Muitas estatísticas interessantes sobre os resultados de risk assessment de clientes foram publicadas, mas um novo olhar sobre os dados forneceu alguns comentários adicionais que merecem ser compartilhados.
Pra começar: o tamanho dos sistemas de arquivos de empresas de médio e grande porte é simplesmente enorme, de alguns milhões chegando a 1 bilhão de arquivos. Esses números começam a ser astronômicos – é realmente um universo de dados em seus sistemas de arquivo.
O real problema disso são os dados antigos – que não são acessados há 180 dias – e representam cerca de 70% das amostras. Além disso, é caro manter essas informações subutilizadas, além de uma prática ruim de segurança.
Em particular, uma companhia tinha quase 70 milhões de arquivos obsoletos. Esse material representava cerca de 75% do total de arquivos. Além desses arquivos, essa empresa também tinha usuários obsoletos – usuários que não tinham feito nenhum login em 60 dias.
Tipicamente, esses usuários eram contratações temporárias ou funcionários formais antigos que nunca foram desativados. Nesse caso, eles eram quase 50 mil usuários inativos, representando quase 40% da população total de usuários da empresa.
A descoberta de uma cidade pequena
Finalmente, é fácil esquecer quão grandes essas comunidades de usuários de empresas podem se tornar. A estatística de usuários de uma empresa era literalmente do tamanho de uma cidade pequena – com quase meio milhão de pessoas. Você ficaria surpreso se soubesse que quase 33% do total de usuários dessa empresa eram obsoletos?
Para dar uma escala, a cidade de Niterói (RJ), tem uma população de cerca de 487.000 pessoas, de acordo com o censo de 2010.
Enquanto alguns profissionais de TI acreditam que podem gerenciar um sistema de arquivos grande, a ciência fala que eles não podem fazer isso sem ajuda automatizada. Um administrador só precisa cometer um erro na concessão de direitos de acesso para um hacker obter vantagens. Em outras palavras, o tamanho exagerado de sistemas de arquivos em uma grande empresa favorece os hackers, não os administradores.
E essa prática pobre de gerenciamento de dados não é incomum. O número de arquivos disponíveis para todos está na zona crítica para muitas empresas. Os recursos de TI que são pouco acessados – pastas ou credenciais de usuários – também estão em níveis muito elevados. Tudo isso leva a uma enorme superfície exposta, e ultimamente propensa a ataques bem sucedidos.
Quantas pastas disponíveis a todos estão no sistema de arquivos da sua empresa?