“Eu não vejo a restrição de acesso como coisa do passado, pois os hackers monitoram os movimentos dos usuários e, uma vez com a posse do acesso privilegiado, eles exploram brechas e causam estragos”, destaca a gerente executiva de Segurança da Informação da Petrobrás, Márcia Tosta, durante mesa redonda na TVD, realizada hoje (23).
Na visão da executiva, quando a Segurança passa a restringir acessos privilegiados, a primeira impressão que fica para os usuários é que eles estão voltando ao passado, quando a Segurança era um departamento do “não”, o que vai contra a toda transformação digital e inovações pregadas na atualidade.
“Quando o equipamento é corporativo, é mais fácil implementar controles e gerenciar acessos, mas se o colaborador usa equipamento pessoal, essa política se torna mais complicada. Mas podemos resolver com tecnologia, separando os ambientes e desenhando bem a solução para que todos atuem de forma segura e entendam a importância de proteger os ativos mais críticos da empresa”, completa.
Luis Asensio Garcia, gerente de Segurança da Informação da Boa Vista, acrescenta que com a transformação digital, as empresas no geral se tornaram mais tecnológicas, com uso de nuvem e diversos recursos, o que acaba liberando acesso privilegiado sem controles.
“Todos os usuários precisam ter acesso a tudo? A empresa inteira precisa mesmo de VPN? Os servidores e aplicações devem estar à disposição de todos os colaboradores? São questionamentos importantes para não corrermos o risco de negligenciar os processos e abrir brechas para um invasor acessar nossos ambientes e fazer movimentos laterais, roubando dados ou expondo informações sensíveis”, pontua o executivo.
E por falar em negligência, Luis Garcia acrescenta que acesso privilegiado é um assunto espinhoso, caro e que vai incomodar o usuário, mas é o dever do CISO não deixar o tema de lado e encarar de frente esse aspecto, que ainda é negligenciado principalmente quando as empresas não fazem o básico bem feito.
“Parece que estamos falando da Segurança dos anos 90, mas é importante entender o que o usuário pode acessar, dar o mínimo de privilégio e gerenciar constantemente esses acessos. Um ransomware vai abusar de uma vulnerabilidade básica, algum sistema sem a devida atualização ou uma credencial comprometida”, alerta.
Maturidade
Os participantes do painel de debate concordam que a gestão de privilégios é um dos principais desafios que o CISO precisa endereçar em 2021. Até porque o conceito de perímetro mudou totalmente nos últimos meses com a corrida para nuvem e digitalização em massa das empresas. Isso coloca em xeque a maturidade de companhias e profissionais em lidar com esse novo cenário, em não pular etapas dos processos para prover rapidamente um acesso privilegiado a fim de atender uma determinada demanda e depois não rever esse aspecto.
“Existem atividades que requerem privilégios, mas eles não precisam estar disponíveis o tempo todo”, pontua Márcia Tosta. “E isso não significa que ao implementar uma determinada solução tudo estará resolvido. Na Segurança, 40% é tecnologia e 60% vem de processos bem desenhados”, completa André Futuro, head de Cybersecurity da TIVIT.
“Tivemos uma explosão de privilégios na pandemia e entendo que é um desafio. Mas temos algumas alternativas para deixar os ambientes mais seguros, como revisar o ambiente e deixar o mínimo de privilégios, aplicar o duplo fator de autenticação em tudo o que for possível e destinar o privilégio à tarefa, não ao usuário”, conclui Fabrício Simão, VP Regional Latin America & Caribeean da BeyondTrust.
O painel de debates está disponível na íntegra no canal da TVD no Youtube.
