O IT, o abuso de privilégios, e a fuga de informação

Num inquérito muito recente da Cyber-Ark sobre a utilização de contas privilegiadas e a fuga de informação, que foi realizado com base em entrevistas a mais de 400 profissionais de IT na Infosecurity Europe 2010 e na RSA USA 2010, são apresentados números que, na minha opinião, devem ser lidos com especial atenção. Do leque de questões que foram colocadas, destaco as seguintes:

  • À pergunta Alguma vez acedeu a informação num sistema que não era relevante para as suas funções?, 64% (no UK) e 74% (nos EUA) responderam Sim; e
  • Quando questionados se Alguma vez usou, ou algum dos seus colegas usou, uma password de administração para ter acesso a informação sensível ou confidencial?, 41% (no UK) e 40% (nos EUA) responderam Sim.

Com base nestas respostas, parece-me evidente que vale a pena ponderarmos se a atribuição de privilégios absolutos, sem dividir as credenciais por mais do que uma pessoa, não será um risco demasiado elevado. Ou seja, dito de outra forma, para sistemas que suportam funções críticas ou que mantêm informação estritamente confidencial, pergunto-me se não será melhor exigir duas ou mais pessoas para terem acesso a esse cofre. Por exemplo, dentro daquilo que a tecnologia nos oferece, podemos entregar um smartcard a uma pessoa e o PIN respectivo a uma outra. Ou, se o controlo for apenas por uma password, dividi-la em duas partes. Sem entrar em mais detalhes, neste contexto, é importante referir que seria necessário garantir a redundância deste mecanismo. Como é óbvio.

Não seria prático utilizar esta divisão para todos os sistemas, naturalmente. No entanto, pergunto-me se não seria importante considerá-la em alguns dos sistemas mais sensíveis.

Once again, this is just some food for your thought...