Artigo por Marcelo Mendes Santos, gerente de TI CISO da NEO
Limitar o acesso à informação e aos ativos que fazem o processamento dos dados, assegurando o acesso de usuários autorizados e prevenindo o acesso por pessoas não autorizadas aos ativos, sistemas e serviços é parte da rotina de todos os que trabalham com Segurança em TI. Da mesma forma, também é nossa missão tornar cada um dos colaboradores que estão autorizados responsável pela proteção das suas senhas.
A gestão dos acessos é a primeira fronteira na proteção das informações. Trabalhar os aspectos educacionais do uso consciente das senhas, incentivando às pessoas a adotar combinações de letras, números e demais caracteres de forma complexa ajuda a prevenir uma série de infortúnios. Mas, infelizmente, não é tudo. É preciso desenvolver uma política de controle de acesso, com todas as diretrizes muito claras - inclusive no que tange às penalidades em caso de compartilhamento indevido dos logins.
Uma boa política de segurança da informação precisa conter, ainda que de forma macro, a forma de acesso aos serviços de rede de uma organização, porém, dentro da política de controle das permissões, faz-se necessário estipular as regras de acesso aos serviços de rede. Com diretrizes de controle plausíveis, estipulando os direitos de login e os limites aos usuários que desejam acessar seus ativos, é possível educar os colaboradores em uma organização, prevenindo-os quanto a eventuais riscos em caso de terceirização de seus acessos. E isso vale para pequenas, médias e grandes empresas - quanto mais pessoas acessando uma rede, maior os riscos.
Nunca se esqueça que conexões sem autorização e inseguras nos serviços de rede podem causar estragos incalculáveis. Tomemos como exemplo os casos recentes de ataques às bases de dados de três emissoras de TV daqui do Brasil. Embora duas delas não assumam que tiveram suas redes invadidas, uma delas admitiu publicamente o ocorrido, ainda que não saiba informar como a invasão ocorreu (existe a suspeita de que hackers entraram por uma porta do sistema que foi deixada aberta por falha humana, técnica ou até intencional). O fato é que a companhia teve a sua intranet afetada e perdeu o acesso a anos de conteúdo (gravado, editado ou em estado bruto, que já foram exibidos ou seriam em breve) e a anos de e-mails trocados, enviados ou recebidos por funcionários, internamente ou a terceiros. Imagine uma série de informações sigilosas sobre as áreas comercial e artística, além de informações pessoais (inclusive da alta cúpula da emissora) nas mãos de pessoas mal intencionadas? É, simplesmente, impossível calcular os estragos. E, em meio a esse imbróglio, os colaboradores (do jornalismo e do departamento artístico) correm contra o tempo para não deixar os telespectadores e também os anunciantes a verem navios.
Quando paramos para pensar na importância de estabelecermos regras para a gestão dos acessos e na prevenção de incidentes, constatamos que o sequestro de dados, independentemente do ramo de atividade de uma organização, pode causar transtornos semelhantes aos provocados por uma bola de neve rolando ladeira abaixo - caos e destruição. É por isso que, em tecnologia da informação, é muito melhor (e muito, mas muito mais barato) prevenir do que remediar. Porque, nesses casos, o remédio geralmente tem um preço muito alto, e seu uso pode ser feito tarde demais.