Em nossa primeira publicação introduzimos um assunto que é muito importante para a segurança: a confiança. Uma empresa geralmente inicia suas atividades com uma quantidade pequena de pessoas que se conhecem pelo nome. O clima de cordialidade e empatia é reforçado a cada nova conquista e a cada barreira vencida. Não se imagina pessoa mais confiável do que esta que senta na mesa do lado.

Com o tempo, a empresa cresce e se profissionaliza. Entram novas pessoas, novas mentalidades, novos modos de agir. Temos inclusive terceiros e consultores que estão ajudando nestas mudanças. Tudo isto é muito benéfico para todos pois a troca de experiências e conhecimento fica cada vez maior. Ocorre porém, que agora não temos mais quatro ou cinco pessoas atuando juntas, temos 50, 500, 5.000 ou mais, espalhadas em diversos lugares do país ou do mundo. Neste momento, temos que atuar para que a organização continue perene, é hora de organizar o “caos”.

Estou supondo que sejamos as pessoas responsáveis pelo suporte, TI ou infraestrutura. Não menciono ainda a área de segurança da informação pois ela ainda surgirá em nossa empresa em um estágio mais avançado. Em matéria publicada em fevereiro o jornal Valor Econômico afirma que a “Maturidade de segurança na infraestrutura corporativa ainda é baixa” . O texto fornece um diagnóstico no Brasil da situação que estamos mencionando acima.

Inicialmente, temos 10 questões e direcionamentos que devem compor nosso checklist para iniciar as atividades;

A partir destas questões básicas vamos construir nossos processos de controle de acessos e privilégios, tirar nossos relatórios e iniciar nossos estudos. Existem no mercado muitas ferramentas que podem nos auxiliar a tornar nossa vida um pouco mais automatizada e prática. Afinal, lembrar de tudo e de todos é muito difícil. Neste ponto, vale a pena conhecer um pouco mais as ferramentas da BeyondTrust principalmente as de gerenciamento de acessos, permissões, vulnerabilidades, scanner de rede, avaliação de vulnerabilidade na nuvem e relatórios de auditoria de active directory, file system, SQL Server e Exchange.

Caso não seja possível contar com este tipo de auxílio, vai aqui uma pequena dica. Há algum tempo, aprendi com um excelente consultor em minha jornada para me tornar um GreenBelt em 6Sigma que, devemos sempre que possível incluir “poka-yoke” (pronuncia-se poca-ioquê). Poka-yoke é um dispositivo à prova de erros destinado a evitar a ocorrência de defeitos em processos. Trazendo isto para nosso mundo, podemos incluir consistências em nossos sistemas e processos de forma a impedir que usuários cometam algum ato incoerente com suas atividades. Devemos inclusive criar alertas a partir de tendências.

Este é o primeiro passo. Lembre-se que até hoje os maiores ataques vieram de vulnerabilidades e acessos internos.

Nas próximas publicações iremos falar sobre legislação, fraudes e casos de invasões no Brasil. Enganam-se as pessoas que pensam que as invasões e comprometimento de informações ocorrem apenas no exterior. No Brasil quase metade das empresas já sofreram ataques de “ransonware”. Não percam e colaborem com sugestões de assuntos que queiram discutir ou desmistificar com a ajuda do nosso blog.

A BeyondTrust pode te ajudar a gerenciar suas contas privilegiadas e acessos de usuários para melhorar a segurança e cumprir com requerimentos de Compliance. Baixe nosso white paper “7 Passos para a Completa Gestão de Contas Privilegiadas”e descubra o porquê analistas como Gartner e Forrester posicionam a BeyondTrust como Líder em Gestão de Contas Privilegiadas.