Restringir acessos e privilégios deixa a Segurança com cara de anos 90?

Líderes de SI concordam que o excesso de privilégios é um assunto espinhoso e caro, mas que exige pulso firme para limitar acessos, gerenciar constantemente as identidades e se amparar de processos bem desenhados

Por: Léia Machado, ⌚ 23/02/2021 às 18h14 - Atualizado em 25/02/2021 às 18h17

“Eu não vejo a restrição de acesso como coisa do passado, pois os hackers monitoram os movimentos dos usuários e, uma vez com a posse do acesso privilegiado, eles exploram brechas e causam estragos”, destaca a gerente executiva de Segurança da Informação da Petrobrás, Márcia Tosta, durante mesa redonda na TVD, realizada hoje (23).

 

Na visão da executiva, quando a Segurança passa a restringir acessos privilegiados, a primeira impressão que fica para os usuários é que eles estão voltando ao passado, quando a Segurança era um departamento do “não”, o que vai contra a toda transformação digital e inovações pregadas na atualidade.

 

“Quando o equipamento é corporativo, é mais fácil implementar controles e gerenciar acessos, mas se o colaborador usa equipamento pessoal, essa política se torna mais complicada. Mas podemos resolver com tecnologia, separando os ambientes e desenhando bem a solução para que todos atuem de forma segura e entendam a importância de proteger os ativos mais críticos da empresa”, completa.

 

Luis Asensio Garcia, gerente de Segurança da Informação da Boa Vista, acrescenta que com a transformação digital, as empresas no geral se tornaram mais tecnológicas, com uso de nuvem e diversos recursos, o que acaba liberando acesso privilegiado sem controles.

 

“Todos os usuários precisam ter acesso a tudo? A empresa inteira precisa mesmo de VPN? Os servidores e aplicações devem estar à disposição de todos os colaboradores? São questionamentos importantes para não corrermos o risco de negligenciar os processos e abrir brechas para um invasor acessar nossos ambientes e fazer movimentos laterais, roubando dados ou expondo informações sensíveis”, pontua o executivo.

 

E por falar em negligência, Luis Garcia acrescenta que acesso privilegiado é um assunto espinhoso, caro e que vai incomodar o usuário, mas é o dever do CISO não deixar o tema de lado e encarar de frente esse aspecto, que ainda é negligenciado principalmente quando as empresas não fazem o básico bem feito.

 

“Parece que estamos falando da Segurança dos anos 90, mas é importante entender o que o usuário pode acessar, dar o mínimo de privilégio e gerenciar constantemente esses acessos. Um ransomware vai abusar de uma vulnerabilidade básica, algum sistema sem a devida atualização ou uma credencial comprometida”, alerta.

 

Maturidade

 

Os participantes do painel de debate concordam que a gestão de privilégios é um dos principais desafios que o CISO precisa endereçar em 2021. Até porque o conceito de perímetro mudou totalmente nos últimos meses com a corrida para nuvem e digitalização em massa das empresas. Isso coloca em xeque a maturidade de companhias e profissionais em lidar com esse novo cenário, em não pular etapas dos processos para prover rapidamente um acesso privilegiado a fim de atender uma determinada demanda e depois não rever esse aspecto.

 

“Existem atividades que requerem privilégios, mas eles não precisam estar disponíveis o tempo todo”, pontua Márcia Tosta. “E isso não significa que ao implementar uma determinada solução tudo estará resolvido. Na Segurança, 40% é tecnologia e 60% vem de processos bem desenhados”, completa André Futuro, head de Cybersecurity da TIVIT.

 

“Tivemos uma explosão de privilégios na pandemia e entendo que é um desafio. Mas temos algumas alternativas para deixar os ambientes mais seguros, como revisar o ambiente e deixar o mínimo de privilégios, aplicar o duplo fator de autenticação em tudo o que for possível e destinar o privilégio à tarefa, não ao usuário”, conclui Fabrício Simão, VP Regional Latin America & Caribeean da BeyondTrust.

 

O painel de debates está disponível na íntegra no canal da TVD no Youtube.

 



Newsletter

/ VEJA TAMBÉM



/ COMENTÁRIOS