Restringir acessos e privilégios deixa a Segurança com cara de anos 90?

Líderes de SI concordam que o excesso de privilégios é um assunto espinhoso e caro, mas que exige pulso firme para limitar acessos, gerenciar constantemente as identidades e se amparar de processos bem desenhados

Compartilhar:

“Eu não vejo a restrição de acesso como coisa do passado, pois os hackers monitoram os movimentos dos usuários e, uma vez com a posse do acesso privilegiado, eles exploram brechas e causam estragos”, destaca a gerente executiva de Segurança da Informação da Petrobrás, Márcia Tosta, durante mesa redonda na TVD, realizada hoje (23).

 

Na visão da executiva, quando a Segurança passa a restringir acessos privilegiados, a primeira impressão que fica para os usuários é que eles estão voltando ao passado, quando a Segurança era um departamento do “não”, o que vai contra a toda transformação digital e inovações pregadas na atualidade.

 

“Quando o equipamento é corporativo, é mais fácil implementar controles e gerenciar acessos, mas se o colaborador usa equipamento pessoal, essa política se torna mais complicada. Mas podemos resolver com tecnologia, separando os ambientes e desenhando bem a solução para que todos atuem de forma segura e entendam a importância de proteger os ativos mais críticos da empresa”, completa.

 

Luis Asensio Garcia, gerente de Segurança da Informação da Boa Vista, acrescenta que com a transformação digital, as empresas no geral se tornaram mais tecnológicas, com uso de nuvem e diversos recursos, o que acaba liberando acesso privilegiado sem controles.

 

“Todos os usuários precisam ter acesso a tudo? A empresa inteira precisa mesmo de VPN? Os servidores e aplicações devem estar à disposição de todos os colaboradores? São questionamentos importantes para não corrermos o risco de negligenciar os processos e abrir brechas para um invasor acessar nossos ambientes e fazer movimentos laterais, roubando dados ou expondo informações sensíveis”, pontua o executivo.

 

E por falar em negligência, Luis Garcia acrescenta que acesso privilegiado é um assunto espinhoso, caro e que vai incomodar o usuário, mas é o dever do CISO não deixar o tema de lado e encarar de frente esse aspecto, que ainda é negligenciado principalmente quando as empresas não fazem o básico bem feito.

 

“Parece que estamos falando da Segurança dos anos 90, mas é importante entender o que o usuário pode acessar, dar o mínimo de privilégio e gerenciar constantemente esses acessos. Um ransomware vai abusar de uma vulnerabilidade básica, algum sistema sem a devida atualização ou uma credencial comprometida”, alerta.

 

Maturidade

 

Os participantes do painel de debate concordam que a gestão de privilégios é um dos principais desafios que o CISO precisa endereçar em 2021. Até porque o conceito de perímetro mudou totalmente nos últimos meses com a corrida para nuvem e digitalização em massa das empresas. Isso coloca em xeque a maturidade de companhias e profissionais em lidar com esse novo cenário, em não pular etapas dos processos para prover rapidamente um acesso privilegiado a fim de atender uma determinada demanda e depois não rever esse aspecto.

 

“Existem atividades que requerem privilégios, mas eles não precisam estar disponíveis o tempo todo”, pontua Márcia Tosta. “E isso não significa que ao implementar uma determinada solução tudo estará resolvido. Na Segurança, 40% é tecnologia e 60% vem de processos bem desenhados”, completa André Futuro, head de Cybersecurity da TIVIT.

 

“Tivemos uma explosão de privilégios na pandemia e entendo que é um desafio. Mas temos algumas alternativas para deixar os ambientes mais seguros, como revisar o ambiente e deixar o mínimo de privilégios, aplicar o duplo fator de autenticação em tudo o que for possível e destinar o privilégio à tarefa, não ao usuário”, conclui Fabrício Simão, VP Regional Latin America & Caribeean da BeyondTrust.

 

O painel de debates está disponível na íntegra no canal da TVD no Youtube.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Jaguar Land Rover confirma vazamento de dados em ciberataque

Em nova atualização sobre o incidente cibernético que paralisou fábricas e pontos de venda da montadora, foi informado que o...
Security Report | Destaques

Novas normas de SI do Bacen ampliam foco sobre Ecossistema seguro, apontam CISOs

Líderes de Segurança da Informação ligados ao sistema financeiro apoiaram as novas exigências de Segurança para que instituições financeiras possam...
Security Report | Destaques

J.Macêdo aposta em unificação de infraestrutura para reforçar segurança

Durante o Security Leaders Fortaleza 2025, empresa cearense destaca como modernizou suas operações para garantir continuidade produtiva e reduzir riscos...
Security Report | Destaques

“Não basta proteger sistemas, temos que garantir serviços digitais com segurança ao cidadão”, diz Prodeb

Durante o Security Leaders Fortaleza 2025, a Companhia de Processamento de Dados do Estado da Bahia (Prodeb) apresentou seu novo...