A armadilha da hierarquia na segurança: quando executivos barram o MFA
Um caso recente de resistência à implementação de autenticação multifator por um executivo de segurança revela como a cultura organizacional pode sabotar a infraestrutura de TI.
O dilema da segurança vs. conveniência
Implementar políticas de segurança robustas é, frequentemente, um exercício de paciência e negociação técnica. O caso recente de um cliente que tentou elevar seu Secure Score no Microsoft 365, apenas para enfrentar a resistência de um executivo, ilustra perfeitamente o atrito entre as melhores práticas de infraestrutura e a cultura corporativa.
A equipe técnica, responsável pela implementação, seguiu o plano padrão: ativar o MFA (autenticação multifator) em todo o ambiente. A lógica é simples e inquestionável para qualquer profissional de operações: reduzir a superfície de ataque e garantir que credenciais vazadas não resultem em invasões catastróficas. No entanto, a teoria muitas vezes colide com a realidade operacional quando o tomador de decisão é o primeiro a ignorar a regra que ele mesmo deveria apoiar.
Quando o executivo vira o gargalo
O problema surgiu na manhã seguinte à implementação. Um diretor — que, ironicamente, ocupava o cargo de COO em uma empresa de cibersegurança — iniciou uma onda de reclamações, alegando que o MFA estava “paralisando” a operação e causando prejuízos imediatos. O tom da reclamação, carregado de acusações, forçou a equipe de suporte a investigar o cenário sob pressão.
Ao analisar a situação, o diagnóstico foi claro: o impacto real limitava-se a três ou quatro dispositivos, e a lentidão no sistema de faturamento não era culpa do MFA, mas sim de um software de terceiros mal otimizado que falhava ao integrar o protocolo de autenticação. A solução técnica, como sempre, exigia ajustes no software, não o descarte da camada de segurança.
A cultura do rollback imediato
Mesmo com a explicação técnica em mãos, a ordem foi direta: rollback imediato. O resultado? O ambiente voltou a um estado de vulnerabilidade, priorizando o conforto do executivo sobre a integridade dos dados. Casos como esse reforçam que a segurança digital não é apenas uma questão de deploy ou configuração, mas de governança interna.
Lições para quem opera infraestrutura
Para times de produto e operações, o episódio traz reflexões práticas:
- Valide as dependências antes do roll-out: Softwares legados que prometem suporte a MFA, mas possuem implementações falhas, são os maiores vilões da migração.
- Segurança é para todos: Quando a liderança se coloca acima das políticas de segurança, a cultura de proteção da empresa desmorona.
- Documentação é sua defesa: Registrar que o problema era um software de terceiros e não o MFA protege a equipe técnica de acusações infundadas.
Manter a operação rodando sem incidentes é um desafio constante. Para times que ainda tentam gerenciar acessos, permissões e tarefas de forma descentralizada, plataformas como o Orqueza centralizam a operação em um só lugar, permitindo que a gestão de TI e o acompanhamento de projetos não dependam de comunicações informais ou ordens intempestivas.
Fonte: theregister.com
Cansado de planilhas e ferramentas soltas?
Centralize clientes, projetos, CRM, financeiro e equipe em uma só plataforma. Comece grátis em 2 minutos, sem cartão.
Criar conta grátis →Continue lendo
Segurança no WhatsApp: entenda os novos alertas contra invasões e golpes
O WhatsApp implementou novos alertas de segurança para identificar acessos suspeitos e números desconhecidos. Entenda como as mudanças impactam sua rotina operacional.
Segurança e IA: o alerta da Five Eyes sobre crises operacionais
A inteligência das nações da Five Eyes alerta: a velocidade da IA pode transformar incidentes de segurança em crises financeiras e operacionais em meses, não anos. Veja como proteger sua operação.
Private Access Control Tokens: O novo padrão da Cloudflare para barrar bots
A Cloudflare, em parceria com Chrome, Edge e Firefox, está desenvolvendo os PACTs, uma nova tecnologia para validar o tráfego humano e de bots legítimos, reduzindo a necessidade de CAPTCHAs e bloqueios invasivos.
Anthropic altera política do Claude e pode exigir verificação de identidade dos usuários
A Anthropic atualizou as diretrizes do Claude, passando a exigir documentos e selfies em casos específicos de contas sinalizadas. Entenda como essa mudança de segurança impacta o uso da ferramenta em fluxos de trabalho.