A contagem regressiva para o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia começou e o tempo está passando rápido. Embora os meios de comunicação estejam repletos de comentários, guias e soluções para as diretrizes do GDPR, vários aspectos desse regulamento ainda carecem de interpretações conclusivas. No entanto, o propósito básico do GDPR é evidente: proteger os dados de forma mais específica, deixando os dados pessoais em segurança.
O termo dados pessoais possui um escopo muito amplo no GDPR. Todo dado relacionado a "uma pessoa natural identificável" é classificado como dado pessoal. As organizações normalmente processam e armazenam digitalmente informações como nomes de clientes, endereços de e-mail, fotografias, informações de trabalho, conversas, arquivos multimídia e muitas outras informações que podem identificar indivíduos.
Os dados pessoais estão por toda parte e são encontrados em praticamente toda unidade de TI. Se a sua organização deseja cumprir o GDPR, terá de definir e aplicar controles rigorosos de acesso, bem como fazer um monitoramento meticuloso do acesso aos dados.
Os ataques cibernéticos podem ter origem tanto dentro dos limites de uma empresa quanto fora dela. As análises dos recentes ataques cibernéticos de grande relevo mostram que os hackers externos e internos estão explorando o acesso privilegiado para realizar ataques. A maioria dos ataques compromete os dados pessoais que são processados ou armazenados por aplicações e dispositivos de TI. Os pesquisadores de segurança salientam que, atualmente, quase todos os tipos de ataques cibernéticos envolvem contas privilegiadas.
Tanto em ataques internos quanto externos, o acesso não autorizado e o uso indevido de contas privilegiadas emergiram como as "chaves para o reino da TI", sendo as principais técnicas usadas pelos criminosos. As senhas administrativas, as contas predefinidas do sistema, bem como as credenciais codificadas permanentemente em scripts e aplicações, tornaram-se os principais alvos utilizados pelos cibercriminosos para conseguir o acesso.
Os hackers geralmente lançam um ataque simples de phishing ou spear-phishing como uma maneira de ganhar uma posição de segurança na máquina de um usuário. Depois, eles instalam software mal-intencionado e procuram as senhas administrativas mais poderosas, que dão privilégios de acesso ilimitado para se mover por toda a rede, infectar todos os computadores e desviar dados. No momento em que o hacker obtém acesso a uma senha administrativa, toda a organização fica vulnerável a ataques e roubo de dados. Os dispositivos de segurança de perímetro não podem proteger totalmente as empresas contra esses tipos de ataques de privilégio.
As organizações devem trabalhar com terceiros, como fornecedores, parceiros de negócios e contratantes, visando a diferentes propósitos. Muitas vezes, os prestadores de serviços parceiros recebem acesso remoto privilegiado a recursos físicos e virtuais dentro da organização.
Mesmo que a sua organização tenha controles de segurança robustos, você nunca sabe como esses prestadores vão lidar com seus dados. Os hackers podem explorar facilmente as vulnerabilidades da sua cadeia de fornecimento ou lançar ataques de phishing contra aqueles que possuem acesso e, assim, obter acesso à sua rede. É fundamental que o acesso privilegiado concedido a terceiros seja controlado, gerenciado e monitorado.
Além disso, insiders mal-intencionados, incluindo funcionários insatisfeitos da equipe de TI, técnicos gananciosos, funcionários demitidos e funcionários de TI que trabalham com terceiros poderiam plantar bombas lógicas ou roubar dados. O acesso administrativo não controlado é uma ameaça à segurança em potencial, comprometendo a sua empresa.
O GDPR exige que as organizações garantam e demonstrem conformidade com as suas políticas de proteção de dados pessoais. A proteção de dados pessoais, por sua vez, requer o controle total do acesso privilegiado, que é um princípio fundamental do GDPR. O controle do acesso privilegiado exige que você:
Como explicado acima, o controle, monitoramento e gerenciamento do acesso privilegiado leva à automatização de todo o ciclo de vida do acesso privilegiado. No entanto, abordagens manuais para o gerenciamento do acesso privilegiado são demoradas, propensas a erros e podem não ser capazes de fornecer o nível desejado de controles de segurança.
O Password Manager Pro é uma solução completa para controlar, gerenciar, monitorar e auditar todo o ciclo de vida do acesso privilegiado. Ele oferece três soluções em um único pacote: gerenciamento privilegiado de contas, gerenciamento de acesso remoto e gerenciamento privilegiado de sessões.
O Password Manager Pro criptografa e agrupa totalmente todas as contas privilegiadas em um vault centralizado, que é reforçado com controles de acesso granular. Ele também atenua os riscos de segurança relacionados ao acesso privilegiado, bem como antecipa violações de segurança e problemas de conformidade antes que eles prejudiquem os seus negócios.
Em conjunto, essas funcionalidades permitem que você obtenha controle total sobre o acesso privilegiado na sua organização, estabelecendo assim uma base sólida para a conformidade com o GDPR.
A conformidade total com o GDPR requer uma variedade de soluções, processos, pessoas e tecnologias. Como mencionada acima, a automatização do gerenciamento de acesso privilegiado serve de base para o cumprimento do GDPR. Juntamente com outras soluções, processos e pessoas apropriados, o gerenciamento de acesso privilegiado ajuda a reforçar a segurança de TI e a evitar violações de dados. Este material é fornecido apenas para fins informativos e não deve ser considerado como uma consultoria jurídica para conformidade com o GDPR. A ManageEngine não oferece garantias, expressas, implícitas ou legais quanto às informações contidas neste material.
