Cofre de Senhas – Sugestões para uma implementação bem sucedida

Cofre de Senhas – Sugestões para uma implementação bem sucedida. Brainstorming de apoio para uma implementação bem-feita e agregar valor ao negócio.

Nos últimos meses, tenho vivenciado a implantação de mais um projeto de cofre de senhas e durante este período, pude observar quantos detalhes foram surgindo no decorrer das implementações tanto de funcionalidades quanto de processos. Mediante ao descrito, resolvi compartilhar algumas questões e recomendações/sugestões sobre este aprendizado, mesmo considerando que cada empresa terá suas particularidades, eles podem ajudar a mapear pontos importantes e auxiliar na implementação sem que ocorra muitos imprevistos e ou impactos.

O intuito deste artigo não é discutir as soluções de mercado ou o cofre de senhas mediante ao atual cenário de proteção de dados pessoais (LGPD) e ou falar termos técnicos, mas sim ajudar a realizar um brainstorming de apoio para uma implementação bem-feita e agregar valor ao negócio.

Abaixo compartilho, separados por Questionamentos e Sugestões, pontos que podem ser considerados para a implementação de um projeto de cofre de senhas, que também é conhecido por PAM (Privileged Access Management).

Vou mencionar o cofre de senhas como PAM;

Questionamentos

A solução PAM possui funcionalidades que atendem as necessidades do negócio de sua empresa?
O PAM faz parte de um PDS (Plano Diretor de Segurança)? Se sim, considere o item anterior.
O PAM está disponível para qual plataforma: On-Premisses, Cloud ou SaaS?
Nas plataformas citadas, todas possuem as mesmas funcionalidades?
O PAM é Appliance ou Software?
O PAM suporta máquina virtual?
Qual o modelo de licenciamento?
A solução é nacional ou internacional?
Como funciona o suporte do fornecedor? É período comercial ou integral?
O PAM viabiliza Alta Disponibilidade (HA) ou FailOver? Qual a média de RTO?
O PAM possibilita Load Balance?
Caso você não siga as recomendações do fornecedor, você perdera a garantia de suporte da solução?
Quais são os requisitos de instalação? S.O, ROM, RAM, Processador, BD e Versões?
O banco de dados é stand-alone ou pode ser externalizado?
Quais são os algoritmos de criptografia suportado pela solução para proteção das senhas?
O PAM é compatível com todos os navegadores?
O PAM possui várias consultorias para apoio na implementação e ou suporte?
O PAM possibilita integração com outros utilitários? Ex.: mRemote
Essas consultorias possuem especialistas com certificações na solução e ou experiência na implementação?
Existe algum case de sucesso da solução que pode ser compartilhado pela consultoria que irá prestar o suporte?

Sugestões

O PAM é um projeto estruturante, deve ser planejado e faseado em ondas para seu sucesso;
Entenda os gaps que sua empresa tem e se de fato um PAM irá ajuda-lo;
Entenda qual o escopo do projeto e inicie um trabalho de levantamento para mensurar o tempo e esforço para cada entrega;
A comunicação deve ser parte continua, pois tudo que for lançado deve ser informado antecipadamente, pois assim você poderá prevenir reclamações ou impactos;
Crie uma tabela RACI;
Entenda o dia a dia da equipe que irá utilizar o cofre, pois o Modus Operandi será alterado e se possível, faça entrevistas com pessoas chaves;
Novos processos serão criados, tenha parceiros nas áreas para te ajudar na análise e na construção;
Entenda os processos das empresas e quem são os owners para cada sistema.
Verifique os níveis necessários de permissão para o funcionamento da solução. Nunca use a mais e nem a menos, pois terá problemas nos dois cenários, mantenha o princípio least privilege vivo.
Sempre procure saber quantas versões existem e quais são as melhorias propostas para update da solução PAM;
Sempre tenha um ambiente de homologação idêntico ao de produção, isso te livrará de apuros;
Caso não exista, crie uma política para suportar a solução;
Entenda com a equipe de CN o tempo de RTO e RPO dos sistemas internos para um DR, pois com o cofre, isso poderá ser alterado;
Crie sua arquitetura para suportar um crescimento lateral e vertical, considerando as possíveis tecnologias da empresa;
Verifique se sua empresa possui GPO ou Hardening que possa ser alterado com a implementação do PAM;
Caso sua empresa trabalhe com o modelo Ágil, importante verificar se o PAM atende através de alguma solução mobile para otimizar as aprovações e ou processos;
Todo projeto deve ter um apoio top-down, pois assim você terá apoio financeiro e apoio estratégico;
Verifique se já existem pontos de auditoria abertos onde com o PAM possam ser atendidos, assim você já terá um ponto de partida.
Se preocupe com a equipe de operação do PAM, esta deve ter manuais para tocar o dia a dia;
A Topologia deve conter todas as informações de conexões para facilitar o entendimento do fluxo de dados;
Realize um penteste na solução para identificar possíveis gaps que comprometa sua ferramenta que deve ser segura;
Caso a solução seja por appliance, levante todos os formatos de monitoramento, que normalmente são por agente e neste modelo, não podem ser instalados;
Verifique se o PAM tem compatibilidade com o antivírus, muitas vezes soluções por appliance não permitem qualquer instalação;
Esteja alinhado com a equipe de Segurança, Infra e/ou governança, pois normalmente projetos PAM são estruturantes, ou seja, muda cultura e ou modus operandi;
Alinhe com a equipe de controle acessos o processo de liberação ao cofre, pode ser que exista algum SOD ou RBAC base para direcionar essa frente;
Verifique as políticas de troca de senha da empresa;
Entenda o funcionamento das soluções que terão integração com o cofre;
Verifique os horários de trabalho das equipes, pode ser que os Jobs do cofre tenham que ser personalizados para não causar indisponibilidades;
O PAM cria padrões e a padronização causa desconforto em algumas pessoas, sendo assim, tome conhecimento dos benefícios do projeto e a importância para a sobrevivência do negócio, você precisa defender com unhas e dentes;
Caso o PAM seja compatível com VM (máquina virtual), verifique se está já disponibiliza um processo de DR que não traz impactos com a solução do cofre;
O PAM normalmente em um processo de DR deverá ser um dos primeiros a ser habilitado, certifique-se que ele atenderá esses requisitos;
Verifique se o PAM possui integração com um IDM/IAM, assim você poderá criar um processo end to end para gestão de acessos privilegiado, passando por aprovações possibilitando futuras consultas de auditoria ou apoio na análise de incidentes;
Verifique se sua solução disponibiliza uma API para gestão de contas de serviços, possibilitando a troca automática destas senhas;
Se for possível, entenda quais são as tecnologias dos sistemas de sua empresa, e verifique quantos tem senhas hardcode (incorporada) e que podem ser integradas com o cofre para administração destas contas;
Levantar e verificar se os sistemas da empresa se comunicam com protocolo LDAP, pois caso tenha que gerenciar contas locais, você terá um grande trabalho;
Verifique a quantidade de assets que sua empresa tem;
Verifique se a solução PAM atende as contas built-in (root, SA, Adminitrator…)
No processo de clonagem ou restore de máquinas, atente-se ao flow, o PAM fará parte por realizar a gestão das senhas;
No processo de Discovery, verifique o time para identificar um novo assets, lembre-se que o processo deve ser automatizado, pois se não você será refém do cofre.
Verifique se a solução é customizável para perfis, pois muitas vezes apenas o perfil administrativo tem possibilidades de ações que as equipes de operações precisam ter;
Considere os acessos de VPN site to site ou cliente to site, pode ser que algumas regras sejam estabelecidas;
Verifique como o PAM entrega a sessão ao destino;
Considere todos os cenários de DR, considere a indisponibilidade total do cofre, como será a retomada dos ambientes;
Verifique se a solução possui bloqueio de comandos;
Verifique se solução consegue diferenciar senhas de comandos, pois pode ser que ela grave estas senhas;

Conclusão

Escrevemos neste artigo “Cofre de Senhas – Sugestões para uma implementação bem sucedida” acreditando que possa estimulada algumas ideias para ajudar nesse processo, mas sabemos que existem inúmeros outros pontos que devem ser considerados para o projeto de cofre de senhas, por isto não esgotamos aqui o assunto e deixamos para o leitor a refelexão sobre os pontos levantados.

O Cofre de Senhas tem mudado nos últimos anos, acompanhado da evolução digital, certifique que a empresa contrata também tenha isso no radar.

Ultimamente grandes empresas têm feito fusões para acompanhar essa evolução, atente-se se o fornecedor de solução de cofre, não está participado deste processo, pois tudo pode vir por água abaixo, caso essa empresa não queira continuar com essa frente.

Por fim, acredite e vá em frente, sem dúvidas ele agregara valor enorme a empresa e possibilitará alavancar os negócios.

Por:  Gustavo Gomes Filgueira - MBA, Security+, ISFS 27002

Veja também: