Cofre de Senhas

-

Publicidade

Cofre de SenhasNos artigos anteriores, mencionei sobre o armazenamento seguro de senhas pessoais e o processo de dupla-custódia. Achei importante aprofundar o assunto, falando sobre o armazenamento seguro de senhas com acessos privilegiados ou também conhecidas como senhas administrativas.

As regras da política de senhas descrevem que  todas as senhas  são pessoais e intransferíveis, não podendo ser compartilhadas com outros usuários. Enfim: o dono da senha é responsável pela guarda e utilização da mesma.

Por que haver um processo de gerenciamento de senhas de usuários privilegiados, se devemos seguir as regras acima?

É importante esclarecer que, para a administração de servidores e sistemas, há necessidade da utilização de acessos administrativos do ambiente. É por meio desses acessos que os sistemas são instalados, configurados, atualizados e suportados. Existe a possibilidade de criarmos uma conta nominal com esses acessos privilegiados, mas, em determinados tipos intervenção ou manutenção, a utilização do acesso do administrador é obrigatória.

Em alguns sistemas, esse usuário é denominado root (Linux/Unix), administrador ou administrator (Windows), SA (banco de dados), entre outros.

Tal acesso não pode ser restrito a uma única pessoa, pois, no caso de eventual ausência da mesma, o sistema ficaria indisponível até sua localização. A empresa não pode ficar refém de seus empregados.

Quando o acesso é compartilhado por vários usuários, perde-se a capacidade de rastreabilidade e identificação de uma hipotética ocorrência no sistema, bem como de seu responsável. Um usuário administrador pode desativar um sistema, excluir arquivos, copiar informações sigilosas, excluir e adulterar os log’s do sistema. Todos os conhecedores do acesso seriam suspeitos em caso de uma ação criminosa.

Além disso, caso haja o desligamento de um profissional desse time, seria necessária a troca de todas as senhas do ambiente e, na prática, sabemos que tal procedimento não  é realizado.

Então, como as empresas podem mitigar este risco?

Existem softwares, no mercado, para gerenciamento dessas senhas privilegiadas (cofre de senhas). Quando um analista de suporte necessitar da utilização de uma senha privilegiada, irá acessar o console do sistema, fará a solicitação e, então, passará por um processo de aprovação, para, em caso positivo, receber a tal senha administrativa. Após a manutenção do ambiente, o sistema ‘ressetará’ a senha administrativa e, depois disso, mais nenhuma pessoa terá conhecimento dela. Toda  intervenção realizada no ambiente será documentada, não havendo risco de não repudiação, caso algum sistema seja afetado.

Os analistas de suporte irão questionar, informando que o processo de aprovação da utilização da senha pode ser demorado e que, em caso de indisponibidade do sistema, o tempo de espera será maior. Nesse caso, existe o fornecimento da senha emergencial, pela qual, posteriormente, o analista deverá se justificar perante os seus superiores.

Caso a empresa não tenha possibilidade de, num primeiro momento, investir em um software como o que fora exemplificado, ela poderá implantar o processo manualmente, o que se denomina “dupla-custódia”.

O citado processo consiste na realização de uma cerimônia em que dois profissionais de áreas distintas (normalmente um da área responsável pelo sistema e outro da área operacional) entrarão no sistema e solicitarão a alteração da senha. O primeiro digitará a primeira parte da senha e depois a escreverá em um papel. O segundo digitará a segunda parte da senha e a escreverá em outro papel. Ambos guardarão os papéis em um mesmo envelope, que deverá ser lacrado. É recomendável que ambos assinem o envelope.

O envelope lacrado deve ser armazenado em um local seguro e ficar sob custódia de uma terceira área.

Todas as solicitações de utilização das senhas deverão ser documentadas. A cada utilização, uma nova cerimônia para a troca da senha deverá ser agendada.

A utilização do processo manual é mais complexa e erros operacionais podem ocorrer, mas o risco é muito menor, se comparado a instituições que utilizam o compartilhamento das senhas entre seus analistas.

[Crédito da Imagem: Senhas – ShutterStock]

Lilian Pricola
MBA-Gestão Empresarial pela FGV, Pós-graduada em Segurança e Auditoria de Redes pelo LSI-USP e Bacharel em Ciências da Computação pela PUC-SP. Auditora líder da 27.001 e auditora interna da ISO 20K. Membro do Comitê CB-21 – ABNT. Professora responsável por elaborar e ministrar treinamentos sobre Segurança da Informação em empresas públicas e privadas. Experiência de 25 anos atuando no segmento bancário e prestação de serviços de TI, participando ativamente dos projetos de certificação ISO/27001 e ISO/20000. Gerente de Segurança da Informação responsável pela implantação do processo de Governança, Risco e Compliance (GRC), Continuidade de Negócios e Desenvolvimento de Produtos de Segurança. Como especialista em segurança, foi responsável pela administração de ferramentas de proteção migração de Datacenters e criação do CSIRT.

3 COMMENTS

  1. Parabéns pela matéria, principalmente na parte que menciona: “Caso haja o desligamento de um profissional desse time, seria necessária a troca de todas as senhas do ambiente e, na prática, sabemos que tal procedimento não é realizado”. Tenho percebido essa falha nas Empresas e Instituições, que presto consultoria e suporte de rede.

Latest news

Desvendando o Poder da IA no Excel: Dicas Práticas para Iniciantes e Intermediários

Descubra como a IA revolucionou o Excel. Aprenda como automatizar tarefas, analisar dados e otimizar seu fluxo de trabalho.

Azure VM vs Amazon EC2 vs Google CE: Saiba escolher a melhor cloud para você

3 maiores sistemas de nuvem são: Amazon Elastic Cloud 2, o Google ComputeEngine e Microsoft Azure Virtual Machines.

Inteligência Artificial e Cibersegurança: Os Novos Desafios da Era Digital

%%excerpt%% Descubra os riscos da Inteligência Artificial na cibersegurança, como ataques adversariais, phishing 2.0 e deepfakes, além de desafios éticos e legais.

IA que gera vídeos: O Guia Definitivo das Melhores Ferramentas de 2025

Descubra os 10 melhores geradores de vídeo por IA de 2025. Veja comparações reais, preços, APIs e escolha a ferramenta ideal para seu projeto.
Publicidade

Construindo Times de Sucesso: Como Equilibrar Similaridade e Diversidade de Perfis

Descubra estratégias de liderança para formar times de sucesso. Aprenda quando optar por perfis semelhantes para estabilidade e quando escolher perfis diversos para impulsionar a inovação.

Inteligência Artificial na Guerra Moderna: A Nova Fronteira do Combate

Como a Inteligência Artificial na guerra moderna está decidindo batalhas? Entenda a tecnologia por trás dos ataques de Israel e Irã e as táticas de IA que mudaram o combate.

Must read

Desvendando o Poder da IA no Excel: Dicas Práticas para Iniciantes e Intermediários

Descubra como a IA revolucionou o Excel. Aprenda como automatizar tarefas, analisar dados e otimizar seu fluxo de trabalho.

Azure VM vs Amazon EC2 vs Google CE: Saiba escolher a melhor cloud para você

3 maiores sistemas de nuvem são: Amazon Elastic Cloud 2, o Google ComputeEngine e Microsoft Azure Virtual Machines.
- Advertisement -

You might also likeRELATED
Recommended to you