Autor: Gustavo Gomes Filgueira

Introdução

Nos últimos meses, tenho vivenciado a implantação de mais um projeto de cofre de senhas e durante este período, pude observar quantos detalhes foram surgindo no decorrer das implementações tanto de funcionalidades quanto de processos. Mediante ao descrito, resolvi compartilhar algumas questões e recomendações/sugestões sobre este aprendizado, mesmo considerando que cada empresa terá suas particularidades, eles podem ajudar a mapear pontos importantes e auxiliar na implementação sem que ocorra muitos imprevistos e ou impactos.

O intuito deste artigo não é discutir as soluções de mercado ou o cofre de senhas mediante ao atual cenário de proteção de dados pessoais (LGPD) e ou falar termos técnicos, mas sim ajudar a realizar um brainstorming de apoio para uma implementação bem-feita e agregar valor ao negócio.

Abaixo compartilho, separados por Questionamentos e Sugestões, pontos que podem ser considerados para a implementação de um projeto de cofre de senhas, que também é conhecido por PAM (Privileged Access Management).

Vou mencionar o cofre de senhas como PAM;

Questionamentos

– A solução PAM possui funcionalidades que atendem as necessidades do negócio de sua empresa?

– O PAM faz parte de um PDS (Plano Diretor de Segurança)? Se sim, considere o item anterior.

– O PAM está disponível para qual plataforma: On-Premisses, Cloud ou SaaS?

– Nas plataformas citadas, todas possuem as mesmas funcionalidades?

– O PAM é Appliance ou Software?

– O PAM suporta máquina virtual?

– Qual o modelo de licenciamento?

– A solução é nacional ou internacional?

– Como funciona o suporte do fornecedor? É período comercial ou integral?

– O PAM viabiliza Alta Disponibilidade (HA) ou FailOver? Qual a média de RTO?

– O PAM possibilita Load Balance?

– Caso você não siga as recomendações do fornecedor, você perdera a garantia de suporte da solução?

– Quais são os requisitos de instalação? S.O, ROM, RAM, Processador, BD e Versões?

– O banco de dados é stand-alone ou pode ser externalizado?

– Quais são os algoritmos de criptografia suportado pela solução para proteção das senhas?

– O PAM é compatível com todos os navegadores?

– O PAM possui várias consultorias para apoio na implementação e ou suporte?

– O PAM possibilita integração com outros utilitários? Ex.: mRemote

– Essas consultorias possuem especialistas com certificações na solução e ou experiência na implementação?

– Existe algum case de sucesso da solução que pode ser compartilhado pela consultoria que irá prestar o suporte?

Sugestões

– O PAM é um projeto estruturante, deve ser planejado e faseado em ondas para seu sucesso;

– Entenda os gaps que sua empresa tem e se de fato um PAM irá ajuda-lo;

– Entenda qual o escopo do projeto e inicie um trabalho de levantamento para mensurar o tempo e esforço para cada entrega;

– A comunicação deve ser parte continua, pois tudo que for lançado deve ser informado antecipadamente, pois assim você poderá prevenir reclamações ou impactos;

– Crie uma tabela RACI;

– Entenda o dia a dia da equipe que irá utilizar o cofre, pois o Modus Operandi será alterado e se possível, faça entrevistas com pessoas chaves;

– Novos processos serão criados, tenha parceiros nas áreas para te ajudar na análise e na construção;

– Entenda os processos das empresas e quem são os owners para cada sistema.

– Verifique os níveis necessários de permissão para o funcionamento da solução. Nunca use a mais e nem a menos, pois terá problemas nos dois cenários, mantenha o princípio least privilege vivo.

– Sempre procure saber quantas versões existem e quais são as melhorias propostas para update da solução PAM;

– Sempre tenha um ambiente de homologação idêntico ao de produção, isso te livrará de apuros;

– Caso não exista, crie uma política para suportar a solução;

– Entenda com a equipe de CN o tempo de RTO e RPO dos sistemas internos para um DR, pois com o cofre, isso poderá ser alterado;

– Crie sua arquitetura para suportar um crescimento lateral e vertical, considerando as possíveis tecnologias da empresa;

– Verifique se sua empresa possui GPO ou Hardening que possa ser alterado com a implementação do PAM;

– Caso sua empresa trabalhe com o modelo Ágil, importante verificar se o PAM atende através de alguma solução mobile para otimizar as aprovações e ou processos;

– Todo projeto deve ter um apoio top-down, pois assim você terá apoio financeiro e apoio estratégico;

– Verifique se já existem pontos de auditoria abertos onde com o PAM possam ser atendidos, assim você já terá um ponto de partida.

– Se preocupe com a equipe de operação do PAM, esta deve ter manuais para tocar o dia a dia;

– A Topologia deve conter todas as informações de conexões para facilitar o entendimento do fluxo de dados;

– Realize um penteste na solução para identificar possíveis gaps que comprometa sua ferramenta que deve ser segura;

– Caso a solução seja por appliance, levante todos os formatos de monitoramento, que normalmente são por agente e neste modelo, não podem ser instalados;

– Verifique se o PAM tem compatibilidade com o antivírus, muitas vezes soluções por appliance não permitem qualquer instalação;

– Esteja alinhado com a equipe de Segurança, Infra e/ou governança, pois normalmente projetos PAM são estruturantes, ou seja, muda cultura e ou modus operandi;

– Alinhe com a equipe de controle acessos o processo de liberação ao cofre, pode ser que exista algum SOD ou RBAC base para direcionar essa frente;

– Verifique as políticas de troca de senha da empresa;

– Entenda o funcionamento das soluções que terão integração com o cofre;

– Verifique os horários de trabalho das equipes, pode ser que os Jobs do cofre tenham que ser personalizados para não causar indisponibilidades;

– O PAM cria padrões e a padronização causa desconforto em algumas pessoas, sendo assim, tome conhecimento dos benefícios do projeto e a importância para a sobrevivência do negócio, você precisa defender com unhas e dentes;

– Caso o PAM seja compatível com VM (máquina virtual), verifique se está já disponibiliza um processo de DR que não traz impactos com a solução do cofre;

– O PAM normalmente em um processo de DR deverá ser um dos primeiros a ser habilitado, certifique-se que ele atenderá esses requisitos;

– Verifique se o PAM possui integração com um IDM/IAM, assim você poderá criar um processo end to end para gestão de acessos privilegiado, passando por aprovações possibilitando futuras consultas de auditoria ou apoio na análise de incidentes;

– Verifique se sua solução disponibiliza uma API para gestão de contas de serviços, possibilitando a troca automática destas senhas;

– Se for possível, entenda quais são as tecnologias dos sistemas de sua empresa, e verifique quantos tem senhas hardcode (incorporada) e que podem ser integradas com o cofre para administração destas contas;

– Levantar e verificar se os sistemas da empresa se comunicam com protocolo LDAP, pois caso tenha que gerenciar contas locais, você terá um grande trabalho;

– Verifique a quantidade de assets que sua empresa tem;

– Verifique se a solução PAM atende as contas built-in (root, SA, Adminitrator…)

– No processo de clonagem ou restore de máquinas, atente-se ao flow, o PAM fará parte por realizar a gestão das senhas;

– No processo de Discovery, verifique o time para identificar um novo assets, lembre-se que o processo deve ser automatizado, pois se não você será refém do cofre.

– Verifique se a solução é customizável para perfis, pois muitas vezes apenas o perfil administrativo tem possibilidades de ações que as equipes de operações precisam ter;

– Considere os acessos de VPN site to site ou cliente to site, pode ser que algumas regras sejam estabelecidas;

– Verifique como o PAM entrega a sessão ao destino;

– Considere todos os cenários de DR, considere a indisponibilidade total do cofre, como será a retomada dos ambientes;

– Verifique se a solução possui bloqueio de comandos;

– Verifique se solução consegue diferenciar senhas de comandos, pois pode ser que ela grave estas senhas;

Conclusão

De longe existem inúmeros outros pontos que devem ser considerados para o projeto de cofre de senhas, mas acredito que tenha estimulado algumas ideias para ajudar nesse processo.

O Cofre de Senhas tem mudado nos últimos anos, acompanhado da evolução digital, certifique que a empresa contrata também tenha isso no radar.

Ultimamente grandes empresas têm feito fusões para acompanhar essa evolução, atente-se se o fornecedor de solução de cofre, não está participado deste processo, pois tudo pode vir por água abaixo, caso essa empresa não queira continuar com essa frente.

Por fim, acredite e vá em frente, sem dúvidas ele agregara valor enorme a empresa e possibilitará alavancar os negócios.

Fonte: https://www.linkedin.com/in/gustavofilgueira/ (Gustavo Gomes Filgueira – MBA, Security+, ISFS 27002)