PAM – Conheça mais sobre Gestão de Credenciais

Por: Bruna Guimarães, Gerente de Negócios.

Por que alguns projetos de segurança não detêm os resultados esperados? 

Durante a minha trajetória como Gerente de Negócios, auxiliando clientes neste grande desafio de escolher a melhor solução para as suas necessidades, percebi o quanto os esforços caminham, em muitos casos, por soluções de custo muito acima do retorno efetivo.  A estratégia de escolher uma solução vai muito além de questões cibernéticas e de adequação ao budget, e vamos entender agora o porquê.

De maneira geral, já entendemos que é preciso ter uma estratégia de custo/benefício atraente, mas isso acaba circulando apenas no fator monetário ou em uma busca fanática por famosas soluções.

Após uma priorização de ferramentas para o seu ambiente e seu budget, é preciso avaliar sobre o delivery completo em ambiente de produção até o momento final de perceber/receber o benefício esperado.

No fim das contas, para quem não tem budget ilimitado: como fazer mais por menos?


E como definir a estratégia?

É preciso, antes de tudo analisar.

Em uma linha de criticidade, qual solução vai mitigar menos risco com uma única aposta? Qual solução vai evitar um percentual bem alto, na lista dos maiores riscos de ataques, de vazamentos ou quaisquer ações perigosas no seu ambiente?

Caminhando nesse raciocínio, em 2019 o Gartner apontou em seu relatório anual de tendências de segurança, o “Gartner Top 10 Security Projects for 2019”, o Projeto de PAMcomo número um (nº1) de estratégia.

Segundo este, os controles para proteger contas deveriam ser priorizados por meio de uma abordagem baseada em risco.

Proteção de sistemas humanas e não humanas, suporte a uma combinação de ambientes locais (nuvem e híbrido), bem como APIs, deveriam ser prioridades em um projeto de PAM.  Já estava claro, desde então, que as contas privilegiadas (ou contas administrativas ou altamente capacitadas) eram alvos atraentes para invasores. Mitigar deveria ser a atitude número 1 desde 2019.

Em 2021, no “Gartner Top 10 Security Projects for 2019”, a hiper automatização é apontada como uma tendência. Nesse sentido, a regra primeira é: “automatizar tudo que pode ser “automatizável”. Mesmo não sendo uma novidade no meio de tecnologia, existe esse reforço em 2021. Ainda assim, segundo o próprio Gartner, “muitas organizações são apoiadas por uma ‘colcha de retalhos’ de tecnologias que não são enxutas, otimizadas, conectadas.”

Além disso, outro apontamento do Gartner, vai ao encontro de “Tecnologia da Informação que protege o dado”, mantendo a privacidade, evitando a transferência de dados pessoais, a monetização de dados e análise de fraude.

Vale o reforço novamente aqui: sua empresa já automatizou, de maneira enxuta, conectada e de fácil usabilidade a Gestão de Credenciais?

As suas credenciais com super privilégio, dão acesso a dados sensíveis e pessoais e correm o risco de fraudes e vazamentos?


As vantagens da Gestão de Acessos Privilegiados

Nesse cenário, as tecnologias de Gestão de Privilégios, na estratégia corporativa e de segurança vão trazer de maneira automatizada, os seguintes benefícios:

• Monitoramento: permitem o monitoramento de acessos, sejam eles suspeitos, concedidos críticos. Aqui, o monitoramento pode acontecer em tempo real ou através de gravação de sessão, possibilitando auditoria e correções.
• Conformidade: com a possibilidade de atender a requisitos de conformidade e regulatórios, tais quais: PCI, ISO, LGDP, BACEN, GDPR e de diversos outros segmentos da sua atuação ou de políticas criadas.
• Auditoria: citado anteriormente quando falamos de monitoramento, um ponto importantíssimo da estratégia de PAM é a possibilidade de auditoria rápida e fácil, com busca por caracteres durante a gravação ou até mesmo ao vídeo completo de auditoria. Aqui é possível identificar alterações indesejadas, rastrear quais aplicativos foram executados e ações não combinadas anteriormente.
• Eficiência Operacional: é uma ferramenta que vai operar fluxos de trabalhos internos de diferentes atividades executadas pelos usuários, em diferentes plataformas e com diferentes objetivos. E de maneira rápida, segura e orquestrada. É sobre ir além de uma guarda simples de senhas.

Minha intenção neste texto, após contextualizar sobre o quanto o Projeto de PAM é estratégico e eficiente na prevenção de ameaças é também chamar a atenção para alguns pontos importantes que os clientes devem observar no processo de aquisição.

Os critérios de decisão

Além da preocupação de terem ao seu lado alguém que sabe o que está fazendo, precisamos também pontuar:

Budget: embora seja uma preocupação alinhada às estratégias é muito importante analisar o retorno das ferramentas, os comparativos de funcionalidades pelos diferentes preços, os esforços durante a operação, as possibilidades de suporte e escalonamento. Nesse cenário, precisamos sempre falar da relevância dentro de tecnologia, das ferramentas Open Source ou de baixo custo, mas também das suas limitações e riscos.

Para os projetos PAM, podemos desenhar uma estratégia com a possibilidade de compra, crescimento e benefício para 2 ou 3 anos de uso. A Afrika, por exemplo, já desenvolveu diversos projetos fatiados para os clientes, criando um Business case de uma jornada de implementação e crescimento a longo médio prazo, através de compra em fatias, progressão por módulos, divisão de anos fiscais diferentes entre outros.

Parceiro de Confiança: No mercado de segurança, os fabricantes desenharam uma atuação estratégica que envolvem outros agentes: Distribuidores e Revendas (ou parceiros de negócio). Nesse cenário, a revenda será a maior responsável por atender o cliente final, fazendo ponte com fabricantes, distribuidores e clientes.

Este é um tema que eu sempre tento contextualizar nas conversas com os clientes.

O cenário desenhado e esperado é este, e será a revenda parceira a responsável por auxiliar ou implementar por completo a solução, por promover integrações da ferramenta com o seu ambiente, negociar e intermediar pagamentos, resolver problemas do pós-venda e entre outras funções ligadas diretamente à sua companhia.

O parceiro de confiança, se posicionando além de um mero intermediador, é quem vai te ajudar a trazer os maiores retornos possíveis da solução adquirida. Se for verdadeiramente um parceiro estratégico, vai estudar e entender das particularidades do seu negócio, vai trazer experiência (erros e acertos) de outras empresas também atendidas pelo seu segmento, vai negociar um projeto que vá além de um curto prazo, vai desenhar com você um processo de pós aquisição, implementação, rollout, operação assistida e suporte. E a Afrika é um agente, para projetos de PAM e de outras soluções de segurança, que se posiciona e caminha para se posicionar cada vez mais como um Parceiro de Confiança.

POC: A prova de conceito é uma fase essencial nesse cenário. A compra de uma tecnologia de segurança vai muito além da apresentação dos benefícios e da análise de documentação técnica. E nesse momento será possível, quando bem conduzida, fazer todas as análises da solução dentro do desenho do seu ambiente. É uma fase que se bem executada, traz segurança de que a escolha está sendo bem feita e pode ser uma fase primária, aproveitada depois, de integração/implementação do seu ambiente, trazendo velocidade e consequentemente, redução de custos e riscos.

Gestão da Mudança: Um dos grandes desafios de projetos de PAM é a mudança de cultura que a ferramenta empregará. Para isso, é necessário ter um parceiro de negócio com experiência nesse projeto, em processos de Gestão de Mudança, com Gerenciamento de Projetos e habilidade para realizar essa grande mudança. A condução do aspecto comportamental do colaborador com o sistema, a cultural sobre acessos privilegiados e a sistêmica, aceitando as mudanças no dia a dia que a ferramenta emprega, será o grande diferencial na entrega.

Visão de Longo Prazo da Tecnologia: Algumas ferramentas precisam de um alto monitoramento e investimento. Equipes dedicadas, grande valor anual de subscrição, atualizações técnicas constantes entre outros itens que vão exigir do seu tempo e budget uma dedicação a longo prazo. O Projeto de PAM, quando bem configurado e adaptado ao ambiente, vai trazer automatização aos seus processos e funcionar de maneira autônoma. Com opção de subscrição perpétua, os valores anuais após a compra representarão cerca de 25% do valor inicial e sem a necessidade de grandes ajustes e operações.

Avaliação de Mercado e Reputação:  No cenário de tecnologia, complexo, passível a erros, com falta de integrações nativas inesperadas….

• Será a disponibilidade de um parceiro que não te abandona nos momentos de falha que vai garantir que o seu projeto acontecerá da maneira que foi planejada, mesmo com os percalços no caminho;
• O domínio técnico e a proximidade com o fabricante vai garantir que os problemas serão resolvidas de maneira rápida, fácil e eficiente, sem gambiarras e enrolações.
• E a melhor avaliação e reputação no mercado, para a solução adquirida, são os parceiros que caminham do seu lado nos momentos de erro e falha, sabem como contornar objeções e irão garantir que o projeto aconteça, apesar das surpresas durante o planejamento.
  
  

Conclusão

Depois da análise destes pontos é de suma importância o cliente estar atento à formação técnica do seu time. Nem todos terão as mesmas facilidades com a ferramenta.

Nem sempre as tecnologias de ponta são de fácil absorção. Neste caso o parceiro escolhido não basta ser de confiança, tem que ter um portfólio de serviços que possibilite que a ferramenta seja explorada ao máximo, na sua melhor versão e no menor tempo possível. Algumas ferramentas oferecem muito, mas os parceiros e clientes não conseguem, por falta de um planejamento estratégico de projeto, pôr em vias práticas um resultado final excelente no ambiente de negócios.

Sendo assim, quando for adquirir uma solução para segurança da informação comece por estes pontos. Eles são certeiros e vão contribuir muito para diminuir o risco de uma aquisição que resulte num projeto sem benefício.

Afinal, quando adquirimos um projeto, seja ele qual for, a nossa expectativa é que ele funcione perfeitamente e entregue tudo (e muito mais) do que esperávamos, não é mesmo?