Modelo de maturidade em gestão de senhas

As organizações que desejam fortalecer a segurança implantando um gerenciador de senhas corporativo podem garantir maior resiliência ao avaliar as principais áreas de melhoria por meio do modelo de maturidade em gestão de senhas a seguir. Esse framework ajuda as organizações a entender seu nível de maturidade no uso de gerenciadores de senhas — com base nas operações atuais — e a identificar quais etapas são necessárias para melhorar sua classificação existente.

As organizações na categoria Nível 1 não implantaram um gerenciador de senhas corporativo. A falta de um sistema centralizado de gestão de senhas aumenta o risco de senhas comprometidas, pois os funcionários podem usar senhas fracas ou reutilizadas sem a supervisão adequada. Em vez disso, os funcionários adotam uma abordagem isolada e improvisada para proteger as senhas da empresa. Isso pode envolver o uso de gerenciadores de senhas baseados em navegador, planilhas do Excel, compartilhamento de senhas pelo Slack ou anotação em papel e notas adesivas. É improvável que esse ambiente promova uma cultura de segurança robusta ou enfatize as melhores práticas de segurança. Os treinamentos para toda a empresa são pouco frequentes ou inexistentes. Em termos de maturidade técnica geral, há uma grande probabilidade de que dados sensíveis ou críticos, quando compartilhados, não estejam criptografados e fiquem em risco. 

• Implantação do gerenciador de senhas: Uma organização de Nível 1 não tem processos de gerenciador de senhas em vigor, deixando os funcionários seguirem seus próprios hábitos.

• Cultura de segurança: Uma organização de Nível 1 não enfatiza as melhores práticas de segurança e tem conscientização mínima sobre segurança. 

• Maturidade técnica: Uma organização de Nível 1 compartilha informações sensíveis de forma insegura, muitas vezes sem criptografia.

As organizações de Nível 1 estão começando do zero, com muitas oportunidades de melhorias rápidas por meio de ações simples que podem proporcionar um reforço imediato na segurança. A próxima etapa prioritária para uma empresa melhorar a segurança é exigir que uma equipe use um gerenciador de senhas, geralmente a de TI, e então criar um plano para uma implementação em larga escala.

O Nível 2 indica uma abordagem um pouco mais madura, mas ainda em crescimento, em relação à segurança e à gestão de senhas fortes. As organizações nessa etapa não usam um gerenciador de senhas corporativo, e as práticas de segurança de senhas são descentralizadas, com os funcionários recorrendo a uma combinação de gerenciadores de senhas baseados em navegador e outras ferramentas integradas de gestão de senhas. Algumas organizações podem começar com um gerenciador de senhas gratuito antes de migrar para uma solução mais centralizada. As melhores práticas de segurança recebem uma atenção superficial durante a integração de funcionários, mas não são um foco consistente para a organização. A maturidade técnica nesse nível é caracterizada por uma combinação de práticas de criptografia — algumas informações são criptografadas, outras não —, e a autenticação de dois fatores é usada com parcimônia para reforçar a verificação de identidade. As organizações que buscam avançar do Nível 2 para o Nível 3 devem se concentrar em ampliar a conscientização e a educação para estabelecer práticas fundamentais de segurança de credenciais em parte do tempo.

• Implantação do gerenciador de senhas: Empresas de Nível 2 apresentam gestão de senhas descentralizada ou uso ad hoc de gerenciadores de senhas integrados, como o Chaves do iCloud da Apple ou os integrados aos navegadores.

• Cultura de segurança: Empresas de Nível 2 dão ênfase limitada às melhores práticas de segurança de senhas.

• Maturidade técnica: Empresas de Nível 2 têm abordagens inconsistentes para compartilhar informações criptografadas e usar autenticação multifator (2FA).

Empresas de Nível 2 dão um pouco mais de ênfase à segurança de dados, mas, no geral, as práticas continuam descentralizadas. A próxima etapa imediata para melhorar a segurança é escolher um gerenciador de senhas centralizado e multiplataforma, que funcione em todos os dispositivos dos funcionários, e iniciar uma implementação em fases.

Passar do Nível 2 para o Nível 3 representa um avanço significativo para proteger sua empresa. Equipes limitadas dentro da organização usam um gerenciador de senhas independente, mas a implantação geral ainda é mínima. O treinamento de segurança é mais frequente e consistente, e os funcionários recebem alertas com mais frequência ao adotar práticas de segurança claramente arriscadas em potencial. Do ponto de vista da maturidade técnica, os funcionários que usam coletivamente uma solução de gestão de senhas têm cobertura em todos os dispositivos fornecidos pela empresa e conseguem compartilhar senhas e outras informações sensíveis com segurança. Usar um cofre de senhas criptografado pode aumentar significativamente a segurança ao armazenar informações sensíveis com segurança. A capacidade de compartilhar dados com segurança entre colegas marca uma diferença em relação ao Nível 2.

• Implantação do gerenciador de senhas: As empresas de Nível 3 têm algum grau de gerenciamento centralizado de senhas, com uma ou duas equipes usando gerenciadores de senhas independentes em vez de ferramentas integradas.

• Cultura de segurança: As empresas de Nível 3 dão mais ênfase à cultura de segurança, mas não contam com ferramentas ou sistemas para uma responsabilização concreta.

• Maturidade técnica: As equipes de Nível 3 que usam um gerenciador de senhas centralizado se beneficiam da cobertura multiplataforma entre dispositivos e do compartilhamento seguro entre funcionários.

As empresas de Nível 3 estão seguindo uma direção mais centralizada, embora irregular, para priorizar a segurança de dados. O próximo passo para melhorar a segurança é ampliar a cobertura do gerenciamento de senhas de uma implantação em fases para uma implantação em toda a empresa.

O Nível 4 é marcado pela adoção universal de um gerenciador de senhas em toda a empresa, com uma implantação iniciada em toda a organização. É fundamental criar uma senha mestra forte para proteger o gerenciador de senhas. Todos os funcionários são incentivados a usar o gerenciador de senhas da empresa para criar, armazenar e compartilhar senhas com outros membros da equipe. Além disso, o treinamento de segurança é normalizado e aceito por toda a organização, com a gestão acompanhando e incentivando a participação por meio de módulos de treinamento detalhados. A maturidade técnica de Nível 4 indica gerenciamento de senhas em toda a empresa, com integração a serviços de diretório e logon único. A integração com serviços de diretório (que podem incluir Active Directory/Entra, Google Workspace ou OneLogin) sincroniza usuários e grupos de um diretório externo com o gerenciador de senhas. A integração com logon único permite que as organizações aproveitem seu provedor de identidade existente para autenticar usuários no gerenciador de senhas empresarial.

• Implantação do gerenciador de senhas: As empresas de Nível 4 implantaram um gerenciador de senhas independente em toda a organização, com as equipes fortemente incentivadas a abandonar completamente ferramentas integradas e práticas ad hoc.

• Cultura de segurança: As empresas de Nível 4 oferecem treinamento de segurança regular e incentivam a presença com métricas de participação.

• Maturidade técnica: As empresas de Nível 4 integraram gerenciadores de senhas aos fluxos de trabalho de TI, incluindo serviços de diretório e logon único (SSO).

As empresas de Nível 4 adotaram uma abordagem muito mais uniforme e concreta em relação à segurança de dados, com foco em garantir cobertura universal. O próximo passo para melhorar a segurança é exigir o gerenciamento de senhas corporativo em toda a organização. Quando isso estiver em andamento, habilite autenticação sem senha e exija autenticação multifator (2FA) para todas as equipes.

Nesta etapa, uma organização adotou em larga escala um gerenciador de senhas em toda a empresa, integrado aos fluxos de trabalho organizacionais. Esse cofre de senhas é usado para armazenar e gerenciar com segurança informações confidenciais, incluindo senhas, dados de cartão de crédito e dados pessoais. A adoção do gerenciamento de senhas em toda a empresa é obrigatória, com restrições a métodos alternativos de armazenamento de senhas. Empresas nesse estágio oferecem aos funcionários planos família de gerenciamento de senhas para cultivar uma cultura de segurança 360°, enfatizando hábitos de gerenciamento de senhas pessoais e profissionais. O treinamento de segurança é obrigatório para toda a organização, e os funcionários são incentivados a relatar atividades suspeitas de cibersegurança. A maturidade técnica é caracterizada por cobertura e relatórios abrangentes. O gerenciador de senhas em toda a empresa oferece opções sem senha, de biometria a chaves de acesso, enquanto os desenvolvedores usam APIs para integração com outras ferramentas, como SIEM, a fim de garantir um conjunto de segurança eficaz. Scripts automatizados com APIs são utilizados para aprimorar o controle administrativo e simplificar fluxos de trabalho complexos.

• Implantação do gerenciador de senhas: As empresas de Nível 5 exigem que todos os funcionários usem um gerenciador de senhas independente.

• Cultura de segurança: As empresas de Nível 5 implementaram treinamento de segurança obrigatório, com funcionários tomando a iniciativa de sinalizar atividades suspeitas ao departamento de TI.

• Maturidade técnica: As empresas de Nível 5 adotaram um gerenciador de senhas em toda a empresa que oferece autenticação sem senha, exige autenticação multifator (2FA) e incentiva os desenvolvedores a usar APIs para integração com outras ferramentas.

As empresas de Nível 5 contam com um sistema de gerenciamento de senhas abrangente, sofisticado e em toda a empresa. Empresas interessadas em avançar além deste ponto devem explorar ferramentas de gerenciamento de segredos que protegem a infraestrutura e os segredos de máquina.