O que um adolescente recém-habilitado para dirigir pode ensinar sobre governança?
A maioria dos pais registra os principais marcos na trajetória de seus filhos até a idade adulta: o primeiro passo, a primeira palavra, a primeira escola, o primeiro osso quebrado, e assim por diante. Mas para muitos pais, quando os filhos completam 18 anos, o momento de ansiedade chega quando eles começam a dirigir.
Mas o mais interessante, segundo Merritt Maxim, analista sênior de segurança e risco da Forrester, é que a primeira experiência ao volante tem muita relação com a governança corporativa. De acordo com ele, há muito em comum entre a gestão de um motorista adolescente recém-habilitado e os direitos e privilégios de acesso para os usuários de uma empresa.
Um desafio comum entre os pais de motoristas adolescentes e a TI é que eles têm os usuários devidamente autorizados, mas, muitas vezes, não têm visibilidade do uso real desses direitos de acesso.
No caso dos motoristas adolescentes, os pais muitas vezes procuram dados em torno de uso do veículo: para onde foi meu filho? Em que momento e em qual velocidade?.
Para profissionais de TI e de segurança, as organizações não podem mais confiar exclusivamente em listas estáticas de usuários autorizados e os seus direitos de acesso. Assim, da mesma forma que pais podem impor restrições de quilometragem (sistema para limitar a distância que um carro pode ir em uma determinada noite) ou de combustível, uma equipe de segurança de processos de governança de TI pode restringir o acesso com base em algumas perguntas:
1. O funcionário acessou o aplicativo/sistema, durante o último período de certificação?
2. Quantas vezes o empregado usou o direito de acesso que lhe foi concedido?
Esse nível de visibilidade pode ser ainda reforçado, conforme necessário. No caso dos motoristas adolescentes, pais preocupados poderiam ir além dos controles baseados em combustíveis e instalação de um dispositivo de GPS para rastrear o uso de cada veículo.
Na governança, os gestores visualizam direitos de usuário, dados de uso, e o mais importante: detalhes sobre como o usuário emprega um direito em um contexto específico. Por exemplo, o acesso a um sistema de produção realizado durante o horário comercial não é uma preocupação, mas adicionar ou editar um sistema de produção fora do horário comercial poderia ser indicativo de atividade suspeita.
Mudando o foco de possíveis ações de cada usuário para ações específicas em sistemas específicos, as organizações podem potencialmente identificar padrões de comportamento estranhos para identificar rapidamente atividades suspeitas, reforçando, assim, a governança para acessos a sistemas críticos.