No início da humanidade não havia nada. Foi então que Nammu para os Simérios ou Caos para os Gregos ou Deus para o Hebreus e católicos criou a Terra/Ki(Simérios)/Gaia(Gregos) e o Ceu/Anu(Simérios)/Urano(Gregos). E a partir daí a história da humanidade começa.

Quase todo mundo teve um dia uma experiência parecida, a de criar a partir do nada algo. Algo que faça nossa existência valer a pena. Pode ser um carro de madeira ou um vestido feito de trapos.

No mundo empresarial, em especial em tecnologia, sempre que nos deparamos com algo novo, que não tem paralelo, que não tem igual, isto nos excita e nos leva a querer que este algo evolua, crie vida própria e tenha sucesso. Para que isto ocorra muitas vezes nós, com toda a boa vontade do mundo, executamos alguns comandos simples como o “su” ou “sudo” ou até um “chmod 777”. Isto na melhor das intenções pois a empresa precisa, o Presidente está pedindo, o sistema está parado, todos estão cobrando uma solução. A partir daí, de um simples comando, você começa a receber os parabéns de todos, você é o “cara”, você é a pessoa que o presidente chama quando quer resolver algo. Você se sente importante e a cada mudança sem estrutura, sem planejamento e sem documentação você recebe mais elogios. É importante para a empresa uma ação rápida, precisa e eficaz.

Também nesta época as pessoas realizam muitas atividades, algumas até fora da sua área de atuação, sempre para o bem da empresa. Todos precisam ajudar a alavancar o crescimento e por isto muitas vezes um diretor da área comercial tem permissões em processos da área de faturamento, uma pessoa de desenvolvimento de sistemas tem acesso aos bancos de dados de desenvolvimento e também produção. É lógico que isto acontece, afinal, quando ocorre um erro de madrugada ele tem que ser resolvido imediatamente!

O tempo passa e você começa a organizar o caos, analisar o que vale a pena ser protegido, quem necessita ter acesso a isto ou aquilo, quais atividades uma pessoa tem que realizar e quais ela de fato tem poder para realizar. É aí que você se depara com uma realidade: “informação é poder”. Sim, PODER. As pessoas não querem admitir que não conseguem gerar as informações que sempre geraram, não querem deixar de ter acesso aos cadastros, não querem perder tempo fazendo as atividades no ambiente de desenvolvimento quando poderia ter acesso aos dados de produção. É nossa obrigação fazer com que a ordem se estabeleça no caos.

Veja, não estou falando que o caos se estabeleceu porque alguém fez algo errado. Todos fizerem o que era melhor para o momento, provavelmente cheios de boa vontade e boas intenções. O que ocorre é que o mundo mudou e nós devemos acompanhar essa mudança. É preciso parar de nos vangloriarmos do passado e nos livrarmos das amarras que impedem nossa evolução. Devemos olhar em frente com novos objetivos e buscarmos reconhecimento pelo que estamos implementando e os benefícios que isso deve gerar para a empresa. Posto isto, e a partir das atividades que já iniciamos, precisamos exercer um pouco de psicologia e explicar, entre outras coisas, que:

  1. Direitos administrativos nos sistemas não devem ser padrão para usuários normais e operadores pois não queremos que todos tenham acesso a tudo, como por exemplo os cadastros;
  2. Não devemos usar as senhas padrões dos sistemas. Ninguém usa as senhas 1234 em seu cartão bancário;
  3. Não devemos permitir que todos instalem tudo em nossos sistemas e equipamentos. Você já imaginou seu carro cheio de adesivos e pintado de cores diversas?;
  4. Devemos ter sistemas que controlem os direitos dos usuários tanto na admissão como na demissão ou transferência. O processo de aquisição de direitos pode demorar, pois precisamos saber o que o usuário pode acessar, como e quando, entre outras coisas. O processo acertos nas permissões no desligamento ou transferência de atividades pode ser postergado decorrência de outras prioridades.
  5. Devemos ter um sistema para controle das senhas e permissões de acesso. É impossível guardar na memória todas as senhas. O administrador não consegue controlar tudo de todos os sistemas 24 horas por dia sem algum tipo de deslize. É extremamente difícil para o usuário que tem dezenas de senhas fazer uma senha forte para todos os ambientes;

Temos acima apenas alguns itens de atividades que devemos executar. Mas além de trabalhar muito na organização devemos também nos lembrar da monitoração, da segurança de todo nosso ambiente, das legislações, de como a tecnologia pode nos auxiliar a reduzir os riscos de erros, possibilidade de fraudes e ataques.

Um bom exemplo de monitoração seriam nossas centrais de help desk, sejam elas internas ou externas, com chamados de usuários que refletem anomalias (não podemos esquecer de observar esses sinais). Os melhores estrategistas não baseiam suas decisões no sexto-sentido, mas sim nas informações.

Voltando ao nosso administrador, que está colocando a ordem no caos, segundo o Gartner Market Guide for Privileged Access Management o acesso privilegiado é um foco importante para os lideres de segurança. As ações para prevenir e detectar violações, manter a responsabilidade individual e aumentar a eficiência dos produtos estão se consolidando em torno de padrões de gerenciamento de senhas, acessos e controle de ações privilegiadas. O Gartner também menciona que está ocorrendo uma mudança no perfil dos usuários de sistemas PAM (privileged access management). No passado somente grandes organizações eram usuárias, porém, nota-se que pequenas e médias empresas estão direcionando suas ações para adoção desta tecnologia que atua de forma a confiar menos na memória do ser humano e mais no cumprimento automático de regras. Desta forma, este vai ser um tema recorrente em nossas conversas pois, afinal, se todos tem direito de fazer tudo que segurança pode existir em nosso ambiente?

Finalizando este primeiro blog, uma reportagem recente de um veículo de informação confiável informou que quase metade das empresas brasileiras já sofreu ataque de sequestro de dados. Por isso também vamos falar sobre temas relacionados à fraude e segurança por aqui, sendo que a prevenção das violações e dos ataques, em minha opinião, também possui uma relação estreita com a adoção ou não de soluções de gerenciamento de acesso privilegiado caseiras ou profissionais.

Esse texto foi a introdução de um diálogo que queremos estabelecer com profissionais da área criando um fórum sobre as necessidades do nosso mercado no Brasil. Para isso precisamos da sua colaboração: nos envie uma mensagem dizendo quais temas você gostaria que fossem abordados no nosso blog.


Up next