Quando a HCL Technologies divulgou, em outubro de 2023, que um acesso não autorizado havia comprometido dados de clientes em múltiplas contas de serviço, a violação evidenciou uma vulnerabilidade persistente que programas de treinamento e documentos de política não conseguem resolver: a arquitetura fundamental de como as credenciais funcionam na terceirização de processos de negócios.
O incidente, que afetou uma das maiores empresas de serviços de TI da Índia, exemplificou um padrão observado repetidamente no setor de BPO e serviços gerenciados. Apesar de programas abrangentes de conscientização em segurança e políticas de acesso rigorosas, o problema subjacente persiste porque as organizações continuam operando com uma premissa falha: a de que os usuários podem ser confiados para criar, gerenciar e proteger suas próprias credenciais.
A epidemia de compartilhamento de credenciais em serviços gerenciados
Em ambientes de BPO e serviços gerenciados, o compartilhamento de credenciais funciona como uma prática padrão não oficial. Os agentes de service desk compartilham rotineiramente dados de login para agilizar o suporte ao cliente. As equipes de operações distribuem senhas administrativas por meio de plataformas de mensagens para manter a continuidade do serviço durante as trocas de turno. Os gerentes de projeto disseminam credenciais de acesso a sistemas para funcionários temporários a fim de cumprir prazos dos clientes.
Esse comportamento persiste não apesar do treinamento em segurança, mas sim por causa das exigências operacionais dos serviços gerenciados, que criam pressões irresistíveis para contornar o gerenciamento individual de credenciais. Quando um sistema crítico para o cliente exige atenção imediata às 3 da manhã e o administrador designado não está disponível, as equipes de prestação de serviço compartilham credenciais para manter os SLAs contratuais.
A prática se institucionaliza por necessidade prática. As equipes desenvolvem protocolos informais de distribuição de credenciais que operam paralelamente às políticas de segurança oficiais, criando sistemas paralelos (shadow) de gerenciamento de acesso que permanecem invisíveis a auditorias de segurança e revisões de conformidade.
A escala do comprometimento de credenciais
Dados recentes ilustram a magnitude desse desafio. O Relatório de Investigações de Violação de Dados de 2023 da Verizon constatou que credenciais roubadas estiveram envolvidas em 49% de todos os incidentes de segurança, com o setor de serviços profissionais apresentando violações relacionadas a credenciais a taxas 23% superiores à média intersetorial.
O Relatório de Custo de uma Violação de Dados de 2023 da IBM revelou que credenciais comprometidas contribuíram para violações que custaram, em média, US$ 4,62 milhões por incidente no setor de serviços empresariais. O relatório identificou o roubo de credenciais como o segundo vetor de ataque mais caro, atrás apenas do phishing.
Especificamente em ambientes de serviços gerenciados, o Estudo de Gerenciamento de Risco de Terceiros de 2023 do Ponemon Institute constatou que 67% das organizações sofreram pelo menos uma violação de dados causada por um fornecedor terceirizado nos últimos 12 meses, com o comprometimento de credenciais representando o principal vetor de ataque em 34% dos casos.
O Escritório do Comissário de Informação do Reino Unido (ICO) relatou que as penalidades financeiras por violações de dados no setor de serviços empresariais aumentaram 156% entre 2022 e 2023, com controles de acesso inadequados citados como fator contribuinte em 78% dos incidentes investigados.
Por que os frameworks de segurança existentes falham
As soluções atuais de gerenciamento de identidade e acesso operam segundo o princípio de que os usuários devem controlar suas próprias credenciais. Plataformas de single sign-on, sistemas de gerenciamento de acesso privilegiado e ferramentas de autenticação multifator pressupõem que os indivíduos podem ser confiados para criar, armazenar e proteger seus segredos de autenticação.
As arquiteturas de Zero Trust, apesar de seus protocolos de verificação abrangentes, ainda dependem fundamentalmente de credenciais controladas pelo usuário para a autenticação inicial. O princípio "nunca confie, sempre verifique" se torna ineficaz quando o próprio mecanismo de verificação depende de credenciais que os usuários podem compartilhar, copiar ou distribuir livremente.
A autenticação multifator adiciona camadas ao processo de autenticação, mas não consegue impedir o compartilhamento de credenciais quando as pressões operacionais assim exigem. As equipes simplesmente compartilham tanto as senhas quanto os dispositivos de autenticação, ou distribuem códigos de bypass de MFA por canais não oficiais.
Os sistemas de gerenciamento de acesso privilegiado tentam controlar credenciais de alto valor por meio de cofres (vaulting) e gravação de sessões, mas essas soluções normalmente cobrem apenas um subconjunto dos pontos de acesso do sistema. A maioria das credenciais de aplicações empresariais permanece sob controle do usuário, mantendo a vulnerabilidade fundamental.
As plataformas de governança de identidade oferecem visibilidade sobre os padrões de acesso e podem identificar comportamentos anômalos, mas operam de forma retrospectiva. Quando o uso suspeito de credenciais é detectado e investigado, o dano operacional geralmente já ocorreu.
A solução estrutural: controle organizacional das credenciais
O fracasso persistente do treinamento e das políticas em prevenir o compartilhamento de credenciais indica que o problema exige uma solução estrutural, e não comportamental. Em vez de tentar modificar o comportamento do usuário por meio de educação e aplicação de regras, as organizações devem eliminar completamente a capacidade dos usuários de criar, acessar ou compartilhar credenciais.
Essa abordagem envolve transferir a geração, distribuição e gerenciamento de credenciais dos usuários individuais para os sistemas organizacionais. Em vez de permitir que os usuários criem senhas, frases-senha ou tokens de autenticação, a organização gera todas as credenciais de forma centralizada, as distribui em formato criptografado e mantém controle exclusivo sobre seu ciclo de vida.
Nesse modelo, os usuários nunca veem ou manipulam suas próprias credenciais. A autenticação ocorre por meio da injeção criptografada de credenciais, que elimina totalmente a visibilidade do usuário. Os usuários não podem compartilhar o que não possuem, e o roubo de credenciais se torna impossível quando as credenciais-alvo existem apenas em cofres organizacionais criptografados.
A tecnologia patenteada da MyCena implementa essa abordagem estrutural interceptando as solicitações de autenticação e injetando credenciais criptografadas diretamente nos processos de login. Os usuários se autenticam nos sistemas sem nunca ver ou controlar as credenciais subjacentes, tornando o compartilhamento tecnicamente impossível, e não apenas proibido.
Essa mudança arquitetônica ataca a causa raiz do compartilhamento de credenciais, e não apenas seus sintomas. Em vez de depender da conformidade do usuário com as políticas de segurança, o sistema elimina a capacidade técnica de os usuários comprometerem credenciais por meio de compartilhamento, cópia ou roubo.
Implicações para organizações de serviços gerenciados
Para prestadores de BPO e serviços gerenciados, a implementação do controle organizacional de credenciais oferece diversas vantagens estratégicas além da melhoria da segurança. Os requisitos de auditoria dos clientes tornam-se significativamente mais fáceis de atender quando o gerenciamento de credenciais pode ser demonstrado por meio de controles técnicos, e não apenas de documentação de políticas.
A conformidade regulatória com frameworks como SOC 2, ISO 27001 e requisitos específicos de setor torna-se mais simples quando o acesso às credenciais pode ser registrado, monitorado e controlado em nível organizacional, e não individual.
Ganhos de eficiência operacional surgem quando as equipes não precisam mais gerenciar requisitos de complexidade de senha, cronogramas de rotação ou processos de recuperação de credenciais esquecidas. As equipes de prestação de serviço podem se concentrar nas necessidades dos clientes, em vez da administração de credenciais.
Mais importante ainda, essa mudança elimina a tensão inerente entre os requisitos de segurança e as demandas operacionais que impulsionam as práticas não oficiais de compartilhamento de credenciais. Quando o acesso seguro se torna tecnicamente mais simples do que o compartilhamento de credenciais, o comportamento organizacional se alinha naturalmente aos objetivos de segurança.
As evidências sugerem que as abordagens de treinamento e política para a segurança de credenciais atingiram seu limite de eficácia. As organizações que continuarem a depender da modificação do comportamento do usuário, mantendo arquiteturas de credenciais controladas pelo usuário, continuarão a sofrer os incidentes de segurança que tais abordagens não conseguem prevenir.