Suponha que você seja um administrador de TI que gerencia servidores, bancos de dados, dispositivos de rede e inúmeros outros aplicativos de TI. Todos esses recursos são acessados / controlados por senhas administrativas e estão sendo usados em um ambiente compartilhado. Isso significa que um grupo de administradores utiliza uma conta privilegiada comum para acessar o recurso. As contas privilegiadas são acessíveis a todos os membros de uma equipe.
Desnecessário será dizer que as senhas administrativas são muito poderosas e concedem privilégios ilimitados aos usuários. Aqueles que iniciaram o login através do modo privilegiado podem acessar absolutamente tudo com facilidade. Você tem milhares de senhas privilegiadas, a maioria dos quais é usada em ambiente compartilhado.
Como você compartilha essas senhas administrativas? Existe um processo? Como você garante a segurança?
Além das senhas “oficialmente compartilhadas”, os usuários muitas vezes tendem a revelar senhas administrativas para seus colegas por algum motivo ou outro. O motivo mais comum para tal “compartilhamento não oficial” é atender a uma emergência em sua ausência – Gerente de TI revelando a senha para um membro sênior quando ele estava de férias.
Desenvolvedores, técnicos de help desk e, em certos casos, fornecedores de terceiros que exigem acesso a senhas privilegiadas apenas temporariamente, são fornecidos com as senhas necessárias principalmente oralmente ou através de e-mails. Não há nenhum processo para revogar o acesso temporário e redefinir a senha após o uso temporário, o que deixa um grande furo de segurança.
É bastante comum ver administradores atribuir algumas palavras familiares ou frases curtas como senhas, para facilidade de uso. As senhas são mantidas em arquivos de texto, folhas espalhadas, ferramentas domésticas ou mesmo em cofres físicos. E, não é incomum ver a equipe de administração UNIX ter acesso total às senhas do Windows, desenvolvedores com acesso total às senhas de banco de dados e assim por diante.
Assim, as senhas administrativas são compartilhadas e espalhadas na empresa sem segurança, deixando pouca margem para quaisquer controles internos. Quer seja oficial ou casual, o compartilhamento de senhas privilegiadas nas empresas podem ter repercussões desastrosas na segurança da empresa. A má gestão das senhas administrativas leva a roubo de informações, manipulações e sabotagem sem deixar rastos.
É sempre bom evitar o compartilhamento de senhas administrativas. Infelizmente, é apenas uma situação ideal. As necessidades práticas são principalmente o oposto. Os requisitos de negócios exigem o compartilhamento seletivo de senhas com outros e ainda não comprometem a segurança da empresa.
Qual é a saída, então?
Antes de encontrar a solução, é pertinente analisar detalhadamente as ameaças e desvantagens de segurança associadas à “abordagem de compartilhamento casual”.
Deixe-nos discutir isso no próximo post sobre compartilhamento de senhas de forma segura.
ACS Pro Revendedor Autorizado ManageEngine e Zoho no Brasil.
Fone / WhatsApp (11) 2626-4653.
