Mais de Metade dos ex-Empregados Ainda tem Acesso às Redes Corporativas

Um novo estudo da OneLogin revelou que uma grande proporção de empresas não conseguem proteger adequadamente suas redes da ameaça potencial que representam os ex-funcionários.

A empresa pesquisou mais de 600 tomadores de decisão de TI no Reino Unido e descobriu que os entrevistados estavam cientes de que mais de metade (58%) de ex-funcionários ainda conseguem acessar redes corporativas, mesmo depois de deixarem uma empresa. Isto é particularmente preocupante quando se considera que a OneLogin também descobriu que quase um quarto (24%) das empresas britânicas sofreram violações de dados por ex-membros da equipe.

O estudo destacou falhas nos processos de segurança implementados pelas organizações quando um funcionário sai da empresa. Quase todos (92%) dos entrevistados admitiram gastar até uma hora na desinstalação manual de funcionários em cada aplicativo corporativo. Enquanto 50% não estavam usando a tecnologia de “desprovisionamento” automatizada para garantir que o acesso de um funcionário aos aplicativos corporativos pare no momento em que deixaram a empresa – isso poderia explicar por que mais de um quarto das contas corporativas do ex-funcionário permanecem ativas por um mês ou mais.

Nosso estudo sugere que muitas empresas estão enterrando suas cabeças na areia quando se trata dessa ameaça básica, mas significativa, para dados valiosos, receita e imagem de marca“, disse Alvaro Hoyos, diretor de segurança da informação da OneLogin.

Com isso em mente, as empresas devem proativamente buscar fechar portas abertas que possam oferecer aos ex-empregados desonestos oportunidades de acessar e explorar dados corporativos. Ferramentas como a desinstalação automática e SIEM ajudam a fechar essas portas com facilidade e velocidade, ao mesmo tempo em que permitem às empresas gerenciar e monitorar todo o uso de aplicativos corporativos “.

Falando à Infosecurity, Steve Durbin, diretor-gerente da Information Security Forum Limited , explicou que as empresas estão se tornando cada vez mais conscientes do problema, mas enfrentam desafios quando se trata de lidar com isso, pois requer uma abordagem que combine habilidades de processos e pessoas com tecnologia para gerenciar efetivamente.

Os sistemas de gerenciamento de conteúdo, gerenciamento de identidade e todos têm um papel a desempenhar na monitoração de atividades, mas cultivar uma cultura de confiança provavelmente será o único passo de gerenciamento mais valioso para proteger os recursos de informação de uma organização“, acrescentou. Como você trata seus funcionários enquanto eles estão com você irá determinar sua mentalidade e abordagem quando tiverem decidido sair“.

Embora a abordagem do redator da Infosecurity destaque o cenário Europeu, no Brasil notamos situação. No Brasil, além do alto custo alto das soluções tradicionais de Identity Management (IDM) adiciona-se a falta de experiência da área de Segurança com implementações que requerem amplo envolvimento multidisciplinar de TI e negociação com várias áreas de negócios.

Kleber Melo, diretor da MindSec, cita que  “pela nossa experiência em implantação de projetos de identidade e perfil de acessos, observamos que regularmente o maior desafio em um projeto de identidade não está na ferramenta, mas na gestão do projeto e na definição de processos que espelhem a necessidade da empresa e não a “necessidade” da ferramenta adotada. A ferramenta não deve definir como os processos devem ser implementados, mas sim as necessidades e características culturais da empresa.”

O diretor comenta também que o existe no mercado nacional solução alternativa de boa qualidade e custo que podem ser adotadas frente aos elevados custos das soluções tradicionais importadas.

Para mais informações consulte o consultor MindSec  através do email contato@mindsec.com.br .

 

Deixe sua opinião no campo de comentários abaixo.

 

Referência: Infosecurity Magazine by  Michael Hill

por MindSec   14/07/2017

 

About mindsecblog 213 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.