Durante Estudo de Caso apresentado no Congresso Security Leaders em Porto Alegre, Rodrigo Hammer detalhou a aplicação de MFA junto aos funcionários, com objetivo de reduzir riscos de acessos não autorizados
“Zero Trust não é uma tecnologia e sim um conceito baseado nos pilares de identidade, dispositivos, aplicações, rede e dados. Portanto, não é um processo com começo, meio e fim bem definidos. Essa abordagem depende de uma ação constante para agregar cada vez mais usuários corporativos, sendo o MFA apenas um dos passos importantes”, explicou o Gerente de Segurança em TI da Unicred, Rodrigo Hammer, durante o Security Leaders Porto Alegre.
A proposta da instituição financeira estava centrada desde o início em reduzir o risco de acessos não autorizados. Além disso, pretendia-se que os funcionários da companhia pudessem ser mais conscientes diante de controles de governança mais rígidos. Por fim, o histórico de incidentes tanto da própria Unicred quanto do resto do mercado, alertou o board executivo para essa necessidade.
De acordo com o executivo, um dos pontos mais importantes foi orientar corretamente o alto comando da corporação sobre os melhores métodos de enfrentamento do desafio de gestão de identidades e proteção dos acessos. Sendo necessário orientá-los de que esse gerenciamento depende de outros fatores além da tecnologia.
As dificuldades relacionadas à gestão de acessos e controle de identidades são dois gargalos críticos para os CISOs, especialmente com o fluxo de usuários dentro dos sistemas digitais. Pensando nisso, o Congresso Security Leaders abrigou entre suas apresentações o case de sucesso da Unicred do Brasil com a solução Duo Security, da Cisco, visando aplicar proteções mais sólidas com Autenticações Multifator (MFA).
Durante esta jornada, os times de Segurança da Unicred ampliaram suas capacidades de comunicação e treinamento, de forma a convencer os colaboradores da importância dessa nova segurança. Isso também exigiu uma mudança de postura dos usuários em relação aos seus dispositivos móveis, bem como adequações da própria empresa a casos específicos, como os de pessoas sem um smartphone.
Ainda foi necessário analisar aspectos jurídicos para não tornar o acesso muito complexo e expandir seu uso a toda empresa. Por ser um ente cooperativo, cada um dos membros da confederação teve que promover sua própria implementação, demandando mais tempo de coordenação.
“O resultado foi uma recepção muito positiva por parte dos colaboradores. Geralmente nos dedicamos demais com atividades cujos resultados são de difícil percepção, mas esta foi uma ação de Segurança que todos puderam perceber. Mesmo o corpo executivo passou a atuar como case para disseminar o MFA nos outros departamentos e esse processo segue se expandindo”, afirmou Hammer.
Controles de acesso personalizados
A implementação do Duo também auxiliou a companhia em outras atividades-chave no aumento da aplicação de Zero Trust. Em especial, foi destacado o rollout faseado, tornando viável um avanço coordenado dos setores de negócio nos regramentos de MFA, segundo a maturidade de cada área. Com isso, os departamentos com Cibersegurança mais sólida podiam contar com mais aplicações liberadas.
A capacidade de integração da solução foi outro tópico fundamental. Uma vez que a Unicred conta com uma série de outros softwares de SI em sua infraestrutura, era necessário criar canais de comunicação de forma simples para uma defesa unificada, desde o cofre de senhas até o firewall, todos contando com autenticações multifator.
“Hoje temos a maior parte da empresa adaptada a níveis mais altos de gestão de acesso por MFA, centrada em recursos de tokenização offline e biometria. Os controles maiores sobre nossos funcionários e parceiros terceirizados também foi possível graças ao controle detalhado da rigidez de monitoramento”, finalizou Hammer.