Cofre de Senhas – Sugestões para uma implementação bem sucedida

Views: 854
0 0
Read Time:7 Minute, 16 Second

Cofre de Senhas – Sugestões para uma implementação bem sucedida. Brainstorming de apoio para uma implementação bem-feita e agregar valor ao negócio.

Nos últimos meses, tenho vivenciado a implantação de mais um projeto de cofre de senhas e durante este período, pude observar quantos detalhes foram surgindo no decorrer das implementações tanto de funcionalidades quanto de processos. Mediante ao descrito, resolvi compartilhar algumas questões e recomendações/sugestões sobre este aprendizado, mesmo considerando que cada empresa terá suas particularidades, eles podem ajudar a mapear pontos importantes e auxiliar na implementação sem que ocorra muitos imprevistos e ou impactos.

O intuito deste artigo não é discutir as soluções de mercado ou o cofre de senhas mediante ao atual cenário de proteção de dados pessoais (LGPD) e ou falar termos técnicos, mas sim ajudar a realizar um brainstorming de apoio para uma implementação bem-feita e agregar valor ao negócio.

Abaixo compartilho, separados por Questionamentos e Sugestões, pontos que podem ser considerados para a implementação de um projeto de cofre de senhas, que também é conhecido por PAM (Privileged Access Management).

Vou mencionar o cofre de senhas como PAM;

Questionamentos

  • A solução PAM possui funcionalidades que atendem as necessidades do negócio de sua empresa?
  • O PAM faz parte de um PDS (Plano Diretor de Segurança)? Se sim, considere o item anterior.
  • O PAM está disponível para qual plataforma: On-Premisses, Cloud ou SaaS?
  • Nas plataformas citadas, todas possuem as mesmas funcionalidades?
  • O PAM é Appliance ou Software?
  • O PAM suporta máquina virtual?
  • Qual o modelo de licenciamento?
  • A solução é nacional ou internacional?
  • Como funciona o suporte do fornecedor? É período comercial ou integral?
  • O PAM viabiliza Alta Disponibilidade (HA) ou FailOver? Qual a média de RTO?
  • O PAM possibilita Load Balance?
  • Caso você não siga as recomendações do fornecedor, você perdera a garantia de suporte da solução?
  • Quais são os requisitos de instalação? S.O, ROM, RAM, Processador, BD e Versões?
  • O banco de dados é stand-alone ou pode ser externalizado?
  • Quais são os algoritmos de criptografia suportado pela solução para proteção das senhas?
  • O PAM é compatível com todos os navegadores?
  • O PAM possui várias consultorias para apoio na implementação e ou suporte?
  • O PAM possibilita integração com outros utilitários? Ex.: mRemote
  • Essas consultorias possuem especialistas com certificações na solução e ou experiência na implementação?
  • Existe algum case de sucesso da solução que pode ser compartilhado pela consultoria que irá prestar o suporte?

Sugestões

  • O PAM é um projeto estruturante, deve ser planejado e faseado em ondas para seu sucesso;
  • Entenda os gaps que sua empresa tem e se de fato um PAM irá ajuda-lo;
  • Entenda qual o escopo do projeto e inicie um trabalho de levantamento para mensurar o tempo e esforço para cada entrega;
  • A comunicação deve ser parte continua, pois tudo que for lançado deve ser informado antecipadamente, pois assim você poderá prevenir reclamações ou impactos;
  • Crie uma tabela RACI;
  • Entenda o dia a dia da equipe que irá utilizar o cofre, pois o Modus Operandi será alterado e se possível, faça entrevistas com pessoas chaves;
  • Novos processos serão criados, tenha parceiros nas áreas para te ajudar na análise e na construção;
  • Entenda os processos das empresas e quem são os owners para cada sistema.
  • Verifique os níveis necessários de permissão para o funcionamento da solução. Nunca use a mais e nem a menos, pois terá problemas nos dois cenários, mantenha o princípio least privilege vivo.
  • Sempre procure saber quantas versões existem e quais são as melhorias propostas para update da solução PAM;
  • Sempre tenha um ambiente de homologação idêntico ao de produção, isso te livrará de apuros;
  • Caso não exista, crie uma política para suportar a solução;
  • Entenda com a equipe de CN o tempo de RTO e RPO dos sistemas internos para um DR, pois com o cofre, isso poderá ser alterado;
  • Crie sua arquitetura para suportar um crescimento lateral e vertical, considerando as possíveis tecnologias da empresa;
  • Verifique se sua empresa possui GPO ou Hardening que possa ser alterado com a implementação do PAM;
  • Caso sua empresa trabalhe com o modelo Ágil, importante verificar se o PAM atende através de alguma solução mobile para otimizar as aprovações e ou processos;
  • Todo projeto deve ter um apoio top-down, pois assim você terá apoio financeiro e apoio estratégico;
  • Verifique se já existem pontos de auditoria abertos onde com o PAM possam ser atendidos, assim você já terá um ponto de partida.
  • Se preocupe com a equipe de operação do PAM, esta deve ter manuais para tocar o dia a dia;
  • A Topologia deve conter todas as informações de conexões para facilitar o entendimento do fluxo de dados;
  • Realize um penteste na solução para identificar possíveis gaps que comprometa sua ferramenta que deve ser segura;
  • Caso a solução seja por appliance, levante todos os formatos de monitoramento, que normalmente são por agente e neste modelo, não podem ser instalados;
  • Verifique se o PAM tem compatibilidade com o antivírus, muitas vezes soluções por appliance não permitem qualquer instalação;
  • Esteja alinhado com a equipe de Segurança, Infra e/ou governança, pois normalmente projetos PAM são estruturantes, ou seja, muda cultura e ou modus operandi;
  • Alinhe com a equipe de controle acessos o processo de liberação ao cofre, pode ser que exista algum SOD ou RBAC base para direcionar essa frente;
  • Verifique as políticas de troca de senha da empresa;
  • Entenda o funcionamento das soluções que terão integração com o cofre;
  • Verifique os horários de trabalho das equipes, pode ser que os Jobs do cofre tenham que ser personalizados para não causar indisponibilidades;
  • O PAM cria padrões e a padronização causa desconforto em algumas pessoas, sendo assim, tome conhecimento dos benefícios do projeto e a importância para a sobrevivência do negócio, você precisa defender com unhas e dentes;
  • Caso o PAM seja compatível com VM (máquina virtual), verifique se está já disponibiliza um processo de DR que não traz impactos com a solução do cofre;
  • O PAM normalmente em um processo de DR deverá ser um dos primeiros a ser habilitado, certifique-se que ele atenderá esses requisitos;
  • Verifique se o PAM possui integração com um IDM/IAM, assim você poderá criar um processo end to end para gestão de acessos privilegiado, passando por aprovações possibilitando futuras consultas de auditoria ou apoio na análise de incidentes;
  • Verifique se sua solução disponibiliza uma API para gestão de contas de serviços, possibilitando a troca automática destas senhas;
  • Se for possível, entenda quais são as tecnologias dos sistemas de sua empresa, e verifique quantos tem senhas hardcode (incorporada) e que podem ser integradas com o cofre para administração destas contas;
  • Levantar e verificar se os sistemas da empresa se comunicam com protocolo LDAP, pois caso tenha que gerenciar contas locais, você terá um grande trabalho;
  • Verifique a quantidade de assets que sua empresa tem;
  • Verifique se a solução PAM atende as contas built-in (root, SA, Adminitrator…)
  • No processo de clonagem ou restore de máquinas, atente-se ao flow, o PAM fará parte por realizar a gestão das senhas;
  • No processo de Discovery, verifique o time para identificar um novo assets, lembre-se que o processo deve ser automatizado, pois se não você será refém do cofre.
  • Verifique se a solução é customizável para perfis, pois muitas vezes apenas o perfil administrativo tem possibilidades de ações que as equipes de operações precisam ter;
  • Considere os acessos de VPN site to site ou cliente to site, pode ser que algumas regras sejam estabelecidas;
  • Verifique como o PAM entrega a sessão ao destino;
  • Considere todos os cenários de DR, considere a indisponibilidade total do cofre, como será a retomada dos ambientes;
  • Verifique se a solução possui bloqueio de comandos;
  • Verifique se solução consegue diferenciar senhas de comandos, pois pode ser que ela grave estas senhas;

Conclusão

Escrevemos neste artigo “Cofre de Senhas – Sugestões para uma implementação bem sucedida” acreditando que possa estimulada algumas ideias para ajudar nesse processo, mas sabemos que existem inúmeros outros pontos que devem ser considerados para o projeto de cofre de senhas, por isto não esgotamos aqui o assunto e deixamos para o leitor a refelexão sobre os pontos levantados.

O Cofre de Senhas tem mudado nos últimos anos, acompanhado da evolução digital, certifique que a empresa contrata também tenha isso no radar.

Ultimamente grandes empresas têm feito fusões para acompanhar essa evolução, atente-se se o fornecedor de solução de cofre, não está participado deste processo, pois tudo pode vir por água abaixo, caso essa empresa não queira continuar com essa frente.

Por fim, acredite e vá em frente, sem dúvidas ele agregara valor enorme a empresa e possibilitará alavancar os negócios.

Por:  Gustavo Gomes Filgueira
FONTE: Minuto da Segurança

POSTS RELACIONADOS