Como manter a segurança dos dados após a saída de colaboradores
- Atualizado em
- Por Naty Santos
- PAM - Gerenciamento de Acesso Privilegiado, Proteção de dados
Um grande dilema que as empresas enfrentam com relação à Gestão de Acessos Privilegiados, é o fato de que, muitas vezes, não é possível centralizar as contas dos usuários em um único serviço de diretório; como por exemplo, no Active Directory da Microsoft, um dos mais utilizados.
Em ambientes mistos (Linux e Microsoft), o processo de integração de autenticação de servidores Linux no Active Directory ainda é um processo que necessita de amadurecimento, pois problemas como a perda de relação de confiança com o domínio são constantes.
O que você vai ver neste post
Contas locais: um paliativo ao serviço de diretório centralizado
Então, para não utilizar uma credencial genérica, normalmente os administradores recorrem à criação de contas locais. Com isso, soluciona-se a não utilização de credenciais genéricas, mas outro problema é criado: a complexidade para administrar as contas locais, dispersas pelos servidores.
Desabilitando credenciais privilegiadas
Por exemplo, quando um colaborador é desligado ou um terceiro deixa de prestar serviço, é aconselhado que o administrador varra os servidores em busca de possíveis credenciais a serem bloqueadas.
Normalmente é um processo manual, suscetível a falhas humanas e, normalmente, com risco de deixar alguma credencial privilegiada ativa.
Conheça 7 dicas para manter a segurança dos dados após a saída de colaboradores:
- Excluir permanentemente os dados dos dispositivos móveis que acessavam os dados corporativos
Existem softwares no mercado que possibilitam remover remotamente os dados do dispositivo do usuário, possibilitando que a Organização resete todo o dispositivo ou apague apenas os dados, aplicativos e credenciais que o ex-colaborador utilizava.
- Revogar o acesso à recuperação de senha
Outra medida de segurança é a remoção do endereço de e-mail e o número de telefone de recuperação do ex-funcionário, para que ele não use o recurso de reaver a senha para acessar a conta antiga dele.
- Alterar a senha do usuário
O administrador de TI pode usar seu privilégio de superusuário para alterar a senha do ex-funcionário e, assim, evitar o acesso não autorizado à sua antiga conta.
- Revogar todos os tokens de aplicativo OAuth 2.0
Alterar a senha de um usuário também revoga os tokens OAuth 2.0 emitidos para acessar alguns aplicativos. É prudente que todos os acessos autorizados sejam analisados e revogados os aplicativos autorizados.
- Redefinir os cookies de login do usuário
Esta ação ajuda a reduzir o risco de acesso não autorizado.
- Revogar o acesso a chaves de segurança e senhas de aplicativo
É sensato que o administrador de TI invalide todas as chaves de segurança ou senhas específicas de aplicativos que o ex-colaborador acessava.
- Excluir a conta do usuário
Também é aconselhável que o administrador de TI transfira todos os dados do ex-funcionários para salvar em outra conta, e em seguida, exclua a conta original. Desta forma, garantirá que o usuário não acessará os dados da sua Organização.
Existe outro modo para facilitar o trabalho do administrador de TI na remoção de acessos privilegiados?
Utilizando uma solução de gestão de acessos privilegiados, como a VaultOne, é possível otimizar este cenário:
- Primeiramente, é possível fazer uso de credenciais genéricas, pois o usuário não terá contato com a senha;
- Acessos envolvendo uma credencial genérica poderão ser rastreados e auditados através da solução de PAM da VaultOne, inclusive identificar o usuário que usou determinada credencial genérica (seja pelos logs fornecidos pela ferramenta, seja pela gravação em vídeo das sessões, também disponível na plataforma VaultOne).
- Além disso, pelo fato do usuário não ter contato com a senha, basta apenas bloquear a conta do usuário dentro da VaultOne, que será garantido que o usuário não terá mais acesso aos recursos da empresa; facilitando o processo de administração da infraestrutura e mitigando possíveis falhas humanas.
Como podemos ajudar
O VaultOne é uma solução de gerenciamento de privilégio de contas, que soluciona problemas de segurança centralizando as senhas em um “cofre”, permitindo que os usuários acessem recursos (servidores, computadores, contas sociais) sem a necessidade de uma senha.
Em vez de confiar todos os recursos a várias senhas, um administrador pode criar uma conexão segura entre o usuário e o recurso, não necessitando de VPNs.