Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Empresas ainda falham ao reduzir privilégios de acesso para usuários

Entenda como algumas empresas que mantêm seus dados sensíveis abertos para todos os funcionários estão vulneráveis a ameaças internas
Emilia Bertolli
2 minuto de leitura
Publicado 10 de Julho de 2017
Ultima atualização 1 de Dezembro de 2023
Por mais que a maioria das empresas ainda adote uma abordagem de proteção com foco em aspectos da rede, de seu perímetro e seus sistemas, hoje os principais desafios da segurança da TI estão relacionados aos dados. O foco é o ativo que precisa ser protegido, e que contém informações críticas, que podem ser de consumidores, de cartões de crédito, propriedade intelectual, registros médicos e financeiros.
 
Por isso, é importante que as organizações entendam onde estão esses dados, quem tem acesso a eles, quem está usando, quem tem acesso aos dados e não deveria ter, a quem os dados pertencem, e se estão mesmo protegidos e monitorados, e se a empresa é capaz de identificar abusos.
 
Incidentes recentes, como o de Reality Winner, a veterana da Força Aérea Americana que vazou informações ultrassecretas de uma investigação em andamento sobre os ataques de hackers russos durante as últimas eleições americanas, mostram que o interior da rede deve ser monitorado. As pessoas precisam seguir um modelo de privilégios mínimos, e devem ter acesso apenas ao que precisam para trabalhar. E, mais importante: ninguém pode acessar nada de maneira anormal sem ser notado.
 
No entanto, o último relatório Data Risk Assessments, da Varonis, revelou que os negócios ainda falham ao implementar um modelo de privilégios mínimos, especialmente devido ao volume de dados gerados, que torna mais difícil para as empresas saber onde os dados residem e quem tem acesso a eles. De acordo com a pesquisa da Varonis, 47% das empresas analisadas em 2016 tinham ao menos 1.000 dados sensíveis abertos para todos os funcionários.
 
Controle de acesso é desafio para a maioria das empresas
 
Muitas das violações de dados atualmente têm origem em ameaças internas ou em funcionários que tiveram suas credenciais roubadas ou seus sistemas sequestrados. No caso de Reality Winner, por exemplo, ela tinha acesso legítimo às informações vazadas, mas não precisava acessá-las para executar seu trabalho.
 
Winner abusou de suas credenciais de acesso, tendo confessado que manteve informações e vazou dados para o The Intercept sem autorização. No entanto, mesmo que não tivesse feito isso, caso suas credenciais tivessem sido comprometidas por alguma outra ameaça, as informações ultrassecretas deste mesmo caso estariam vulneráveis.
 
Muitas empresas estão sujeitas a sofrer com o vazamento de informações por funcionários, especialmente por que estão mais focadas em se proteger de ameaças específicas para manter os hackers longe da rede, e não na proteção dos dados de ameaças internas e hackers oportunistas capazes de violar o perímetro.
 
Existem vários produtos voltados para mitigar ameaças específicas e, se forem usados de maneira tática, em vez de dar suporte a uma estratégia que melhore a segurança geral dos dados, além de custarem muito dinheiro, vão apenas gerar uma falsa sensação de segurança.
 
Usuários querem acessar dados como quiserem
 
Muito além de investir em ferramentas de segurança para tratar ameaças específicas, como o ransomware, por exemplo, conhecer seus dados e monitorá-los, as empresas precisam oferecer um nível mais elevado de serviço aos seus usuários, que hoje precisam acessar seus dados de qualquer lugar, por meio de qualquer dispositivo.
 
Isso deve ser feito de maneira controlada para que a TI e o negócio continuem sabendo onde seus dados estão, mantenham um modelo de privilégios mínimos e, ao mesmo tempo, permitam que os usuários finais possam acessá-los do jeito mais conveniente para eles.

 

 

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento