\u00e1vel para utilizar o mesmo usu\u00e1rio e senha para acessar v\u00e1rias aplica\u00e7\u00f5es independentes entre si.<\/p>\n

(***) Active Diretory (AD): estrutura de ambientes Microsoft onde s\u00e3o configurados recursos dispon\u00edveis para um usu\u00e1rio e sua respectiva senha de autentica\u00e7\u00e3o.<\/p>\n

 <\/p>\n

Yoshio Hada<\/p>\n

yoshio.hada@basileia3.com.br<\/a><\/p>\n

 <\/p>\n

Fontes<\/p>\n

Resolu\u00e7\u00e3o 4.557\/17 \u2013 Gerenciamento integrado de riscos<\/p>\n

http:\/\/www.bcb.gov.br\/pre\/normativos\/busca\/normativo.asp?numero=4557&tipo=Resolu%C3%A7%C3%A3o&data=23\/2\/2017<\/a><\/p>\n

Gest\u00e3o de Riscos no Banco Central do Brasil<\/p>\n

https:\/\/www.bcb.gov.br\/htms\/getriscos\/Gestao-Integrada-de-Riscos.pdf<\/a><\/p>\n

Artigos anteriores \u2013 \u00cdndice de artigos at\u00e9 julho\/2018<\/p>\n

http:\/\/b3bee.com.br\/site\/2018\/07\/02\/resolucao-4-553-e-4-557-gerenciamento-integrado-de-riscos-indice-de-artigos\/<\/a><\/p>\n

Todas publica\u00e7\u00f5es<\/p>\n

http:\/\/b3bee.com.br\/site\/publicacoes\/<\/a><\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Como a ado\u00e7\u00e3o de \u2018login\u2019 \u00fanico de conex\u00e3o contribui para redu\u00e7\u00e3o do risco cibern\u00e9tico? Por que tem sido cada vez maior esse requisito em novos sistemas? Nos acessos aos servi\u00e7os …<\/p>\n","protected":false},"author":2,"featured_media":527,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[187,181],"tags":[12,30,21,19,23,33,42,4,10,11],"class_list":["post-524","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-agenda-corporativa","category-gir4557","tag-12","tag-abordagem-grafos-gri","tag-apetite-por-risco","tag-banco-central","tag-basileia","tag-grafos-gri","tag-grafosgri","tag-resolucao-4-557","tag-risco","tag-riscos"],"_links":{"self":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts\/524","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/comments?post=524"}],"version-history":[{"count":6,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts\/524\/revisions"}],"predecessor-version":[{"id":533,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts\/524\/revisions\/533"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/media\/527"}],"wp:attachment":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/media?parent=524"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/categories?post=524"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/tags?post=524"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}