Como Proteger as Credenciais dos Altos Executivos

Cada vez com mais frequência, tenho visto no mercado altos executivos com suas contas (logins) comprometidos. Além de todo o transtorno de ter que fazer um pente fino em todos os serviços onde este executivo tem acesso e alterar a senha de todos, ainda temos aqui o vazamento de informações, por vezes sigilosas, perdas financeiras e, principalmente, o desgaste da imagem do time de TI da companhia perante seu maior sponsor.

Mas como proteger alguém de ter suas credenciais comprometidas uma vez que o que um executivo mais odeia é utilizar senhas complexas e ter que altera-las com frequência? Para piorar o cenário, o alto executivo é “quem manda” e ele sempre tem uma regra de exceção a seu favor.

O papel da TI é facilitar a vida do seu executivo e ao mesmo tempo torna-la o mais segura possível no que tange suas credenciais.

O primeiro passo é tentar unificar tudo, e eu digo tudo mesmo, em um único ponto de controle. Todos os logins e todas as senhas deverão ter uma única base autoritativa. Uma vez centralizados estes logins você já sabe o que proteger e onde proteger.

Imagine que você não queira unificar os logins em uma única base autoritativa e repentinamente alguém comprometeu a identidade de seu maior executivo.

Pesquisas mostram que mais de 90% das pessoas utilizam a mesma senha para diversos serviços, sejam eles internos ou na nuvem.

Pronto, agora sim você tem um problema pois uma vez comprometida a credencial o “invasor” terá acesso a todos os sistemas que seu executivo acessa no seu dia a dia. Você pode até pensar que sua rede interna é bem protegida e que você tem um super firewall de perímetro (vou falar sobre a dissolução de perímetro em um outro post) e que internamente nada vai acontecer, mas, você já parou para pensar sobre quantos acessos externos o seu executivo possui? Só para dar um exemplo: Dropbox, Skype, Skype for Business, Facebook, Linkedin, Tweeter, Snapchat, sites de companhias aéreas e por aí vai. Faça uma lista junto com seu executivo e você terá um resultado assustador.

Mas aí você pode questionar, ok, unifiquei todos os logins em uma base autoritativa única e o que acontecerá se esta credencial for comprometida? O “invasor” terá acesso a todas as aplicações do executivo? A resposta é SIM. Mesmo que você unifique suas identidades em um único local, se a identidade for comprometida o acesso ficará escancarado.

Mas como podemos resolver este problema de uma vez por todas?

Estudos da Mandiant / FireEye indicam que 100% dos ataques bem-sucedidos aconteceram através de identidades comprometidas, ou seja, alguém descobriu a senha e se apoderou da conta para efetuar o ataque.

O segundo ponto que temos que resolver é sobre como fortalecer o acesso do alto executivo sem ter que fazer ele alterar a senha a cada 15 dias ou utilizar senhas de 50 caracteres.

Os bancos têm feito isto nos últimos anos e algumas pessoas se quer pararam para pensar sobre o porquê eles mudaram a maneira como acessamos nossos sistemas de home banking.

Sempre que você acessa seu home banking você digita sua conta corrente, sua agencia e sua senha, correto? Pois bem, logo em seguida (para determinadas ações) o banco exige que você utilize o token para uma segunda validação de que você é você mesmo e sua credencial de acesso não foi roubada, ou comprometida como se diz em TI.

O que quero dizer aqui é que o nosso segundo passo para proteger a conta dos executivos é utilizar um segundo fator de autenticação ou múltiplos fatores de autenticação que permitam uma melhor identificação do indivíduo que está utilizando aquela conta.

Imagine dizer para seu executivo que a partir de hoje ele possui somente um login e uma senha para acessar qualquer serviço? Ele vai adorar isto.

Porém, você dirá a seu executivo que ele irá utilizar um segundo fator de autenticação para evitar que alguém se utilize da senha dele para acessar suas aplicações.

Vamos imaginar que você entrega a seu executivo um token (físico ou virtual) para que ele possa se re-autenticar garantindo os dois passos de uma autenticação segura, ou seja, algo que você sabe e algo que você possui. Garanta que SEMPRE que seu executivo for fazer uma autenticação em um sistema ele utilize, além do login e senha, ao menos um segundo fator de autenticação forte.

Nunca utilize para um executivo um segundo fator de autenticação que possa ser facilmente quebrado como um desafio de perguntas e respostas.

O token é apenas um exemplo de segundo fator de autenticação mas podemos utilizar de diversos dispositivos e ferramentas para isto, como uma simples ligação para o celular do seu executivo.

A conta do seu alto executivo é muito poderosa e muito importante para a companhia, trate ela com prioridade zero.