Apesar da evolução tecnológica, as passwords continuam a ocupar um papel central na segurança da informação das empresas, pelo que a sensibilização dos colaboradores para a importância de adotarem boas práticas na gestão das suas credenciais continua a ser fundamental para a proteção de dados, sistemas e softwares empresariais.
No entanto, verifica-se frequentemente que a promoção de uma cultura de segurança por si só não é suficiente para garantir que a informação das empresas está segura. Razão pela qual, ir mais longe e adotar uma solução de autenticação multi-fator é cada vez mais o caminho recomendado para responder aos desafios da segurança da informação em contexto empresarial.
A este propósito, os dados da edição de 2019 do Data Breach Investigations Report da Verizon (DBIR) não deixam grande margem para dúvidas. Apesar de o tipo de ataque e de as ameaças às empresas evoluírem de ano para ano, há um elemento que se mantém: as passwords fracas e partilhadas continuam a ser um dos principais fatores de sucesso dos ataques informáticos. Aliás, de acordo com o relatório, 80% dos ataques registados tiveram origem no roubo de credenciais de acesso.
Passwords geridas de forma segura
Assim, para garantir a segurança no acesso à informação da sua empresa, recomendamos que atue em ambas as frentes:
- Por um lado, mantenha os esforços para sensibilizar os colaboradores acerca da importância do seu papel na prevenção de possíveis ataques informáticos e, simultaneamente, crie regras no sistema que impeçam os principais problemas associados à incorreta gestão de passwords.
- Por outro, faça uso da tecnologia e avalie a possibilidade de implementação de uma solução de autenticação multi-fator. Muitos empresários ainda pensam que este tipo de solução se destina apenas a grandes empresas, mas atualmente isso já não é verdade.
Fonte: Internet Security Threat Report 2019 – Symantec Corporation
Dez boas práticas para passwords seguras na sua empresa
Relativamente à primeira linha de defesa, recomendamos que assuma algumas regras simples e que parecem até óbvias, mas que muitas vezes não são seguidas:
- Todas as passwords criadas devem ser fortes: longas, complexas e incluir letras, números e caracteres especiais,
- As palavras-passe usadas para acesso aos sistemas e software da empresa não devem ser partilhadas entre sistemas ou similares às usadas em contas pessoais,
- As passwords não devem ser escritas ou guardadas fisicamente no escritório,
- As palavras-passe nunca devem ser partilhadas, mesmo entre colegas ou chefias,
- As passwords não devem ser reveladas ou enviadas eletronicamente,
- A opção “lembrar password” em sites e aplicações deve ser evitada,
- As passwords dos utilizadores devem ser alteradas a cada 30 dias, sem possibilidade de utilização das últimas três palavras-passe,
- Sempre que possível, devem ser utilizados geradores de passwords de modo a prevenir o uso de palavras-passe simples e facilmente descobertas,
- Todas as passwords de instalação criadas por default devem ser imediatamente modificadas após instalação,
- As passwords não devem ser guardadas em formato desencriptado e os IDs de utilizadores e passwords não devem ser indicados em scripts que permitam login automático.
Mas será que a educação e sensibilização são suficientes para evitar ataques?
De acordo com um estudo realizado em 2018 pela Watchguard e que inquiriu 650 proprietários e gestores de TI de empresas americanas, inglesas e australianas com menos de 1000 funcionários, a resposta é negativa, sendo necessárias medidas adicionais para garantir a segurança da informação.
Segundo os dados recolhidos, embora a maioria das empresas ofereça formação e tenha estabelecidas políticas de passwords, 47% dos gestores de TI ouvidos acredita que os funcionários usam palavras-passe fracas, 31% pensa que usam passwords de rede para aplicações pessoais e vice-versa e 30% acredita que partilham as suas credenciais.
Face a este cenário, a implementação de uma solução de autenticação multi-fator apresenta uma dupla vantagem: é conveniente para os colaboradores, que muitas vezes se desleixam porque estão cansados de ter de gerir dezenas de credenciais de acesso, e assegura o controlo e segurança da informação às equipas de TI.
Preocupado com a segurança da sua informação? Conheça as soluções Watchguard para a sua empresa >
O que é e como funciona a autenticação multi-fator
A autenticação multi-fator adiciona uma segunda camada de segurança ao processo de log-in, ou seja, depois de inserir o nome de utilizador e password de acesso a um determinado sistema ou aplicação, o utilizador terá, por exemplo, de inserir um código enviado por mensagem push para o seu telefone.
O objetivo é juntar, pelo menos, um elemento que o utilizador sabe (nome de utilizador e palavra-passe) com um outro que tenha consigo, como o telemóvel, dificultando assim o acesso de hackers à informação e sistemas da empresa.
Durante muito tempo este tipo de solução foi usado sobretudo por empresas de grande dimensão, dados os custos e a complexidade de gestão. No entanto, atualmente, serviços como o AuthPoint da Watchguard (comercializado pela Compuworks) tornaram esta opção acessível a pequenas e médias empresas.
AuthPoint: recursos avançados de segurança
O AuthPoint é um serviço baseado na cloud que permite, entre outras funcionalidades, a autenticação dos utilizadores através de uma aplicação móvel. É fácil de instalar e gerir, não exige hardware dispendioso e integra de forma simples com aplicações externas (Salesforce, Google e Amazon, entre outras).
Depois de instalada a aplicação, o utilizador poderá autenticar-se através de uma notificação push enviada para o seu telemóvel, de uma password de uso único ou de um QR code para validação da identidade offline. Cumprido este passo e confirmada a sua identidade é dado acesso ao sistema ou aplicação. Nesta pequena demonstração é possível verificar como funciona a autenticação através do AuthPoint.
Ao optar por uma solução de autenticação multi-fator tem maiores garantias de que a informação do seu negócio está segura e não depende apenas da correta gestão das passwords por parte dos colaboradores.
Para saber mais sobre como este produto pode ajudá-lo a proteger a sua empresa entre em contacto connosco. A Compuworks é parceiro Gold da Watchguard e podemos ajudá-lo a encontrar a melhor solução para si.
Preocupado com a segurança da sua informação? Conheça as soluções Watchguard para a sua empresa >
