Como preparar seu negócio para o MFA?
Como já se sabe, habilitar a autenticação multifator (MFA) é uma das melhores ações para proteger o acesso à rede de seus usuários finais. A ameaça da baixa segurança dos acessos está colocando todas as empresas em risco de violação e não conformidade.
No entanto, pesquisas mostram que as soluções de MFA não estão sendo amplamente adotadas e provavelmente porque são consideradas caras, complexas e demoradas para gerenciar. Além disso, existe um equívoco comum de que uma empresa precisa ter um determinado tamanho para se beneficiar do MFA.
Adotar uma solução de MFA deve ser uma iniciativa de segurança fundamental para qualquer empresa, independentemente do tamanho, e pode ser uma das maneiras mais fáceis e simples de manter as contas protegidas.
Seja qual for o porte da empresa, aqui estão alguns pontos-chave a serem lembrados ao se preparar para uma implantação de MFA bem-sucedida:
Proteger acessos melhora significativamente sua postura de segurança
A autenticação está no centro de (quase) todo tipo de ataque. Seja usando uma sessão remota, via PowerShell, aproveitando um mapeamento de uma unidade ou fazendo logon local em um console, a rede exige que um usuário se autentique antes de receber qualquer tipo de acesso.
Uma das partes mais temidas de qualquer solução de segurança é o potencial para uma tempestade de alertas que acabam sendo falsos positivos. Com tantos usuários fazendo logon – e praticamente a qualquer hora do dia – é fundamental que a TI tenha soluções que tenham certeza sobre o potencial de ataque e tome medidas antes que o dano seja feito – não apenas quando a TI intervém.
Além disso, quase todas as soluções de segurança do mercado dizem que interrompem os ataques. Vale cuidado aqui – a solução apenas alerta a TI sobre um potencial de ameaça ou realmente age e interrompe o ataque?
Não tornar a MFA frustrante para os departamentos de TI
Os departamentos de TI descartarão rapidamente a MFA se ela for complexa e demorada para configurar e gerenciar. Uma pesquisa recente descobriu que 62% das organizações de pequeno e médio porte não usam MFA.
A segurança do MFA não precisa ser frustrante. É importante concentrar-se em soluções fáceis de implantar em todos os usuários sem a necessidade de hardware ou software adicional, como tokens.
É possível optar por uma solução que funcione em conjunto com a infraestrutura de TI existente (e seu investimento), que possa ser facilmente instalada sem a necessidade de ir a cada estação de trabalho para implantá-la e sem a necessidade de código complexo ou personalizado.
Também é fundamental selecionar uma solução de MFA que seja fácil de gerenciar, permita que os administradores reajam rapidamente aos problemas do usuário final e possa ser dimensionada com sua empresa.
A MFA deve equilibrar a segurança do usuário e a produtividade do usuário
Uma organização não sancionará os controles de segurança da MFA se acreditar que está impedindo os usuários finais. Do ponto de vista empresarial, os procedimentos de segurança existem para auxiliar e proteger as organizações como um todo, não prejudicar a produtividade de seus funcionários e, em última análise, a lucratividade do negócio.
Não se deve solicitar MFA ao usuário todas as vezes. É preciso optar pelas circunstâncias e a frequência para a necessidade de MFA que equilibre a segurança com a produtividade do usuário, além de torná-lo fácil e intuitivo para o mesmo.
Educar e capacitar os usuários para oferecer suporte à MFA
Fora do trabalho, a maioria das pessoas ignora a opção de autenticação de dois fatores. Menos de 10% das contas do Google têm autenticação de dois fatores habilitada e apenas cerca de 12% dos americanos usam gerenciadores de senhas.
Percepções sobre os verdadeiros méritos de segurança da autenticação de dois fatores permanecem e, quando deixados em seus próprios dispositivos, os usuários provavelmente aceitam sacrificar sua segurança por conveniência.
Mas, com o devido treinamento, os funcionários informados podem atuar como uma linha de defesa importante e adicional. Alertar os próprios usuários finais quando suas próprias credenciais são usadas (com sucesso ou não) ajuda a destacar sua própria atividade de usuário descuidada.
Notificações com mensagens personalizadas e alertas de login desencorajam os funcionários que possam estar pensando em fazer algo malicioso. Os alertas capacitam os usuários a assumir a responsabilidade por seu próprio acesso confiável, incentivando-os a avaliar por si mesmos qualquer atividade de login suspeita.