Não eliminar contas inativas: um grande risco para as empresas

A eliminação dessas contas deveria ser tratada como um procedimento de segurança padrão, mas na maioria dos casos isso não ocorre, aumentando a vulnerabilidade da rede para a formação de “portas de entrada” e acesso a uma ampla gama de informações confidenciais

Compartilhar:

A segurança digital está entre as principais tendências de tecnologia listadas para o mercado brasileiro em 2018. O apontamento é da IDC, segundo a qual haverá investimento por parte das empresas de US$ 1,2 bilhão em serviços e soluções de segurança no Brasil, com crescimento de 9%, na comparação com 2017. Esse alto valor se justifica, entre outros fatores, pela necessidade de mitigar vulnerabilidades que possam colocar em risco toda a operação das empresas.

 

E um exemplo prático (e comum) de vulnerabilidade que demanda investimento em segurança é a existência das contas de usuário inativas (na maioria dos casos, sem atividade por mais de 90 dias), que são frequentemente alvo dos hackers para a tentativa de roubar dados com objetivo de retorno financeiro. A eliminação dessas contas deveria ser tratada como um procedimento de segurança padrão, mas na maioria dos casos isso não ocorre, aumentando a vulnerabilidade da rede para a formação de “portas de entrada” e acesso a uma ampla gama de informações confidenciais – principalmente informações contratuais, comerciais e financeiras de caráter sigiloso.

 

Para combater essas ameaças geradas pela inatividade das contas, a primeira iniciativa é a mais básica de todo o processo: aperfeiçoar a comunicação entre a equipe de TI e o departamento de recursos humanos da empresa para gerenciar o acesso aos dados. Isso significa que, mesmo que a equipe de TI seja responsável por implementar as mudanças de permissão para acesso (ou restrição) aos dados, sua atuação vai ser 100% eficaz apenas quando houver integração com o departamento de recursos humanos – o qual deve informar imediatamente quando um funcionário se desliga da empresa para que a conta seja desativada.

 

Posteriormente, os gestores de segurança devem adotar uma estratégia de proteção de dados para assegurar o monitoramento de todas as contas de usuários, permitindo assim que o gestor da empresa tenha a compreensão exata do que é um “comportamento normal” para cada conta, a detecção em tempo real de possíveis anomalias e, principalmente, a ação de segurança proativa para eliminar qualquer tipo de ciberataque, principalmente  phishing e ransomware – ataques que vêm se tornando cada vez mais “populares” no Brasil, gerando altos custos de restauração tecnológica para as empresas.

 

Concluindo, se antigamente essa questão das contas de usuário inativas podia ser resolvida com uma boa “limpeza dos ativos de TI”, agora esse método já não serve mais, tornou-se ultrapassado.  É obrigatório ter um trabalho estrategicamente gerencial, em todos os níveis de contas corporativas, para garantir a segurança dos dados da empresa e não correr risco de prejuízo financeiro ou, até mesmo, de reputação no mercado brasileiro.

 

* Carlos Rodrigues é vice-presidente da Varonis para a América Latina

 

Conteúdos Relacionados

Security Report | Overview

71% dos ataques cibernéticos utilizaram credenciais comprometidas em 2024

Dados recolhidos pela IBM reforçam uma das tendências de Segurança Cibernética apontadas pelo Gartner para o ano, focada no aumento...
Security Report | Overview

Aumento das aplicações containerizadas exige nova estratégia de SI, alerta player

Segundo leitura do Gartner, quase todas as corporações utilizarão aplicações containerizadas até 2028. Com a proposta de se adaptar a...
Security Report | Overview

Processo sancionador da ANPD contr TikTok: Quais os desdobramentos no mercado?

Não basta que as plataformas digitais se limitem a apresentar termos de uso ou políticas de privacidade padronizadas. É essencial...
Security Report | Overview

Threat Intel detecta vazamento de dados de 250 mil brasileiros no setor bancário

ZenoX detectou vazamento de dados na dark web e especialistas destacam medidas práticas de como evitar danos e proteger informações...