Os privilégios do IT e a tentação...

Kelly Jackson Higgins, na Dark Reading:

Os utilizadores com privilégios mais elevados e poderosos nas organizações também são os mais propensos a usar o seu acesso para vasculhar a rede para obter informações confidenciais.

Uma nova pesquisa da Cyber​​-Ark Software descobriu que 28 por cento dos gestores de IT na América do Norte já bisbilhotaram, e 44 por cento das pessoas na Europa, Médio Oriente e África (EMEA) já o fizeram também. Cerca de 20 por cento dos entrevistados na América do Norte e 31 por cento na região EMEA dizem que um ou mais dos seus colegas usaram privilégios administrativos para chegar a informação confidencial ou sensível.

E um quarto das organizações de todo o mundo não está a monitorizar o uso de contas privilegiadas, de todo.

in IT temptation to snoop too great.

Este é um problema complexo sem uma solução muito fácil. No limite, temos sempre que confiar em alguém para fazer a administração e operação das aplicações, das bases de dados, dos sistemas e das infra-estruturas de comunicações. E é nessa confiança que reside o busilis.

Existem soluções para proteger os dados com criptografia e que podem, até certo ponto, limitar o acesso à maioria das pessoas, incluido os responsáveis pela gestão do IT. É relativamente simples adoptar soluções de criptografia para proteger o correio electrónico e os ficheiros que residem nos nossos discos. Podemos até usar mecanismos de cifra para proteger os dados em trânsito nas redes. No entanto...

No entanto, quando chegamos às bases de dados, bem, as coisas são mais complicadas. Difíceis, mesmo. Não vou entrar nos detalhes técnicos neste apontamento mas, acreditem, cifrar tabelas ou campos para cada utilizador (ou para um conjunto de utilizadores) não é simples. Para além disso, o risco de perdermos a informação quando se perdem as chaves, esse risco, não é zero (podemos mitigar esse risco com processos de recuperação de chaves, é um facto, mas acrescentamos complexidade e mais um vector de ataque).

E uma parte significativa do ouro está... nas bases de dados, claro.

O que fazer, então? Na minha opinião, o que pode ser feito – que não resolve totalmente o problema mas limita-o – é activar os registos de acesso a dados e a execução de operações relevantes, por um lado, e, por outro lado, garantir que existe um processo activo de monitorização desses registos, levado a cabo por equipas independentes.

Para além dessa monitorização, não há muito que possamos fazer e que seja, em simultâneo, eficaz e com um custo aceitável.

Tens outras ideias sobre o tema? Partilha connosco por aqui (!)