regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quinta-feira, 4 de novembro de 2010

Empresas ainda têm dificuldades com senhas de funcionários

Imagem IDGNOW






 Por: Denny Roger

É enorme o alvoroço dos funcionários quando recebem a política ou norma de segurança da informação, que diz, por exemplo, que todos devem alterar suas senhas a cada 45 dias.

Nesse momento, os funcionários não pensam duas vezes antes de guerrearem contra os gestores. Em outras palavras, a resistência a mudanças é tão grande que os colaboradores travam um verdadeiro duelo contra a política de segurança da informação.

É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política e norma de segurança da informação, mas a companhia cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança.

Mas esse não é o único problema. Hoje temos a senha do internet banking, e-mail pessoal, corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, blog etc.

Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.

Mas será que isso tudo realmente funciona?

Primeiro, o colaborador cria uma senha tão difícil que provavelmente irá esquecê-la.

Segundo, para não esquecer a senha, o colaborador irá anotá-la.

Terceiro, a combinação ficou tão “forte” e difícil de alguém adivinhar que a mesma senha será utilizada para tudo. Isso quer dizer que a senha corporativa também é a mesma do e-mail pessoal, do blog pessoal etc. Inclusive o habito de usar a mesma senha foi alvo de uma pesquisa recente.

Em quarto lugar, o colaborador cria uma senha complexa, indicado na política ou norma de segurança da informação, como por exemplo, senha “D&nny123”. Após 45 dias de uso dessa senha, o colaborador é forçado a alterá-la. A nova senha é “D&nny1234”. A próxima senha será “D&nny12345”; e assim por diante.

O tema sem dúvida é importante em todas as organizações. Porém, estamos falando de uma mudança cultural.

As organizações não fazem o uso correto de suas estruturas organizacionais para implantar o que está descrito em sua política e normas de segurança da informação.

Assim, a alta direção acredita que a área de TI ou Segurança da Informação é responsável por desenvolver uma campanha de conscientização com o objetivo a mudança comportamental dos colaboradores.

O departamento de Marketing, Recursos Humanos e até mesmo o Jurídico devem fazer parte do desenvolvimento de uma campanha de conscientização sobre segurança da informação.

A Auditoria Interna deve participar do processo de monitoração para identificar desvios na política e normas de segurança da informação e fornecer informações para o processo de melhoria continua. Ou seja, a área de TI ou segurança da informação é apenas uma das áreas de apoio que sem a colaboração das demais áreas não irá conseguir atingir os objetivos de segurança da informação.

Fonte: IDGNOW

Minhas considerações sobre o Artigo

Excelente artigo e deveria servir de alerta para que gestores de infraestrutura de TI pesquisem  no mercado alternativas disponíveis, e menos arcáicas, para substituição de senhas por certificados digitais para login em sistemas e máquinas.

Existem soluções muito simples e os certificados digitais não precisam ser certificados de hierarquias do âmbito da ICP Brasil, portanto, a validação dos usuários para emissão dos certificados é realizado pela própria organização, sendo assim, requer menos investimento. Vale a pesquisa!

Regina Tupinambá