A Cabesp (Caixa Beneficente dos Funcionários do Banespa) uma administradora de planos de saúde com mais de 91 mil clientes e com quase 50 anos de operação, está utilizando o conceito de Gerenciamento de Acesso Privilegiado (PAM, no acrônimo em inglês) para aumentar os níveis de segurança de seu acervo de informações e transações críticas de dados, e para mitigar o risco de uso indevido de senhas com status de administrador na sua estrutura de TI.
A tecnologia empregada é da BeyondTrust, empresa global cujo escritório brasileiro ofereceu apoio crítico à equipe de segurança de TI da Cabesp ao longo de todo o ciclo de avaliação, projeto e implantação do gerenciamento inteligente de acesso.
De acordo com Anderson Elias Mendes, responsável por segurança da Informação da Cabesp, a decisão de partir para o modelo de gestão de privilégios reflete uma nova visão, segundo a qual a segurança cibernética deve sair de um patamar reativo e adotar o protagonismo de ação como princípio estratégico.
Antes de definir em detalhes a sua arquitetura de gerenciamento de privilégios, os técnicos da Cabesp realizaram avaliações das principais plataformas de PAM disponíveis no mercado mundial e optaram por implantar a suíte PowerBroker Privileged Access Management, oferecida pela BeyondTrust. Esta plataforma inclui recursos integrados para gerenciamento de senhas e de acessos privilegiados a servidores, bem como para a restrição de privilégios mínimos nos “endpoints”.
Com a solução da BeyondTrust, a Cabesp conseguiu automatizar os processos de proteção das senhas privilegiadas, eliminando a intervenção manual nesse tipo de processo crítico. Assim, a definição e uso de senhas abandonou os aspectos subjetivos e passou a seguir um padrão compatível com normas de conformidade e regras determinadas pela política de segurança.
Ao invés de criar e decorar sua senha, o usuário privilegiado necessita apenas ter a sua identidade aferida a cada sessão de acesso, obtendo de forma automática uma senha de uso temporário que é trocada após a utilização. Com isto, fica abolida também a necessidade física de um gestor de segurança para o provisionamento (e, o que é muito importante, para o desprovisionamento) das credenciais quando estas já não são necessárias.
De acordo com o Data Breach Investigations Report 2016, desenvolvido pela Verizon, 66% das violações de dados em ambientes de negócio decorrem do uso indevido de senhas legitimamente criadas e concedidas a funcionários ou colaboradores terceirizados. Na avaliação de Fabricio Simão, country manager da BeyondTrust Brasil, “esse tipo de estatística está levando as grandes e médias empresas a considerar cada vez mais a necessidade de investimento em Gestão de Privilégios, não só para evitar prejuízos, mas também para atender às exigências de normas como os novos códigos de proteção a dados de terceiros”.
Com a plataforma da BeyondTrust, a Cabesp consegue monitorar todo o ciclo de acessos privilegiados e obter relatórios imediatos sobre a utilização destes acessos. “O PowerBroker Password Safe, nos permite ver claramente quem usou uma conta privilegiada e quando ela foi usada. Temos ainda os recursos de gravação de sessão que viabilizam a rápida identificação e correção de erros de configuração”, continua Anderson Elias Mendes.
A plataforma PowerBroker Password Safe permitiu a implantação do modelo de PAM numa jornada de apenas três dias, e em uma semana já estava em funcionamento. Segundo Anderson Elias, a solução aderiu-se com facilidade às premissas dos sistemas existentes e dispensou a Cabesp de ter de modificar sua infraestrutura, tal como era exigido por outras soluções avaliadas.
Após ampliar os níveis de segurança e mitigação do risco via automação do gerenciamento de privilégios, a equipe de segurança da Cabesp estuda complementar a solução BeyondTrust com a integração da solução Retina, uma plataforma de gestão de vulnerabilidades que automatiza a identificação e correção de vulnerabilidades antes de sua exploração (isto é, de forma proativa), que está na base da estratégia de segurança da Cabesp.
De acordo com Jarrett Benavidez, vice-presidente da BeyondTrust para a América Latina, a implantação rápida e econômica da estrutura de gerenciamento do acesso privilegiado na Cabesp é uma demonstração do quão acessível esta tecnologia é para empresas de médio e pequeno porte. “A Cabesp é um exemplo de empresa que lida com dados altamente críticos de terceiros e que precisa balancear a necessidade de restringir os custos de TI com as exigências de atingir um patamar de controle de risco compatível com o das grandes empresas globais”, analisa Jarrett.