TI CorporativaSegurança da InformaçãoPosso usar a sua senha de rede?

Posso usar a sua senha de rede?

-

Publicidade

Posso usar sua senha de rede?Enquanto redigia este artigo, refleti muito acerca de sua obviedade e, consequentemente, de sua utilidade, pois, a princípio, ele parece estar aquém dos outros artigos de Segurança da Informação que tratam sobre BYOD, Cloud Computing e SIEM. Entretanto, pela experiência na área de segurança, pelo contato com outros profissionais de TI e pelo acompanhamento constante de incidentes de segurança, vejo uma necessidade muito grande de conscientização do público em geral, por mais simples que possa parecer. O acesso à informação e a dispositivos tecnológicos cresceu muito rapidamente, porém a importância da aplicação de técnicas de proteção nem sempre está clara para o usuário final. Aproveito o espaço, então, não somente para apontar os problemas, mas também para apresentar alternativas para lidar com eles, reativa ou preventivamente.

Se alguém solicitar, por exemplo, a senha pessoal do cartão de crédito a um colega de trabalho, este, muito provavelmente, não a disponibilizará. Contudo, se a solicitação tratar da senha de acesso ao sistema, é (quase) certo que o intento será alcançado. Inúmeras podem ser as justificativas para esse tipo de comportamento.

As pessoas não emprestam suas senhas de cartão de crédito e conta corrente, pois conhecem as consequências destas ações. Porém, no caso da senha corporativa, muitos colaboradores não possuem o entendimento sobre o valor da informação e sobre a funcionalidade da senha de acesso. Alguns acreditam que esta senha tem, como única e exclusiva funcionalidade, a proteção dos dados relativamente às pessoas externas à empresa. Outros confiam plenamente em seus colegas de trabalho e não acreditam que algo errado possa acontecer, mesmo que de forma acidental (não intencional).

Em algumas empresas, a prática do empréstimo de senha é comum. A necessidade desse compartilhamento se deve, entre outros motivos, à morosidade na criação de novos acessos ou quando há falhas na configuração de perfis que impossibilitam o acesso do colaborador, impedindo-o de realizar suas atividades rotineiras, por exemplo.

O desafio do profissional de Segurança da Informação é sensibilizar os usuários, a fim de que eles entendam o objetivo da senha de segurança e que tenham com ela o mesmo cuidado que têm com a senha pessoal.

Muitas pessoas desconhecem que o login é a identificação do usuário no sistema e que, a cada acesso, informações dele (usuário), tais como data, horário, endereços de origem e destino, são armazenadas para registro dos eventos (log’s). Dessa forma, quando há alguma falha de segurança no ambiente, os especialistas rastreiam as informações para identificação da origem do problema.

Emprestar a identificação de acesso para outra pessoa é como assinar um cheque em branco. Não se sabe o que ela pode realizar no sistema em nome do titular e será sempre deste a responsabilidade por um eventual dano.

Como na hipótese do cheque, o “pagamento” se dará pelo “valor assinalado”, mesmo não sendo do próprio titular a autoria do “preenchimento”. Existem muitos incidentes relacionados ao empréstimo de senhas; ocorre, porém, que esses são sempre mantidos em sigilo, não podendo ser divulgados para os colaboradores. A empresa, inclusive, costuma aplicar medidas disciplinares quando há problemas deste tipo e o profissional pode ser demitido.

Aquele seu colega de trabalho pode estar com a intenção de cometer uma fraude contra o sistema da empresa e, nesse caso, a utilização da senha de outra pessoa poderá dificultar as investigações e até evitar que o verdadeiro infrator seja identificado.

Independentemente de haver ou não problema no ambiente (integridade/disponibilidade), o simples fato de ocorrer o empréstimo da senha quebra o terceiro pilar da segurança da informação (confidencialidade).

Certo dia, um aluno me questionou sobre uma forma “segura” de empréstimo de senha, em caso de evento de crise no ambiente, quando há necessidade de utilização de um acesso privilegiado (conta do administrador) pelo analista de suporte.

Primeiramente, a empresa deve criar um processo de dupla-custódia, para que esse tipo de acesso privilegiado seja realizado de forma documentada e aprovada. Este processo pode ser manual ou automático. Existem várias empresas que oferecem softwares para a realização desse controle que envolve o armazenamento criptografado das senhas, contingência, workflow de aprovação e alteração automática da senha após a utilização.

Caso a empresa ainda não possua o procedimento definido, não se deve recomendar o não empréstimo da senha em detrimento da indisponibilidade do ambiente.

O que se pode recomendar é que, ao emprestar a senha, sejam imediatamente notificados o gestor e a área da Segurança da Informação. Se estiver fisicamente próximo ao profissional a quem a senha foi fornecida, seu titular deve acompanhar de perto as ações realizadas no sistema, lembrando-se de trocá-la (a senha) o mais rápido possível, após o término da crise.

Previous article
Next article
Lilian Pricola
MBA-Gestão Empresarial pela FGV, Pós-graduada em Segurança e Auditoria de Redes pelo LSI-USP e Bacharel em Ciências da Computação pela PUC-SP. Auditora líder da 27.001 e auditora interna da ISO 20K. Membro do Comitê CB-21 – ABNT. Professora responsável por elaborar e ministrar treinamentos sobre Segurança da Informação em empresas públicas e privadas. Experiência de 25 anos atuando no segmento bancário e prestação de serviços de TI, participando ativamente dos projetos de certificação ISO/27001 e ISO/20000. Gerente de Segurança da Informação responsável pela implantação do processo de Governança, Risco e Compliance (GRC), Continuidade de Negócios e Desenvolvimento de Produtos de Segurança. Como especialista em segurança, foi responsável pela administração de ferramentas de proteção migração de Datacenters e criação do CSIRT.

1 COMMENT

Latest news

Desvendando o Poder da IA no Excel: Dicas Práticas para Iniciantes e Intermediários

Descubra como a IA revolucionou o Excel. Aprenda como automatizar tarefas, analisar dados e otimizar seu fluxo de trabalho.

Azure VM vs Amazon EC2 vs Google CE: Saiba escolher a melhor cloud para você

3 maiores sistemas de nuvem são: Amazon Elastic Cloud 2, o Google ComputeEngine e Microsoft Azure Virtual Machines.

Inteligência Artificial e Cibersegurança: Os Novos Desafios da Era Digital

%%excerpt%% Descubra os riscos da Inteligência Artificial na cibersegurança, como ataques adversariais, phishing 2.0 e deepfakes, além de desafios éticos e legais.

IA que gera vídeos: O Guia Definitivo das Melhores Ferramentas de 2025

Descubra os 10 melhores geradores de vídeo por IA de 2025. Veja comparações reais, preços, APIs e escolha a ferramenta ideal para seu projeto.
Publicidade

Construindo Times de Sucesso: Como Equilibrar Similaridade e Diversidade de Perfis

Descubra estratégias de liderança para formar times de sucesso. Aprenda quando optar por perfis semelhantes para estabilidade e quando escolher perfis diversos para impulsionar a inovação.

Inteligência Artificial na Guerra Moderna: A Nova Fronteira do Combate

Como a Inteligência Artificial na guerra moderna está decidindo batalhas? Entenda a tecnologia por trás dos ataques de Israel e Irã e as táticas de IA que mudaram o combate.

Must read

Desvendando o Poder da IA no Excel: Dicas Práticas para Iniciantes e Intermediários

Descubra como a IA revolucionou o Excel. Aprenda como automatizar tarefas, analisar dados e otimizar seu fluxo de trabalho.

Azure VM vs Amazon EC2 vs Google CE: Saiba escolher a melhor cloud para você

3 maiores sistemas de nuvem são: Amazon Elastic Cloud 2, o Google ComputeEngine e Microsoft Azure Virtual Machines.
- Advertisement -

You might also likeRELATED
Recommended to you