O Cybersecurity Director da Claranet Portugal falou à revista IT Security sobre as consequências “potencialmente devastadoras” do abuso de credenciais e deixou sugestões para as organizações se protegerem de forma eficaz.
David Grave
Cybersecurity Director - Claranet Portugal
A falta de consciencialização dos utilizadores e a inexistência de medidas de segurança adequadas nas organizações são dois dos principais fatores que contribuem para o abuso de credenciais empresariais, defendeu David Grave em entrevista à revista IT Security.
No âmbito de um artigo sobre proteção de credenciais, o Cybersecurity Director da Claranet Portugal falou da utilização de passwords fracas, da sua reutilização indiscriminada em várias contas e da facilidade com que os utilizadores são enganados em ataques de phishing, apontando também a falta de proteção nas organizações para acautelar esses comportamentos:
A falta de medidas de segurança adequadas - como a autenticação em dois fatores, a monitorização de atividades suspeitas e também a inexistência, por exemplo, de segregação entre contas de uso diário e contas de administração com acesso privilegiado - pode facilitar o abuso de credenciais.
Para este especialista, o possível roubo de informações sensíveis e financeiras pode resultar em danos reputacionais, na perda de confiança de clientes e stakeholders, em implicações legais e regulatórias, bem como em custos financeiros substanciais para remediar os danos causados. “O abuso de credenciais é uma ameaça séria para as organizações, com consequências potencialmente devastadoras” – adverte.
A chave, segundo David Grave, está numa abordagem que deverá envolver tecnologia, processos e consciencialização dos utilizadores, apostando num conjunto diversificado de procedimentos, entre os quais:
- Implementação de políticas de segurança rigorosas;
- Autenticação em dois fatores;
- Monitorização contínua de atividades suspeitas;
- Segregação de contas com privilégios de administração;
- Limite de contas privilegiadas a adoção do princípio ‘least privilege’;
- Implementação de políticas de gestão de identidade e acesso.
E acrescenta:
Uma estratégia mais radical, mas cada vez mais adotada e eficaz, passa pela implementação de tokens físicos para aumentar a segurança e simplificar o processo de autenticação.
A juntar às abordagens tecnológica e de processos, David Grave defende que a educação dos utilizadores é essencial para a segurança das credenciais empresariais. Neste contexto, sugere a adoção de várias estratégias de consciencialização, incluindo a realização de exercícios e formações regulares, abordando tópicos como a criação de palavras-chave fortes, a identificação de atividades suspeitas, o reconhecimento de ataques de phishing e a importância de não partilhar informações confidenciais.