O recente depoimento do diretor de uma das maiores operadoras de Saúde do país à CPI da Covid serve de alerta às empresas sobre os riscos decorrentes de possível falha na gestão das credenciais de acesso a sistemas computacionais das organizações, o que facilita o manuseio não autorizado de documentos sigilosos.
Na sessão do dia no último dia 22 de setembro da Comissão Parlamentar de Inquérito, o diretor da operadora de Saúde alegou que dois médicos que haviam sido demitidos em junho do ano passado teriam "manipulado dados de uma planilha interna" para "tentar comprometer a operadora".
Segundo o diretor da operadora, depois de serem demitidos os profissionais médicos passaram a "acessar e editar" um arquivo com informações de pacientes, resultando em um dossiê entregue aos parlamentares, o qual foi classificado pelo executivo como uma "peça de horror produzida a partir de dados furtados de pacientes, sem nenhuma autorização".
Este tipo de ocorrência, efetuada por funcionários que não trabalham mais nas organizações, se manifesta como uma vulnerabilidade de segurança, facilita as violações de dados e pode comprometer a imagem da empresa.
Sem entrar em detalhes e no mérito do caso reportado à CPI, Dyogo Junqueira, VP de Vendas e Marketing da ACSoftware, parceira ManageEngine no Brasil, comenta que, quando os sistemas da área de RH das empresas necessitam alterar a lista de funcionários, imediatamente a área de TI tem que garantir que estas informações sejam imediatamente atualizadas na lista de usuários que possuem autorização para acessar aos sistemas de toda a organização. "Não é raro que empresas sofram invasões a arquivos depois que um usuário tenha deixado o quadro de funcionários", comenta o executivo.
"Não podemos afirmar que este seja exatamente o que aconteceu com a operadora de Saúde, mas o fato relatado na CPI pode ter alguma semelhança com casos parecidos em outras empresas. Por tanto, é necessária uma gestão correta das contas dos usuários a sistemas e que as pessoas com acesso a documentos sejam automaticamente bloqueadas quando deixam as empresas", acrescentou.
Para resolver este problema, a ACSoftware está liberando a versão de teste das soluções ManageEngine DataSecurity, que controla acessos e alterações realizadas em arquivos e pastas, e o ManageEngine ADManager, que permite criar e eliminar usuários de sistemas, facilitando a gestão das políticas de segurança. A liberação das licenças por 30 dias é acompanhada de suporte técnico na implementação e utilização dos sistemas.
ManageEngine Data Security Plus – Auditoria de Servidores de Arquivos – Garante total controle dos dados nas redes corporativas, com visibilidade ilimitada de todas as alterações realizadas em arquivos e pastas, além de monitorar os acessos — tentativas e efetivados -, e permissões de compartilhamento.
ManageEngine ADManager Plus – Controla e facilita as rotinas dos administradores do Active Directory (AD), permitindo criar e eliminar contas de acesso a sistemas, além de monitorar outros objetos do AD e atende aos requerimentos de auditorias de conformidade, inclusive a LGPD.