Ciência e Tecnologia

O aspecto de segurança do desligamento de funcionários

Foto de Strong Strongagosto 23, 2023
0 5 minutos de leitura

Todas as grandes empresas possuem processos formais de integração e desligamento. Isso inclui a concessão de acesso aos sistemas de TI corporativos após a contratação e a revogação desse acesso durante o desligamento. Na prática, este último é muito menos eficaz – com os funcionários que saem muitas vezes mantendo acesso a informações de trabalho. Quais são os riscos envolvidos e como evitá-los?

Como o acesso é esquecido

Os novos funcionários têm acesso aos sistemas necessários para seus trabalhos. Com o tempo, estes acessos acumulam-se, mas nem sempre são emitidos de forma centralizada e o processo em si nem sempre é padronizado. O gerenciamento direto pode dar acesso aos sistemas sem notificar o departamento de TI, enquanto os bate-papos em aplicativos de mensagens ou sistemas de troca de documentos são criados ad hoc dentro de um departamento. É quase certo que um acesso mal controlado desse tipo não será revogado de um funcionário afastado.

Aqui estão alguns cenários típicos em que a equipe de TI pode ignorar a revogação de acesso:

  • A empresa utiliza um sistema SaaS (Ariba, Concur, Salesforce, Slack… existem milhares deles) que é acessado inserindo um nome de usuário e senha inseridos pelo funcionário no primeiro login.
  • Os funcionários compartilham uma senha comum para um sistema específico. (O motivo pode ser a economia de dinheiro usando apenas uma assinatura ou a falta de uma arquitetura multiusuário completa em um sistema.) Quando um deles é desligado, ninguém se preocupa em alterar a senha.
  • Um sistema corporativo permite o login através de um número de celular e um código enviado por texto. Os problemas surgem se um funcionário afastado mantém o número de telefone que utilizou para esse fim.
  • O acesso a alguns sistemas requer a vinculação a uma conta pessoal. Por exemplo, os administradores de páginas corporativas nas redes sociais muitas vezes obtêm acesso atribuindo a função correspondente a uma conta pessoal, pelo que este acesso também precisa de ser revogado na rede social.
  • Por último, mas não menos importante, está o problema da Shadow IT. Qualquer sistema que os funcionários comecem a usar e executar por conta própria está fadado a ficar fora do inventário padrão, do controle de senha e de outros procedimentos. Na maioria das vezes, os funcionários desligados mantêm a capacidade de realizar edições colaborativas no Google Docs, gerenciar tarefas no Trello ou Basecamp, compartilhar arquivos via Dropbox e serviços semelhantes de hospedagem de arquivos, bem como acessar bate-papos de trabalho e semi-trabalho em aplicativos de mensagens. Dito isto, praticamente qualquer sistema pode acabar na lista.

O perigo do acesso não revogado

Dependendo da função do colaborador e das circunstâncias da sua saída, o acesso não revogado pode criar os seguintes riscos:

Artigos relacionados
  • As contas do funcionário afastado podem ser usadas por terceiros para ataques cibernéticos à empresa. Uma variedade de cenários são possíveis aqui – desde comprometimento de e-mail comercial até entrada não autorizada em sistemas corporativos e roubo de dados. Como o funcionário que saiu não utiliza mais essas contas, é provável que tal atividade passe despercebida por muito tempo. Contas esquecidas também podem usar senhas fracas e não ter autenticação de dois fatores, o que simplifica seu controle. Não é surpresa, portanto, que contas esquecidas estejam se tornando alvos muito populares para os cibercriminosos .
  • O funcionário afastado pode continuar a usar contas para ganho pessoal (acessar a base de clientes para progredir em um novo emprego; ou usar assinaturas corporativas para serviços pagos de terceiros).
  • Pode haver vazamento de informações confidenciais (por exemplo, se os documentos comerciais estiverem sincronizados com uma pasta no computador pessoal do funcionário desligado). Se o funcionário reteve deliberadamente esse acesso para roubar documentos ou se foi simplesmente esquecimento, faz pouca diferença. De qualquer forma, tal vazamento cria riscos de longo prazo para a empresa.
  • Se a saída for amarga, o funcionário afastado poderá usar seu acesso para causar danos .

Dores de cabeça adicionais: rotatividade de pessoal, freelancer, subcontratados

Acompanhar os sistemas SaaS e a shadow IT já é uma tarefa difícil, mas a situação é agravada pelo fato de que nem todos os processos de desligamento da empresa estão devidamente formalizados.

Um fator de risco adicional são os freelancers . Se eles receberam algum tipo de acesso como parte de um projeto, é extremamente improvável que a TI o revogue imediatamente — ou mesmo saiba disso — quando o contrato expirar.

As empresas contratantes também representam um perigo. Se um empreiteiro despede um funcionário e contrata outro, muitas vezes as credenciais antigas são simplesmente fornecidas à nova pessoa, em vez de serem excluídas e substituídas por novas. Não há como o seu serviço de TI saber sobre a mudança de pessoal.

Em empresas com funcionários sazonais ou apenas com alta rotatividade em determinados cargos, muitas vezes não há um procedimento de integração/desligamento totalmente centralizado – apenas para simplificar a operação comercial. Portanto, você não pode presumir que eles realizarão um briefing de integração ou operarão uma lista de verificação abrangente de desligamento. Os funcionários nessas funções costumam usar a mesma senha para acessar os sistemas internos, que pode até ser escrita em um Post-It ao lado do computador ou terminal.

Como assumir o controle

O aspecto administrativo é fundamental. Abaixo estão algumas medidas que mitigam significativamente o risco:

  • Auditorias regulares de acesso. Realize auditorias periódicas para determinar o que os funcionários têm acesso. A auditoria deve identificar os acessos que não são mais atuais ou que foram emitidos involuntariamente ou fora dos procedimentos padrão, e revogá-los conforme necessário. Para as auditorias, não basta uma análise técnica da infraestrutura. Além disso, pesquisas com funcionários e seus gestores devem ser realizadas de uma forma ou de outra. Isso também ajudará a tirar a TI paralela das sombras e alinhá-la com as políticas da empresa.
  • Estreita cooperação entre RH e TI durante o desligamento. Os funcionários que estão saindo devem passar por uma entrevista de desligamento. Além de questões importantes para o RH (satisfação com o trabalho e com a empresa; feedback sobre os colegas), isso deve incluir questões de TI (solicitar uma lista completa dos sistemas que o funcionário utiliza diariamente; garantir que todas as informações de trabalho sejam compartilhadas com colegas e não deixado em dispositivos pessoais, etc.). O processo de desligamento geralmente envolve a assinatura de documentos que impõem responsabilidade ao funcionário que está saindo pela divulgação ou uso indevido de tais informações. Além do funcionário, é aconselhável entrevistar seus colegas e a gestão para que a TI e a InfoSec estejam totalmente informadas sobre todas as suas contas e acessos.
  • Criação de funções padrão na empresa. Esta medida combina aspectos técnicos e organizacionais. Para cada cargo e cada tipo de trabalho, é possível elaborar um modelo de conjunto de acessos a serem emitidos no onboarding e revogados no offboarding. Isso permite criar um sistema de controle de acesso baseado em função (RBAC) e simplificar bastante o trabalho da TI.

Medidas técnicas para facilitar o controlo de acesso e aumentar o nível geral de segurança da informação:

  • Implementação de sistemas de gerenciamento de identidade e acesso e segurança de identidade A pedra angular aqui seria uma solução de logon único (SSO) baseada em um diretório centralizado de funcionários.
  • Rastreamento de ativos e estoque para rastrear centralmente dispositivos corporativos, números de telefones celulares comerciais, licenças emitidas, etc.
  • Monitoramento de contas desatualizadas . As ferramentas de segurança da informação podem ser usadas para introduzir regras de monitoramento para sinalizar contas em sistemas corporativos caso elas estejam inativas há muito tempo. Essas contas devem ser verificadas periodicamente e desativadas manualmente.
  • Medidas compensatórias para senhas compartilhadas que devem ser utilizadas (estas precisam ser alteradas com mais frequência).
  • Acesso por tempo limitado para freelancers, empreiteiros e funcionários sazonais. Para eles, é sempre melhor emitir acessos de curto prazo, e estendê-los/alterá-los apenas quando necessário.

Etiquetas
Foto de Strong Strongagosto 23, 2023
0 5 minutos de leitura
Mostrar mais
Foto de Strong

Strong

Artigos relacionados

O aplicativo Google Home agora oferece novas maneiras de hackear sua casa

agosto 29, 2023

Melhores protetores de tela para Samsung Galaxy Watch 7

julho 26, 2024

Melhores cabos USB-C para iPhone

setembro 13, 2024

Doxxing, a Internet e como você pode bloquear seus dados

fevereiro 23, 2022

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo