Apresentação feita por Marcus Scharra e Nelson Uliana no Mind the Sec São Paulo 2017.

1. Cofre de senhas
Como diminuir resistências engajando
gestores e usuários no seu projeto
Marcus Scharra Nelson Uliana
marcus@mt4.com.br nelsonuliana@senhasegura.com.br
São Paulo, Setembro de 2017

2. +90%
Implantações PAM
com resistências ou inseguranças expressivas

3. Objetivo
Compartilhar o aprendizado
sobre implantações de soluções PAM

4. PAM 360º
Avaliação 360º do
nível de maturidade de
gestão de acesso privilegiado
sob ótica de
negócio, processos e legal.

5. Solução PAM
Usuário e
Aplicação
privilegiados
Sistemas
alvo
Solução
PAM
<app/>
+

6. Funções PAM
1. Armazenamento seguro de senhas
2. Rotação automática de senhas
3. Proxy e Gravação de Acessos

7. Posicionamento
1. Não é uma solução de Perímetro
2. Solução para monitoramento de usuários e
aplicações autorizadas e confiáveis dentro
de casa
3. Solução nova (Desconhecida)

8. ATORES E PERCEPÇÕES

9. ATORES PAM
GESTORES
ADMINS (OPS)DEVS SEGURANÇA
EXECUTIVOS

10. PERCEPÇÃO PAM SEC
1. Mitigação de Riscos
2. Atendimento Regulatório
3. Proteção da sua função
Ele vê os motivos

11. PERCEPÇÃO PAM ADMINS
1. Desconhecimento da solução
2. Burocracia de Acesso
3. Perda de Poder
4. Aumento de Risco (Indisponibilidade)

12. PERCEPÇÃO PAM DEVS
1. Desconhecimento da solução
2. Novo modelo de desenvolvimento
3. Perda de Poder
4. Aumento de Risco (Indisponibilidade)

13. PERCEPÇÃO PAM GESTORES
De segurança
1. Percebem a importância
2. Mitigação de Riscos e Regulamentação
3. Risco de Indisponibilidade
4. Impacto nas Equipes
De outras áreas
1. Risco de Impacto pois são cobrados por
indisponibilidade e entregas

14. PERCEPÇÃO PAM EXECUTIVOS
1. Custo
2. ROI
3. Compliance
4. Mitigação de Risco
5. Impacto de indisponibilidade

15. BREAFINGS de SEGURANÇA
Frequência de cybersecurity breafings
28% Nunca
26% 1 Vez/ano
16% até 3 vezes ao ano
30% 4 vez/ano
Pesquisa da PwC, US-State Of CyberCrime

16. ENTENDIMENTO EXECUTIVO
Os relatórios são muito técnicos ?
54% SIM
42% Neutro
4% Não
BayDynamics / Osterman Research 2016

17. COMITÊS DE RISCOS
 Mercado
 Regulatório
 Liquidez
 CyberSecurity - Digital Risk (NOVO)
Temos que educar...

18. Engajamento

19. SESSÕES DE ENGAJAMENTO
1. Informar
2. Envolver
3. Ouvir
4. Esclarecer
Em 45 min...

20. INFORMAR
1. Apresentar o projeto
2. Pessoalmente sempre que possível
3. Apresentar os motivadores e Benefícios
4. Postura aberta

21. ENVOLVER
1. O que você acha ?
2. Ajuda em que ponto ?
3. Atrapalha em que ponto ?
4. Acha que devemos implantar ?
5. Se não, porque ?

22. OUVIR
1. Ouça todas as críticas sem julgamento
2. Identifique as preocupações uma a uma
3. Tenha certeza que entendeu cada ponto

23. ESCLARECER
1. Esclareça ponto por ponto maneira objetiva

24. IMPLANTAÇÃO
1. Adote a estratégia correta
2. Faça da sua implantação um plano de negócio
3. Atender as prioridades de negócio sem planos
impossíveis
4. Faça por partes
5. Comecei com equipes mais receptivas
6. Colecione resultados positivos
7. Amadureça a solução e o time

25. PÓS IMPLANTAÇÃO
1. Esteja perto dos usuários
2. Em especial dos usuários mais resistentes
3. Haja rápido para conter resistências
4. Avalie os resultados

26. MELHORES RESULTADOS EM
SEGURANÇA
O que fazem as empresas com os melhores resultados ?
1. Alinhamento executivo
2. Políticas Claras e definidas e aplicadas
3. Classificação de importância de Dados
Protivity, It Security and Private Survey, 2015

27. NÃO É SOBRE TECNOLOGIA
É sobre gestão
1. Liderança
2. Gerenciamento
3. Missão clara
TEMOS QUE NOS CAPACITAR, PRECISAMOS DE OUTRAS
COMPETÊNCIAS PARA SENTAR À MESA.

28. PROTAGONISMO DE
SEGURANÇA
1. Vivemos um momento ímpar
2. Os grandes ataques como Snowden, Target, Sony,
APM aconteceram há 4 anos
3. Até sua vó está falando de Cybersegurança
4. A desruptura tecnológica está no começo
5. A infraestrutura vai ficar cada vez mais complexa
(IOT)
6. Ataques cibernéticos não são mais roubos de cartão
de crédito
7. Temos uma bela oportunidade de assumir uma
liderança fundamental para os negócios

29. CONSIDERAÇÕES
1. A implantação de um cofre de senhas tem aspectos
particulares e desafios humanos
2. O processo de comunicação é fundamental com os
superiores e pares para ter sucesso
3. Coloque-se no lugar de cada participante
4. Engaje os participantes desde o começo. O Retorno
virá em tempo e reconhecimento.
5. Não se trata de tecnologia mas de liderança

30. +70%
das pessoas resistêntes
se tornam favorárveis com
1 hora de sessão de engajamento

31. CONCLUSÃO
1. Capacite-se para liderar
2. Lidere
3. Engaje seus pares e líderes
4. Proteja a sua companhia