Como chegar na gestão efetiva do acesso privilegiado?

Publicado

Por

Alfredo Santos

Renato Fugazza, da Deloitte Cyber, moderou o painel que contou com a participação de 3 profissionais para discutir sobre a gestão efetiva do acesso privilegiado. 

Veja quem foram os painelistas:

  • André Borges, superintendente de segurança da informação e prevenção a fraudes do Banco Fibra
  • Marcelo Brunner, diretor de engenharia da Clover IT
  • Rafael Ribeiro, gerente sênior de gestão de identidades da Deloitte Cyber

Renato Fugazza iniciou o painel relembrando a importância do tema: “É para fazer de forma efetiva a segurança dos nossos ativos e do nosso ambiente. A gestão das contas e dos usuários privilegiados é um dos principais objetivos que um cyber criminoso tem dentro de uma empresa”. 

Os principais desafios 

André Borges foi o primeiro a abrir a discussão: “Normalmente a implementação de ferramentas (de gestão de usuários privilegiados) não é de complexidade muito alta. (…) A grande questão e o grande desafio é proporcionar dentro da organização uma mudança cultural, uma adaptação dos processos e fazer com que a solução seja efetivamente utilizada no seu limite”. 

Resumidamente, o que Borges ensina é que as empresas chegam a adquirir soluções potencialmente boas, mas nem sempre são bem sucedidas em integrá-las. Por exemplo, quando se adquire um cofre de senhas e esse é utilizado como um simples repositório de credenciais onde os analistas inserem os seus usuários e senhas e conseguem, com facilidade, obter credenciais privilegiadas. “Se for para utilizar dessa forma, você não precisa de uma super ferramenta”, complementou Borges. 

Pensando no ponto de vista do consultor, Marcelo Brunner trouxe a sua percepção: “O difícil é mostrar para as empresas que elas precisam disso (gestão de acesso privilegiado)”. Brunner também citou como um desafio o conflito que existe entre as as áreas de segurança e desenvolvimento – enquanto um lado preza pela entrega das atividades, o outro se preocupa em proteger o negócio. É nesse ponto que a questão cultural acaba pesando, pois é necessário informar ao time que suporta o ambiente sobre o corte no acesso livre em nome da segurança. Isso pode gerar uma certa objeção e, nas palavras de Brunner, pode vir o pensamento de que as entregas serão dificultadas: “Os mais antigos em desenvolvimento não têm visão nenhuma de segurança da informação”. Rafael Ribeiro ainda acrescentou: “Uma forma efetiva que a gente vê as empresas fazerem para que as pessoas realmente se engajem na questão de segurança e proteção é o pertencimento. A pessoa tem que sentir que faz parte da empresa e que ela tem que ajudar a proteger os ativos”. 

Como priorizar

Marcelo Brunner abriu o tópico: “Isso tem muita relação com o tipo de negócio da empresa. Tem que se fazer uma análise de risco primeiro para saber onde se está vulnerável”. Por exemplo, no mercado financeiro há muito mais risco porque o negócio é sobre dinheiro. Por outro lado, quando se analisa uma manufatura, os desafios típicos de indústria são diferentes. É preciso saber o tipo de negócio da empresa, assim como o seu tamanho e a sua complexidade de TI. 

Rafael Ribeiro agregou: “Às vezes o pessoal da área de segurança da empresa fica um pouco perdido. (…) De acordo com o risco que foi identificado, a gente consegue determinar quais são os casos de uso que a gente vai atacar primeiro”. E André Borges finalizou a rodada: “Eu acho também que a gente sempre tem que priorizar o alinhamento com o usuário. (…) A gente vai redesenhar um processo de gestão de acesso privilegiado, vou obrigar o cara a usar determinadas ferramentas que ele não tinha o costume de usar antes. Então eu preciso necessariamente alinhar com ele”.

Gestão de identidade X gestão de contas privilegiadas

André Borges começou: “Eu posso associar o meu processo de gestão de identidade com a questão do just in time. Eu consigo colocar dentro da minha plataforma, por exemplo, um meio para eu fazer uma solicitação da credencial privilegiada por determinado tempo. Então existe a parte técnica de eu conseguir implementar e integrar esses dois temas para que eles caminhem lado a lado e possam trazer efetivamente valor para a empresa”. 

Rafael Ribeiro somou: “São soluções complementares. A gestão de identidade de uma visão muito mais sobre a pessoa e os acessos que ela tem. E a gestão de acessos privilegiados é um projeto muito técnico. Só que eles precisam andar juntos e conversar. (…) De repente a pessoa tem acesso ao cofre, mas aquilo é indevido de acordo com o papel da pessoa dentro da empresa. Você consegue ter esse tipo de controle somando as forças”.

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/

Aviso Legal: As informações apresentadas nos eventos e lives são apenas para fins educacionais. Não incentivamos nem apoiamos o uso destas técnicas para qualquer atividade ilegal. O objetivo é promover a conscientização e a melhoria das práticas de segurança cibernética. O uso inadequado das informações apresentadas é estritamente proibido e pode resultar em consequências legais.

IAM Tech Day

IAM TECH DAY

Início

Eventos

Artigos

Contato

COMUNIDADE

Canal YouTube

Newsletter

Comunidade LinkedIn

Twitter

OUTROS

Patrocine

Política de privacidade

Termos de uso

Call For Papers

© Copyright IAM Tech Day • Todos os direitos reservados • Design by