Imagem IDGNOW |
Por: Denny Roger
É enorme o alvoroço dos funcionários quando recebem a política ou norma de segurança da informação, que diz, por exemplo, que todos devem alterar suas senhas a cada 45 dias.
Nesse momento, os funcionários não pensam duas vezes antes de guerrearem contra os gestores. Em outras palavras, a resistência a mudanças é tão grande que os colaboradores travam um verdadeiro duelo contra a política de segurança da informação.
É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política e norma de segurança da informação, mas a companhia cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança.
Mas esse não é o único problema. Hoje temos a senha do internet banking, e-mail pessoal, corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, blog etc.
Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.
Mas será que isso tudo realmente funciona?
Primeiro, o colaborador cria uma senha tão difícil que provavelmente irá esquecê-la.
Segundo, para não esquecer a senha, o colaborador irá anotá-la.
Terceiro, a combinação ficou tão “forte” e difícil de alguém adivinhar que a mesma senha será utilizada para tudo. Isso quer dizer que a senha corporativa também é a mesma do e-mail pessoal, do blog pessoal etc. Inclusive o habito de usar a mesma senha foi alvo de uma pesquisa recente.
Em quarto lugar, o colaborador cria uma senha complexa, indicado na política ou norma de segurança da informação, como por exemplo, senha “D&nny123”. Após 45 dias de uso dessa senha, o colaborador é forçado a alterá-la. A nova senha é “D&nny1234”. A próxima senha será “D&nny12345”; e assim por diante.
O tema sem dúvida é importante em todas as organizações. Porém, estamos falando de uma mudança cultural.
As organizações não fazem o uso correto de suas estruturas organizacionais para implantar o que está descrito em sua política e normas de segurança da informação.
Assim, a alta direção acredita que a área de TI ou Segurança da Informação é responsável por desenvolver uma campanha de conscientização com o objetivo a mudança comportamental dos colaboradores.
O departamento de Marketing, Recursos Humanos e até mesmo o Jurídico devem fazer parte do desenvolvimento de uma campanha de conscientização sobre segurança da informação.
A Auditoria Interna deve participar do processo de monitoração para identificar desvios na política e normas de segurança da informação e fornecer informações para o processo de melhoria continua. Ou seja, a área de TI ou segurança da informação é apenas uma das áreas de apoio que sem a colaboração das demais áreas não irá conseguir atingir os objetivos de segurança da informação.
Fonte: IDGNOW
Minhas considerações sobre o Artigo
Excelente artigo e deveria servir de alerta para que gestores de infraestrutura de TI pesquisem no mercado alternativas disponíveis, e menos arcáicas, para substituição de senhas por certificados digitais para login em sistemas e máquinas.
Existem soluções muito simples e os certificados digitais não precisam ser certificados de hierarquias do âmbito da ICP Brasil, portanto, a validação dos usuários para emissão dos certificados é realizado pela própria organização, sendo assim, requer menos investimento. Vale a pesquisa!
Regina Tupinambá
Leia Também: Que hacker resiste a tanta facilidade?
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.