Os três “C”s do relacionamento empresarial
Papel dos CFOs em investimento de TI cresceu a partir de 2011
Brasil: instalador falso do Chrome rouba dados bancários
PL dos Cibercrimes é falho e pouco deve mudar o cenário corporativo
Cultura e identidade são fundamentais em inovação colaborativa
O hardware open source é a próxima grande sacada da TI corporativa?
5 maneiras de construir uma equipe de TI mais forte
CIO: exija do provedor um SLA completo em cloud
CIOs híbridos: o futuro da TI?
Abertas as inscrições para o prêmio As 100+ Inovadoras no Uso de TI
CIO é essencial para adoção de cloud, afirma Locaweb
Brasília disponibiliza serviço de internet gratuito em pontos de ônibus
Saiu hoje no portal do InformationWeek Brasil a matéria “Sua empresa já teve senhas hackeadas?” que trata da quebra de senhas triviais, da reutilização da mesma senha em diversos ambientes e algumas orientações para reduzir a incidência desse tipo de problema.
Entretanto preciso dizer que o perigo pode estar ainda mais próximo. Logo ali. Travestido em um processo bem estruturado, formalizado segundo os melhores preceitos da norma ISO 9000, baseado em recomendações do ITIL/COBIT/ISO 27001 (escolha a de sua preferência), pode haver uma pequena brecha. Justamente na administração de acessos corporativos e nos seus “roteiros de atendimento”.
Foi justamente um aluno meu que trouxe duas amostras de como se ‘hackear’ não só uma senha, mas um processo. Ouça o áudio das duas tentativas bem sucedidas e veja como foi fácil persuadir os atendentes tendo em mãos um único e simples dado: o user-id.
No primeiro caso, a atendente fornece a nova senha a um usuário sem que houvesse validação de qualquer outro dado além do user-id. No segundo caso, o usuário pede para que sua senha seja substituída, veja que absurdo, pela senha que já existe!
Em nenhum momento foi confirmado o nome completo do solicitante, cargo ou qualquer outra informação que pudesse dar alguma dica que que se tratava de um atacante.
Viu só? Em menos de 40 segundos cada uma das senhas foi resetada sem que houvesse qualquer questionamento por parte dos atendentes do suporte. Contudo o processo foi ágil, cordial e colaborativo. Mesmo o usuário tendo apenas user-id em mãos, os atendentes forneceram o nome do usuário e até mesmo sua “base” mais próxima. Um sucesso de performance, um fiasco do ponto de vista de segurança.
Por isso, caros colegas, não nos esqueçamos de que nós mesmos da TI podemos ser o elo mais fraco. Afinal de contas, somos formadores e também usuários e sujeitos às mesmas falhas.
Não se esqueça de avaliar os processos internos de seu departamento pensando sempre em questões de segurança. Pois se você não o fizer, alguém certamente vai se aproveitar disso.
Ricardo Castro, CISA CFE CRISC
http://about.me/ricardocastro
Ricardo Castro é gerente de auditoria interna da Kroton Educacional S/A e ex-presidente da ISACA Capítulo São Paulo. Tem mais de onze anos de experiência em Segurança da Informação, Gestão de Riscos, Auditoria e Investigação de Fraudes Corporativas. É graduado em Tecnologia em Processamento de Dados e pós-graduado em Análise e Projeto de Sistemas. É palestrante e professor em cursos de MBA e Pós-Graduação nas disciplinas de Governança e Gestão de Riscos, Auditoria, Investigação e Prevenção de Fr
Estratégia, Gestão e Inovação
Estratégia, gestão e inovação
Bem vindo
Sérgio Alexandre Simões
Sérgio Alexandre Simões
Você está gerindo a TI como um negócio?
Gestão de SI
Ricardo Castro
Você tem um modelinho para... Política de Segurança da Informação?
Edison Fontes
Edison Fontes
A organização e seus fornecedores: um elemento único!
Gestão inteligente
Adriano Neves
Diminui a maturidade em Gestão de Projetos de Software
