Gerenciar as senhas das propriedades digitais – sites, redes sociais etc. – das empresas é sempre um desafio de governança. Os problemas são vários: as pessoas esquecem os logins e senhas, onde as armazenam, quem ficou responsável por elas e muito mais.
O problema não é apenas onde guardar, mas de quem controla o fluxo. Algumas empresas delegam a tarefa de gerenciar suas propriedades digitais para agências e terceiros. A questão é de foco: as empresa precisam entender que os domínios e propriedades são ativos, ainda que intangíveis
Listamos aqui algumas perguntas importantes: quem ficará responsável por este inventário? E se esta pessoa sair da empresa, quem são os backups?
Quem, na hierarquia da empresa, tem de ter acesso a este inventário? Que departamento (TI, marketing?). Onde guardar estas informações (há aplicativos para isso?). Quais as dicas para organizar estas informações?
O pessoal da 140 Online, agência de marketing digiral, preparou um guia que ajuda a organizar essa “bagunça”:
Quem é o responsável?
O ideal é que o gestor de operações (COO) ou um gerente de projetos lidere o inventário. Embora o marketing use as redes e o TI cuide da infraestrutura, a responsabilidade centralizada evita que o acesso se perca quando um funcionário sai.
Acesso às senhas
Recomendamos utilizar o princípio do “privilégio mínimo” (as pessoas passam mas as empresas ficam). Em um nível administrativo, o dono ou CEO deve ter acesso total a tudo (login e senha), sendo atribuído a este a função de “Master.
No nível “Gestão”, o acesso às ferramentas deve ser do respectivo departamento e em um nível operacional, deve-se permitir acesso apenas às ferramentas necessárias para as tarefas do dia a dia, sem permissão para alterar senhas mestras.
Qual departamento?
O TI deve fornecer a infraestrutura e as diretrizes de segurança, mas o Marketing (ou o departamento dono da conta) deve gerenciar o conteúdo e o uso. O TI atua como o “chaveiro” e o departamento como o “morador”.
Ferramentas
Muitas empresas utilizam planilhas de Excel. O melhor são plataformas do tipo “gerenciadores de senhas corporativos”, que permitem compartilhar acessos sem revelar a senha real e revogar permissões com um clique. Exemplos de gerenciadores: 1Password, Bitwarden, Dashlane e LastPass
Dicas
Use emails institucionais: nunca crie contas com e-mails pessoais (@gmail de funcionários). Use “aliases” (apelidos) como socialmedia@empresa.com.
Ative o 2FA (autenticação de dois fatores): use apps como Authy ou Google Authenticator, vinculados a um dispositivo da empresa ou backup centralizado.
Auditorias mensais: uma vez por mês, verifique quem ainda tem acesso e remova quem saiu da equipe ou do projeto.
Padronização de nomes: no gerenciador, salve como Cliente X | Instagram ou Projeto Y | Servidor FTP.
Microempresas
A linha entre “ajuda amigável” e “risco jurídico” nas agências pequenas e microempresas, é tênue. Se o cliente confia a você as chaves da casa, a agência precisa ser o guardião técnico.
Em agências enxutas, o responsável deve ser o gerente de contas ou o tráfego/operações. Isso porque é esse profissional que está no dia a dia com o cliente e sabe quais ferramentas precisam de acesso imediato.
O importante é que nunca se deixe as senhas apenas no computador do designer ou do social media. Se eles saírem, o que é muito comum entre as novas gerações (“quite quitting”) o acesso vai junto e haja dor de cabeça.
Para agências pequenas, o Bitwarden ou o Passbolt são ideais porque permitem criar “Organizações”.
Nessas ferramentas pode-se fazer a separação por cliente (com a criação de uma pasta/cofre para cada cliente e modo “compartilhamento seguro” (onde se dá acesso à pasta “Cliente A” apenas para os funcionários que trabalham naquela conta. Quando o funcionário sai da agência, você remove o acesso dele ao cofre master com um clique).
Não esqueça de hierarquizar o acesso. Mesmo em times de 3 ou 5 pessoas, mantenha níveis como admin (dono da agência), editor (que é o gestor da conta) e o usuário (que muitas vezes é um freelancer ou alguém mais operacional).
Contrato
Para quem é dono de agência de marketing digital, é fundamental deixar tudo registrado em contrato para que as metodologias de controle fiquem estabelecidas e não cause problemas no futuro. O ideal é adicionar uma cláusula no contrato de prestação de serviços detalhando que a agência faz a gestão das senhas, mas a propriedade legal das contas é sempre do cliente.
Importante ainda criar um email de recuperação único, focado apenas em cadastros (ex: acessos@suaagencia.com.br). Aqui mais uma vez, recomenda-se que nunca use o e-mail pessoal do dono ou de funcionários para criar contas de clientes.
E, claro, há sempre o problema do token no celular. Este, sem dúvida, é o maior gargalo em agências. O cliente recebe o código SMS e você tem que ligar para ele, mas ele não te atende. Quem já não passou por isso?
Neste caso, peça ao cliente para configurar o 2FA (fator de dupla autenticação) via app de autenticação (tipo Google Authenticator ou Authy) e peça que ele te envie o QR code ou a chave de texto inicial. Assim, você cadastra essa chave no gerenciador de senhas da agência, e o código passará a gerar dentro do app para toda a sua equipe.