Renato Fugazza, da Deloitte Cyber, moderou o painel que contou com a participação de 3 profissionais para discutir sobre a gestão efetiva do acesso privilegiado.
Veja quem foram os painelistas:
- André Borges, superintendente de segurança da informação e prevenção a fraudes do Banco Fibra
- Marcelo Brunner, diretor de engenharia da Clover IT
- Rafael Ribeiro, gerente sênior de gestão de identidades da Deloitte Cyber
Renato Fugazza iniciou o painel relembrando a importância do tema: “É para fazer de forma efetiva a segurança dos nossos ativos e do nosso ambiente. A gestão das contas e dos usuários privilegiados é um dos principais objetivos que um cyber criminoso tem dentro de uma empresa”.
Os principais desafios
André Borges foi o primeiro a abrir a discussão: “Normalmente a implementação de ferramentas (de gestão de usuários privilegiados) não é de complexidade muito alta. (…) A grande questão e o grande desafio é proporcionar dentro da organização uma mudança cultural, uma adaptação dos processos e fazer com que a solução seja efetivamente utilizada no seu limite”.
Resumidamente, o que Borges ensina é que as empresas chegam a adquirir soluções potencialmente boas, mas nem sempre são bem sucedidas em integrá-las. Por exemplo, quando se adquire um cofre de senhas e esse é utilizado como um simples repositório de credenciais onde os analistas inserem os seus usuários e senhas e conseguem, com facilidade, obter credenciais privilegiadas. “Se for para utilizar dessa forma, você não precisa de uma super ferramenta”, complementou Borges.
Pensando no ponto de vista do consultor, Marcelo Brunner trouxe a sua percepção: “O difícil é mostrar para as empresas que elas precisam disso (gestão de acesso privilegiado)”. Brunner também citou como um desafio o conflito que existe entre as as áreas de segurança e desenvolvimento – enquanto um lado preza pela entrega das atividades, o outro se preocupa em proteger o negócio. É nesse ponto que a questão cultural acaba pesando, pois é necessário informar ao time que suporta o ambiente sobre o corte no acesso livre em nome da segurança. Isso pode gerar uma certa objeção e, nas palavras de Brunner, pode vir o pensamento de que as entregas serão dificultadas: “Os mais antigos em desenvolvimento não têm visão nenhuma de segurança da informação”. Rafael Ribeiro ainda acrescentou: “Uma forma efetiva que a gente vê as empresas fazerem para que as pessoas realmente se engajem na questão de segurança e proteção é o pertencimento. A pessoa tem que sentir que faz parte da empresa e que ela tem que ajudar a proteger os ativos”.
Como priorizar
Marcelo Brunner abriu o tópico: “Isso tem muita relação com o tipo de negócio da empresa. Tem que se fazer uma análise de risco primeiro para saber onde se está vulnerável”. Por exemplo, no mercado financeiro há muito mais risco porque o negócio é sobre dinheiro. Por outro lado, quando se analisa uma manufatura, os desafios típicos de indústria são diferentes. É preciso saber o tipo de negócio da empresa, assim como o seu tamanho e a sua complexidade de TI.
Rafael Ribeiro agregou: “Às vezes o pessoal da área de segurança da empresa fica um pouco perdido. (…) De acordo com o risco que foi identificado, a gente consegue determinar quais são os casos de uso que a gente vai atacar primeiro”. E André Borges finalizou a rodada: “Eu acho também que a gente sempre tem que priorizar o alinhamento com o usuário. (…) A gente vai redesenhar um processo de gestão de acesso privilegiado, vou obrigar o cara a usar determinadas ferramentas que ele não tinha o costume de usar antes. Então eu preciso necessariamente alinhar com ele”.
Gestão de identidade X gestão de contas privilegiadas
André Borges começou: “Eu posso associar o meu processo de gestão de identidade com a questão do just in time. Eu consigo colocar dentro da minha plataforma, por exemplo, um meio para eu fazer uma solicitação da credencial privilegiada por determinado tempo. Então existe a parte técnica de eu conseguir implementar e integrar esses dois temas para que eles caminhem lado a lado e possam trazer efetivamente valor para a empresa”.
Rafael Ribeiro somou: “São soluções complementares. A gestão de identidade de uma visão muito mais sobre a pessoa e os acessos que ela tem. E a gestão de acessos privilegiados é um projeto muito técnico. Só que eles precisam andar juntos e conversar. (…) De repente a pessoa tem acesso ao cofre, mas aquilo é indevido de acordo com o papel da pessoa dentro da empresa. Você consegue ter esse tipo de controle somando as forças”.