Enquanto redigia este artigo, refleti muito acerca de sua obviedade e, consequentemente, de sua utilidade, pois, a princípio, ele parece estar aquém dos outros artigos de Segurança da Informação que tratam sobre BYOD, Cloud Computing e SIEM. Entretanto, pela experiência na área de segurança, pelo contato com outros profissionais de TI e pelo acompanhamento constante de incidentes de segurança, vejo uma necessidade muito grande de conscientização do público em geral, por mais simples que possa parecer. O acesso à informação e a dispositivos tecnológicos cresceu muito rapidamente, porém a importância da aplicação de técnicas de proteção nem sempre está clara para o usuário final. Aproveito o espaço, então, não somente para apontar os problemas, mas também para apresentar alternativas para lidar com eles, reativa ou preventivamente.
Se alguém solicitar, por exemplo, a senha pessoal do cartão de crédito a um colega de trabalho, este, muito provavelmente, não a disponibilizará. Contudo, se a solicitação tratar da senha de acesso ao sistema, é (quase) certo que o intento será alcançado. Inúmeras podem ser as justificativas para esse tipo de comportamento.
As pessoas não emprestam suas senhas de cartão de crédito e conta corrente, pois conhecem as consequências destas ações. Porém, no caso da senha corporativa, muitos colaboradores não possuem o entendimento sobre o valor da informação e sobre a funcionalidade da senha de acesso. Alguns acreditam que esta senha tem, como única e exclusiva funcionalidade, a proteção dos dados relativamente às pessoas externas à empresa. Outros confiam plenamente em seus colegas de trabalho e não acreditam que algo errado possa acontecer, mesmo que de forma acidental (não intencional).
Em algumas empresas, a prática do empréstimo de senha é comum. A necessidade desse compartilhamento se deve, entre outros motivos, à morosidade na criação de novos acessos ou quando há falhas na configuração de perfis que impossibilitam o acesso do colaborador, impedindo-o de realizar suas atividades rotineiras, por exemplo.
O desafio do profissional de Segurança da Informação é sensibilizar os usuários, a fim de que eles entendam o objetivo da senha de segurança e que tenham com ela o mesmo cuidado que têm com a senha pessoal.
Muitas pessoas desconhecem que o login é a identificação do usuário no sistema e que, a cada acesso, informações dele (usuário), tais como data, horário, endereços de origem e destino, são armazenadas para registro dos eventos (log’s). Dessa forma, quando há alguma falha de segurança no ambiente, os especialistas rastreiam as informações para identificação da origem do problema.
Emprestar a identificação de acesso para outra pessoa é como assinar um cheque em branco. Não se sabe o que ela pode realizar no sistema em nome do titular e será sempre deste a responsabilidade por um eventual dano.
Como na hipótese do cheque, o “pagamento” se dará pelo “valor assinalado”, mesmo não sendo do próprio titular a autoria do “preenchimento”. Existem muitos incidentes relacionados ao empréstimo de senhas; ocorre, porém, que esses são sempre mantidos em sigilo, não podendo ser divulgados para os colaboradores. A empresa, inclusive, costuma aplicar medidas disciplinares quando há problemas deste tipo e o profissional pode ser demitido.
Aquele seu colega de trabalho pode estar com a intenção de cometer uma fraude contra o sistema da empresa e, nesse caso, a utilização da senha de outra pessoa poderá dificultar as investigações e até evitar que o verdadeiro infrator seja identificado.
Independentemente de haver ou não problema no ambiente (integridade/disponibilidade), o simples fato de ocorrer o empréstimo da senha quebra o terceiro pilar da segurança da informação (confidencialidade).
Certo dia, um aluno me questionou sobre uma forma “segura” de empréstimo de senha, em caso de evento de crise no ambiente, quando há necessidade de utilização de um acesso privilegiado (conta do administrador) pelo analista de suporte.
Primeiramente, a empresa deve criar um processo de dupla-custódia, para que esse tipo de acesso privilegiado seja realizado de forma documentada e aprovada. Este processo pode ser manual ou automático. Existem várias empresas que oferecem softwares para a realização desse controle que envolve o armazenamento criptografado das senhas, contingência, workflow de aprovação e alteração automática da senha após a utilização.
Caso a empresa ainda não possua o procedimento definido, não se deve recomendar o não empréstimo da senha em detrimento da indisponibilidade do ambiente.
O que se pode recomendar é que, ao emprestar a senha, sejam imediatamente notificados o gestor e a área da Segurança da Informação. Se estiver fisicamente próximo ao profissional a quem a senha foi fornecida, seu titular deve acompanhar de perto as ações realizadas no sistema, lembrando-se de trocá-la (a senha) o mais rápido possível, após o término da crise.
Olá, excelente artigo, cheio de informações essenciais para o mundo corporativo. Gostaria de sua autorização para publica-lo em breve em meu Blog de Segurança da Informação (http://securityinformationnews.wordpress.com).
Fico no aguardo e mais uma vez meus parabéns!!!
Grande abraço!!