A história do Cavalo de Troia, um dos mais famosos contos da mitologia grega, oferece uma poderosa metáfora para entender os perigos da autenticação fraca na era digital. Da mesma forma que o famoso cavalo de madeira permitiu aos gregos penetrar nas defesas de Troia e abrir as portas para a invasão, a exploração de autenticação fraca em sistemas de segurança cibernética pode conceder acesso não autorizado aos invasores, comprometendo a integridade das organizações.
Assim como os troianos confiaram na aparente inocência do presente, as organizações muitas vezes subestimam a importância de implementar medidas robustas de autenticação, abrindo inadvertidamente as portas para intrusões maliciosas. Este paralelo histórico ressalta a necessidade premente de reconhecer e mitigar os riscos associados à autenticação fraca na proteção das informações e ativos das organizações contra ameaças cibernéticas cada vez mais sofisticadas.
Autenticação é o processo de verificar a identidade de um usuário ou dispositivo para garantir que eles sejam quem afirmam ser. É uma etapa crucial na segurança da informação e desempenha um papel fundamental na proteção de sistemas e dados contra acesso não autorizado. A autenticação é importante porque ajuda a garantir a confidencialidade, integridade e disponibilidade dos recursos de uma organização, protegendo-os contra ameaças cibernéticas, como ataques de hackers e violações de dados.
Modelos de autenticação: muito além das senhas
O modelo de autenticação mais conhecido e tradicional é a feita por meio de senha. Para incrementar a segurança e evitar ataques de força bruta, há aprimoramentos como o Captcha, a troca periódica das senhas, a obrigatoriedade de criação de senhas fortes e assim por diante. Porém, há outros mecanismos mais eficientes e com menor fricção ao usuário e que são mais efetivos, tais como:
Autenticação Multifator (MFA): este método exige que os usuários forneçam duas ou mais formas de autenticação para acessar um sistema. Pode incluir algo que o usuário sabe (senha), algo que o usuário tem (um token enviado em um segundo dispositivo) e algo que o usuário é (biometria, como impressão digital ou reconhecimento facial). A MFA é mais segura do que a autenticação apenas por senha.
Autenticação de Certificado: Neste método, os usuários possuem um certificado digital único que é usado para autenticar sua identidade. Esse certificado é geralmente armazenado em um token ou dispositivo seguro e é muito utilizado por instituições financeiras.
Aprimorar a autenticação nas empresas pode ser desafiador devido a diversas resistências. Os custos associados à implementação de tecnologias avançadas, a complexidade dos novos processos para os usuários, questões de compatibilidade com sistemas existentes e resistência cultural à mudança são algumas das barreiras enfrentadas. Além disso, preocupações com a privacidade, especialmente em relação ao uso de biometria, e a necessidade de garantir uma experiência do usuário simples e eficiente também contribuem para a dificuldade na adoção de medidas mais robustas de autenticação. Superar esses desafios requer comprometimento da liderança, investimentos adequados em tecnologia e treinamento, além de uma abordagem equilibrada que leve em consideração tanto a segurança quanto a usabilidade.
Para as organizações que utilizam o pacote Microsoft, a solução de gestão de identidades Microsoft Entra ID resolve grande parte desses desafios. As licenças corporativas já possuem o Microsoft Entra ID com a funcionalidade de robustecer os métodos de autenticação. Logo, os custos para melhorar a autenticação são praticamente inexistentes. Além disso, é uma solução nativa e integrada com todo o ambiente Microsoft, reduzindo as necessidades de integração. Para habilitar o MFA, por exemplo, a Microsoft disponibiliza o aplicativo Microsoft Authenticator, que permite validar acessos por meio do dispositivo móvel. Restam as questões associadas à privacidade e cultura de segurança da informação. Para estes casos, é fundamental aplicar um programa de gestão da mudança gradual para minimizar os impactos de um modelo de autenticação mais robusto.
Ao robustecer os métodos de autenticação das identidades na sua organização, a barreira de entrada dos cibercriminosos passa a ser muito maior. Além de confiar nas defesas do castelo, proteger a porta de acesso é um aprendizado que a história prova ser fundamental.
Com o aumento do acesso a dados de negócios fora dos limites da rede corporativa convencional, a segurança e a conformidade assumem uma importância cada vez maior. Por isso, as organizações devem buscar maneiras de aprimorar a proteção de seus dados, independentemente de sua localização, seja dentro da rede corporativa ou na nuvem. Além disso, é crucial que as organizações atendam aos requisitos regulatórios e do setor para garantir a segurança e a privacidade dos dados. A proteção de identidades e acessos é parte fundamental desse processo.
Mesmo em ambientes hospedados em nuvem, as organizações são responsáveis por proteger os dispositivos (endpoints) e acessos que transitam neste ambiente. E quando falamos sobre gestão e proteção de identidades e acessos, é notável a desatenção com a proteção aos acessos nas organizações.
Camadas de segurança na proteção de identidades e acessos
Em um modelo de defesa por profundidade, a gestão de identidade é uma das primeiras etapas de proteção na cibersegurança. A defesa em profundidade usa uma abordagem em camadas de segurança, em vez de depender de um único perímetro. Uma estratégia de defesa em profundidade usa uma série de mecanismos para reduzir o avanço de um ataque. Cada camada fornece proteção para que, se uma camada for violada, uma camada subsequente impedir que um invasor receba acesso não autorizado aos dados. Camadas de segurança podem incluir:
Segurança física, como limitar o acesso a um datacenter para apenas o pessoal autorizado
Controles de segurança de identidade e acesso, como autenticação multifator ou acesso condicional para controlar o acesso à infraestrutura e controle de alterações.
A segurança de perímetro de sua rede corporativa inclui a proteção contra DDoS (ataque de negação de serviço distribuído) para filtrar ataques em grande escala antes que eles possam causar uma negação de serviço para os usuários.
Segurança de rede, como segmentação de rede e controles de acesso à rede, para limitar a comunicação entre os recursos.
A segurança da camada Computação, como a proteção do acesso a máquinas virtuais, local ou na nuvem, fechando determinadas portas.
A segurança da camada Aplicativo garante que os aplicativos estejam seguros e livres de vulnerabilidades de segurança.
A segurança da camada Dados, incluindo controles para gerenciar o acesso aos dados de negócios e clientes e à criptografia para proteger os dados.
Os ataques de phishing estão ficando cada vez mais sofisticados e direcionados para pessoas com altas credenciais nas organizações. Inclusive já há um nome para isso: whaling, ou seja, fazer uma campanha de phishing para pegar o peixe grande. Nestas campanhas, o foco é ter acesso aos dados da credencial do usuário. E se a identidade dele não estiver segura, basta um link malicioso para todo castelo de proteção ser derrubado por meio de uma autenticação fraudulenta.
Para as organizações que utilizam soluções corporativas Microsoft, as licenças contemplam o Microsoft Entra. O Microsoft Entra simplifica o gerenciamento de acesso e autenticação para organizações, oferecendo uma plataforma de gestão de identidade unificado para aplicativos locais e na nuvem. Ele pode ser integrado ao Active Directory local já existente, sincronizado com outros serviços de diretório ou implantado em ambientes multinuvem.
Além disso, o Microsoft Entra possibilita às organizações a segura habilitação do uso de dispositivos pessoais, como smartphones e tablets, e promove a colaboração com parceiros comerciais e clientes.
Em licenças mais avançadas, o Microsoft Entra permite identificar comportamentos suspeitos no acesso e bloqueá-los antes de algo pior acontecer. Além disso, é possível integrar os logs de acesso do Microsoft Entra em ferramentas de SIEM (Security Information and Event Management) para monitoramento e reporte de acessos.
Configurar corretamente o Microsoft Entra ID é um caminho de ganho rápido para aumentar a postura de segurança da sua organização, evitando que ataques simples à identidade sejam bem-sucedidos.
Com as empresas em busca de aquisições estratégicas para expandir sua participação de mercado de forma a obter acesso a novas tecnologias ou geografias e aumentar sua competitividade, notam-se tendências que podem continuar a moldar o cenário de fusões e aquisições em 2023.
Entre elas, há uma demanda contínua por empresas de tecnologia e ativos digitais, assim como maior foco nas organizações com perfis ambientais, sociais e de governança (ESG) já desenvolvidos e nas transações internacionais devido à procura por negócios mais globalizados. Além disso, as taxas de juros baixas podem continuar barateando os empréstimos, o que pode encorajar mais empresas a buscar acordos de fusões e aquisições.
Entretanto, num processo que envolva fusão e aquisição, ou seja, num M&A (Mergers & Acquisition), se a migração for dificultosa, podem ocorrer situações indesejadas, como clientes trocarem a empresa pelo concorrente ou certas vulnerabilidades serem exploradas de forma indevida, tornando a reorganização societária e, consequentemente, a transformação digital, um fracasso.
Por exemplo, há casos reais, como uma cisão parcial realizada no setor de seguros que foi descontinuada após recorrentes dificuldades enfrentadas na estruturação operacional, bem como na gestão de acesso para a uma nova subsidiária. Na época, a empresa não possuía estrutura e processos adequados para as atividades de gestão de acesso, sendo assim não se sabia como estava o cenário atual das permissões de acesso aos sistemas core do negócio.
Ou seja, sem a devida estruturação e controle, o processo de concessão de acesso para a nova subsidiária ocorreu de forma incompleta e desordenada, incorrendo em uma série de problemas operacionais e aumento de vulnerabilidades.
Como forma de mitigar os problemas operacionais, foram empregadas soluções de análise de dados para avaliação do cenário e ajuda na tomada de decisões estratégicas. Em pouco tempo o cenário caótico foi sendo minimizado e compreendido pelos indicadores e informações organizadas. No entanto, o desgaste já havia acontecido e o prosseguimento da cisão já não fazia sentido. Se o entendimento de cenário e controle de mudanças fossem operacionalizados de forma antecipada a partir de ferramentas de análise, o resultado teria mais chances de ser positivo.
Outro exemplo, desta vez no setor rodoviário, traz um processo de aquisição para a incorporação de tecnologia que fez com que a empresa adquirente se enquadrasse em novas exigências regulamentadoras. Um dos pontos essenciais para atendimento das exigências impostas consistia na estruturação mais robusta do processo de gestão de acesso aos sistemas incorporados, ou seja, a empresa precisou amadurecer seus processos de forma muito rápida, tendo em vista que havia pouca iniciativa desenhada para gestão de acesso.
Neste caso, o uso de técnicas de análise de dados permitiu melhoria significativa de maturidade ao aferir o cenário e desenhar planos de ação para questões ligadas à IAM (Identity and Access Management) e SoD (Segregation of Duties).
As dificuldades enfrentadas e consequentemente a taxa de insucesso relacionadas ao processo de reorganização societária não ficam restritos apenas aos cenários internos das companhias. Segundo a Forescout, 53% das organizações se depararam com incidentes e problemas críticos de cibersegurança durante um processo de M&A, assim como 65% apresentaram arrependimento em relação ao acordo feito após enfrentarem problemas nessa questão. De forma não isolada, as vulnerabilidades de cibersegurança são exponenciais sem uma solução sólida de IAM instalada.
Isso significa que o processo de M&A terá um grande problema de segurança caso a empresa esteja gerenciando um alto volume de dados descentralizados ou sem uma estratégia de identidade centralizada.
Ter uma solução de análise massiva de dados disponível para execução antes de uma reorganização societária permite que a companhia tenha um panorama mais eficiente do cenário atual sob um contexto geral, não somente para temas voltados à gestão de dados.
Ao realizar uma análise completa e eficiente considerando grandes volumes de dados financeiros e operacionais, é possível que tendências e pontos de falhas sejam identificados levando, a decisões estratégicas mais eficientes e seguras. Ou seja, evita que meses sejam desprendidos integrando sistemas e minimiza o esforço operacional garantindo mais tempo para a equipe se dedicar em assuntos ainda mais críticos. Além disso, o emprego da tecnologia aumenta a taxa de sucesso de fusões e aquisições, pois essas tendem a falhar se não houver um processo claro de integração dos dados.
A implementação de uma ferramenta de análise de dados massivo é uma etapa crítica na jornada de migração em M&A, exigindo dos tomadores de decisão um planejamento antecipado que contemple a avaliação de quais dados e sistemas devem ser mantidos e quais serão descartados.
*Erick Matheus Santos e Rafael Carniato são da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Lei Sarbanes-Oxley (SOX), promulgada nos Estados Unidos e voltada para a governança corporativa, traz as novas questões regulatórias sobre a privacidade de dados e os constantes processos de violações de segurança, forçando as empresas a aumentarem a conscientização e a responsabilidade sobre as ações internas de seus funcionários.
Um dos instrumentos para tal controle é a matriz Segregation of Duties ou Segregação de Funções (SoD). Sem ela, as segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes, o que pode levar a declarações financeiras incorretas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores. Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para roubá-la por meio de atividade fraudulenta.
Ou seja, se os controles internos não forem confiáveis, abrem-se precedentes para aumentar os testes substantivos pela auditoria interna e pelo auditor externo, traduzindo-se em custos adicionais para a organização. E as descobertas mais sérias podem levar a uma avaliação pelo auditor externo de que a empresa possui uma deficiência significativa ou fraqueza material.
Por último, se os SoDs não estiverem presentes, levanta-se a questão sobre se as informações e provas obtidas são confiáveis, isentas de erros ou podem sugerir a existência de uma distorção material. Como resultado, o auditor pode aumentar o tamanho das amostras, diminuir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.
Por isso, os SoDs devem ser proporcionais ao tamanho, à complexidade e ao risco geral das operações de uma empresa e do ambiente de relatórios financeiros, o que os torna importantes nos esforços para reduzir fraudes e aumentar a eficácia operacional.
Controles compensatórios podem existir para mitigar os riscos resultantes da falta de segregação adequada de funções. Entretanto, eles incluem trilhas de auditoria, reconciliação, revisões de supervisão e logs de transações que podem encarecer os custos. Portanto, recomenda-se que a SoD seja implantada por meio de um projeto e sustentada ao longo do tempo.
Prevenir resultados desastrosos
Sem a SoD, qualquer destes cenários mostra claramente a possibilidade de resultados desastrosos, exatamente o que não se tolera na Lei SOX. Como resultado, o objetivo de gerenciamento de risco dos controles SoD é evitar que ações unilaterais ocorram em processos-chave nos quais os efeitos irreversíveis estejam além da tolerância de uma organização a erros ou fraudes.
Independentemente da metodologia, ou do framework que sustenta o processo de gerenciamento de risco de uma empresa, a SoD é assunto relevante, pois a gestão de perfil de acesso é uma preocupação recorrente entre membros de comitês de auditoria, especialmente em períodos de ameaças cibernéticas cada vez mais frequentes.
Para nós, auditores independentes para certificação SOX, é evidente perceber que quanto maior a preocupação com a SoD e seus desdobramentos, de uma maneira preventiva, maior é o nível de maturidade de governança da empresa em todo o seu processo de gerenciamento de riscos.
*Erick Matheus Santos e Gustavo Ferreira são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
As organizações estão sentindo o calor e a pressão para inovar e criar maneiras de fazer com que seus negócios permanecerem relevantes. Para as instituições financeiras, em particular, esta situação é ainda mais presente devido à forte concorrência dos gigantes do setor, bem como as startups “nascidas digitais”.
Com o cenário regulatório em constante mudança, equilibrar requisitos regulamentares e de conformidade complexos com esforços para aumentar a eficácia e reduzir custos por meio da transformação digital, exigirá processos de negócios mais inteligentes e que demandam atenção com a segurança da informação.
As inovações permitem o acesso ideal do usuário aos sistemas, garantindo a manutenção das medidas de segurança apropriadas. Para um número crescente de organizações, usuários internos e externos estão acessando sistemas de todo o mundo e de uma variedade de dispositivos. Isso significa que as identidades desses usuários e seus acessos associados, em vez da rede, estão formando o novo limite de segurança em torno da organização.
Essa mudança de paradigma destaca a importância de acertar o gerenciamento de identidade e acesso (IAM), tanto para facilitar os negócios quanto para ficar à frente dos requisitos de auditoria, conformidade e regulamentação. Analisando a Instrução Normativa nº 001/2001, temos o Princípio da Segregação de Funções, uma regra de controle interno para evitar falhas ou fraudes na entidade, descentralizando o poder e estabelecendo independência para as funções de execução operacional, custódia física e contabilização da informação. Ela alerta que ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação.
A informação tem um ciclo de vida de quatro fases: manuseio, no qual dado é criado e manuseado; transporte, que são os meios para o envio dos dados de um local a outro; armazenagem, onde o dado está guardado/custodiado; e descarte, ou seja, quando se dá o ciclo final à informação.
Analisando estas etapas, um dado pode ser vazado como ato intencional em algumas dessas fases para obter algum ganho ou vantagem e, em um ambiente competitivo, cujas mudanças de processo e tecnologia podem impulsionar a organização a novos patamares ou causar riscos significativos e possíveis impactos negativos, é crucial a adoção de medidas proteção de dados para que eles não caiam nas mãos de alguém mal-intencionado em qualquer etapa do seu ciclo de vida.
Cabe a adoção de procedimentos de segurança como estratégia de prevenção de ataque cibernético, evitando o vazamento de informações sigilosas das empresas. Portanto, para permanecer relevante e permitir que a empresa tenha sucesso em um cenário em rápida mudança, mantendo uma forte postura de risco e segurança, programas, processos, governança e tecnologia de gerenciamento de identidade e acesso precisam ser alinhados.
Investir em uma equipe capacitada na terceirização deste serviço que seja especializada, com profissionais que tenham domínio do tema e que sejam capacitados para proteção de dados, deve ser levado em consideração num mundo cada vez mais digital e com empresas ingressando para a cultura Data Driven.
