{"id":41276,"date":"2022-10-07T13:03:14","date_gmt":"2022-10-07T13:03:14","guid":{"rendered":"https:\/\/patrocinados.estadao.com.br\/medialab\/?p=41276"},"modified":"2022-10-07T13:03:14","modified_gmt":"2022-10-07T13:03:14","slug":"gestao-de-identidades-e-essencial-na-protecao-contra-ciberataques-afirma-especialista","status":"publish","type":"post","link":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/agenciaey\/gestao-de-identidades-e-essencial-na-protecao-contra-ciberataques-afirma-especialista\/","title":{"rendered":"Gest\u00e3o de identidades \u00e9 essencial na prote\u00e7\u00e3o contra ciberataques, afirma especialista"},"content":{"rendered":"\n

Por Ag\u00eancia EY<\/strong><\/p>\n\n\n\n

Os cibercriminosos est\u00e3o sempre buscando novas maneiras de aprimorar seus ataques. Roubar credenciais de acesso para aumentar privil\u00e9gios e causar estragos a organiza\u00e7\u00f5es tem sido uma delas. Somente nos \u00faltimos dois anos, 79% das empresas no mundo tiveram viola\u00e7\u00e3o de identidade, segundo levantamento da Forbes. \u201cA adequada gest\u00e3o de identidades pode ser um divisor de \u00e1guas na prote\u00e7\u00e3o do ambiente contra incidentes cibern\u00e9ticos\u201d, afirma Viviane Oliveira, s\u00f3cia de Ciberseguran\u00e7a da EY Brasil.<\/p>\n\n\n\n

De acordo com a especialista, um dos caminhos \u00e9 a ado\u00e7\u00e3o do modelo de seguran\u00e7a Zero Trust. O conceito n\u00e3o \u00e9 novo, mas desde a pandemia come\u00e7ou a ser adotado mais fortemente pelas organiza\u00e7\u00f5es. Viviane explica que isso est\u00e1 relacionado ao adequado tratamento das credenciais de acesso e a aplica\u00e7\u00e3o de m\u00e9todos diversificados de autentica\u00e7\u00e3o.<\/p>\n\n\n\n

\u201cOs riscos s\u00e3o iminentes para as organiza\u00e7\u00f5es quando se trata de seguran\u00e7a cibern\u00e9tica. Os danos n\u00e3o incluem apenas os recursos das empresas, acionistas e clientes, mas responsabiliza a organiza\u00e7\u00e3o e seus gestores perante o interesse p\u00fablico. Zero Trust \u00e9 uma estrutura que se encaixa como um mecanismo de refor\u00e7o na defesa cibern\u00e9tica\u201d, afirma.<\/p>\n\n\n\n

Em entrevista \u00e0 Ag\u00eancia EY<\/strong>, Viviane fala sobre como as empresas est\u00e3o expostas e como devem se preparar para evitar ataques cibern\u00e9ticos.<\/p>\n\n\n\n

A acelera\u00e7\u00e3o do uso indevido de credenciais continua levando a um aumento de incidentes de seguran\u00e7a, de acordo com o relat\u00f3rio Gartner deste ano. Por qu\u00ea?<\/strong><\/p>\n\n\n\n

Temos observado nos \u00faltimos tempos e, principalmente, durante a pandemia \u00e9 que grande parte dos ataques e de incidentes de seguran\u00e7a foi causada pelo comprometimento de credenciais v\u00e1lidas. O atacante, de alguma forma, obt\u00e9m uma credencial v\u00e1lida, seja por engenharia social ou porque, de alguma forma, essa credencial foi vazada no ambiente da empresa. E por meio desse mecanismo consegue se infiltrar na organiza\u00e7\u00e3o. Ent\u00e3o a credencial passa a se tornar um aspecto crucial na seguran\u00e7a do ambiente. <\/p>\n\n\n\n

Como as empresas est\u00e3o posicionadas nesse contexto de ciberseguran\u00e7a?<\/strong><\/p>\n\n\n\n

\u00c9 uma jornada. O tema ciberseguran\u00e7a sempre esteve ativo nas organiza\u00e7\u00f5es. Mas com a incid\u00eancia desses ataques ganhou uma outra perspectiva. Como a credencial passou a ser um vetor, uma forma pela qual os atacantes conseguem acessar as organiza\u00e7\u00f5es, as empresas voltaram a se preocupar com a gest\u00e3o dessa credencial, como usar tecnologia de cofre de seguran\u00e7a, de solu\u00e7\u00f5es de gest\u00e3o de identidades e de acesso, adotar m\u00faltiplos mecanismos de autentica\u00e7\u00e3o (MSA) para garantir que, uma vez que a credencial foi vazada, ainda assim a pessoa recebe uma valida\u00e7\u00e3o adicional, al\u00e9m de formas mais sofisticadas de monitorar todo o processo. Ou seja, passando a se preocupar com o comportamento do usu\u00e1rio. Por exemplo: n\u00e3o \u00e9 usual que um funcion\u00e1rio se logue um dia no Brasil e no dia seguinte na China. \u00c9 um comportamento estranho e, possivelmente, n\u00e3o \u00e9 ele quem est\u00e1 fazendo aquela a\u00e7\u00e3o. A empresa passa n\u00e3o s\u00f3 a se preocupar com os mecanismos de autentica\u00e7\u00e3o, mas tamb\u00e9m com todos os atributos em rela\u00e7\u00e3o ao usu\u00e1rio que v\u00e3o ajudar a validar aquele acesso como leg\u00edtimo. <\/p>\n\n\n\n

Podemos dizer que os ataques n\u00e3o s\u00e3o frequentes apenas nas grandes corpora\u00e7\u00f5es, mas tamb\u00e9m nas pequenas e m\u00e9dias que est\u00e3o vulner\u00e1veis?<\/strong><\/p>\n\n\n\n

Esse \u00e9 um ponto de aten\u00e7\u00e3o. Antigamente, havia uma concentra\u00e7\u00e3o maior nas grandes institui\u00e7\u00f5es, especialmente em segmentos financeiros. Mas outros segmentos passaram a ser alvos como os de sa\u00fade e energia. S\u00e3o empresas de diferentes portes. Isso se deve tamb\u00e9m pelo tema da pandemia. Quando houve o \u2018start\u2019 da pandemia, as empresas tiveram de, rapidamente, organizar a sua for\u00e7a de trabalho para a forma remota. Naquele instante, elas n\u00e3o conseguiram empregar os controles que deveriam. Isso deu muita abertura e as deixou muito expostas. Por isso, inevitavelmente, o \u00edndice de ataques aumentou muito durante a pandemia.<\/p>\n\n\n\n

O que significa o modelo de seguran\u00e7a Zero Trust?<\/strong><\/p>\n\n\n\n

\u00c9 um modelo de seguran\u00e7a que existe h\u00e1 bastante tempo. A primeira vez que se falou sobre ele foi por meio de um analista da Forrester Research, John Kindervag, em 2010. Em 2020, a NIST tamb\u00e9m fez uma publica\u00e7\u00e3o falando dos requisitos do Zero Trust. Ele parte da premissa de que nenhum usu\u00e1rio ou dispositivo \u00e9 confi\u00e1vel para acessar um recurso at\u00e9 que sua identidade e autoriza\u00e7\u00e3o sejam verificadas. Ou seja, \u00e9 um modelo de seguran\u00e7a de rede baseado no princ\u00edpio de que nenhuma pessoa ou dispositivo dentro ou fora da rede de uma organiza\u00e7\u00e3o deve receber acesso para se conectar a sistemas ou servi\u00e7os de TI at\u00e9 que seja autenticado e verificado continuamente.<\/p>\n\n\n\n

Como o Zero Trust corrige os modelos de seguran\u00e7a tradicionais?<\/strong><\/p>\n\n\n\n

O Zero Trust pode ser trabalhado em diferentes frentes, mas vou fazer um recorte especificamente do tema de gest\u00e3o de acesso. Nos preocupamos em garantir que a organiza\u00e7\u00e3o implemente os m\u00faltiplos fatores, fa\u00e7a a autentica\u00e7\u00e3o baseada em contexto, verifique se est\u00e1 fazendo o permissionamento com base no que chamamos de privil\u00e9gio m\u00ednimo, se preocupe em segmentar melhor os seus recursos para isolar os poss\u00edveis ataques, autentique de forma cont\u00ednua especialmente se estiver tratando de transa\u00e7\u00f5es ou aplica\u00e7\u00f5es cr\u00edticas. Esses s\u00e3o alguns elementos que v\u00eam juntos quando falo da aplica\u00e7\u00e3o do Zero Trust para um tema de gest\u00e3o de identidades. <\/p>\n\n\n\n

Como uma empresa pode come\u00e7ar a ado\u00e7\u00e3o desse modelo de seguran\u00e7a?<\/strong><\/p>\n\n\n\n

A empresa deve se perguntar o que \u00e9 cr\u00edtico para ela do ponto de vista de dados, aplica\u00e7\u00f5es, usu\u00e1rios e perfis de funcion\u00e1rios. Em algumas organiza\u00e7\u00f5es, os executivos tamb\u00e9m s\u00e3o muito visados, ent\u00e3o \u00e9 importante que eles utilizem m\u00faltiplos fatores. A chance de uma credencial dele ser alvo de ataque \u00e9 muito grande. A partir da\u00ed, deve olhar do ponto de vista do estudo de arquitetura e definir como ser\u00e1 a implementa\u00e7\u00e3o.<\/p>\n\n\n\n

Quais s\u00e3o os benef\u00edcios do Zero Trust?<\/strong><\/p>\n\n\n\n

H\u00e1 uma maior rastreabilidade do ambiente, redu\u00e7\u00e3o de riscos de uma forma geral porque est\u00e1 minimizando exposi\u00e7\u00e3o, automatiza\u00e7\u00e3o de alguns processos e preven\u00e7\u00e3o de fraudes. O grande ponto \u00e9 que estamos falando de mitiga\u00e7\u00e3o de risco. \u00c9 necess\u00e1rio haver um investimento, mas haver\u00e1 redu\u00e7\u00e3o de exposi\u00e7\u00e3o. Esse \u00e9 o principal ponto. <\/p>\n\n\n\n

As empresas t\u00eam a percep\u00e7\u00e3o do quanto est\u00e3o expostas?<\/strong><\/p>\n\n\n\n

Esse \u00e9 o maior risco em ciber. A falsa sensa\u00e7\u00e3o de seguran\u00e7a. Voc\u00ea n\u00e3o ter visibilidade do que pode acontecer. De acordo com um relat\u00f3rio da IBM, uma empresa demora 243 dias para detectar que houve uma situa\u00e7\u00e3o de vazamento de credencial. Nesse tempo, essa credencial pode ser utilizada de forma indevida. \u00c9 uma janela para o hacker colher insumos e ver qual a melhor forma de abordar o ambiente. Os riscos s\u00e3o iminentes para as organiza\u00e7\u00f5es quando se trata de seguran\u00e7a cibern\u00e9tica. Os danos n\u00e3o incluem apenas os recursos das empresas, acionistas e clientes, mas responsabiliza a organiza\u00e7\u00e3o e seus gestores perante o interesse p\u00fablico. O Zero Trust \u00e9 uma estrutura que se encaixa como um mecanismo de refor\u00e7o na defesa cibern\u00e9tica.<\/p>\n","protected":false},"excerpt":{"rendered":"Por Ag\u00eancia EY Os cibercriminosos est\u00e3o sempre buscando novas maneiras de aprimorar seus ataques. Roubar credenciais de acesso para aumentar privil\u00e9gios e causar estragos a organiza\u00e7\u00f5es tem sido","protected":false},"author":3,"featured_media":41277,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[25],"tags":[],"class_list":["post-41276","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-agenciaey"],"acf":[],"_links":{"self":[{"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/posts\/41276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/comments?post=41276"}],"version-history":[{"count":0,"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/posts\/41276\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/media\/41277"}],"wp:attachment":[{"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/media?parent=41276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/categories?post=41276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bluestudio.estadao.com.br\/agencia-de-comunicacao\/wp-json\/wp\/v2\/tags?post=41276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}