Para reforçar a segurança digital, Riachuelo implanta governança da identidade

0

O Grupo Guararapes, dono da varejista Riachuelo, colocou em operação um projeto de governança da identidade em sua estrutura de negócios abrangendo a administração de cerca de 38 mil credenciais de colaboradores fixos. A nova política atinge também a mão de obra temporária e a dos parceiros operacionais das empresas do grupo.

A iniciativa faz parte do Plano Diretor de TI, iniciado em 2019. Ela foi conduzida pela equipe de segurança do grupo com apoio e consultoria da Netbr empregando tecnologia de IGA (Identity Governance and Administration) da fabricante global SailPoint.

Com a nova arquitetura de identidade, as empresas do Grupo Guararapes conseguem aumentar a segurança das aplicações e, ao mesmo temo, agilizar o acesso a dados e ferramentas de negócio, favorecendo a jornada do trabalhador.

A plataforma viabiliza a automação de uma série de rotinas de criação, mudança e descontinuidade de credenciais de colaboradores. O Head of Cybersecurity da empresa, Rodrigo Godoi, destaca que a Governança permitiu a criação de kits rápidos para processos de onboarding e offboarding de recursos humanos, propiciando a concessão automática de licenças para algumas aplicações de trabalho.

"Com os kits padronizados, a espera de um colaborador para ter suas credenciais e obter acesso aos recursos da rede agora é feita em alguns minutos. Em média, este prazo é inferior em quatro dias aos exigidos anteriormente para a integração de um usuário, assinala Godoi.

Eliminando senhas órfãs

Antes de implantar a plataforma SailPoint, a equipe de segurança e a Netbr mapearam elementos que poderiam ser aperfeiçoados na área da identidade ou com potencial de comprometer o desempenho e dificultar o atendimento às novas demandas de compliance e auditoria.

De acordo com Gilberto Lima, Gerente de Segurança da Informação da Riachuelo, a geração de senhas de acesso para colaboradores internos ou terceirizados era um desses pontos que precisavam de melhorias. Descobriu-se também que número de credenciais com privilégio já ultrapassava três mil e tendia a crescer rapidamente, o que apontava para a necessidade de medidas de contenção.

"Nesse caso, a prioridade era disciplinar a geração de contas com chaves de acesso e acabar com centenas de senhas órfãs ou credenciais que persistiam ativas, mesmo após o desligamento do trabalhador", prossegue o gerente. O projeto visou também a uma redução drástica dos privilégios permanentes, dando preferência a licenças de acesso de vida curta e só concedidas em função da necessidade real e pontual do trabalho a ser executado.

Rodrigo Godoi assinala que, de cada dois mil colaboradores desligados do Grupo, cerca de 200 senhas, chaves ou aplicações SaaS relacionados a tais identidades continuavam esquecidas no ambiente. Isto aumentava a vulnerabilidade e contribuía para a expansão da área escura da rede ("shadow IT").

Com a implantação da metodologia IGA, os processos de credenciamento e atribuição de licenças passaram a se submeter a políticas alinhadas com o modelo de administração de ciclo de vida JML (Joint-Mover-Leaver). Este modelo é especialmente favorável à gestão de RH flutuante, como a aplicada cerca de 330 lojas e á estrutura de e-commerce da Riachuelo, que são operações marcadas pelos picos sazonais do varejo.

"O princípio fundamental do projeto é tornar mais simples a vida das pessoas que trabalham para o negócio e garantir que isto se reflita na melhor experiência do cliente", completa Godoi.

Open Banking e Compliance na mira

O Grupo Guararapes é um dos maiores conglomerados brasileiros, com uma operação atualmente englobando a rede varejista Riachuelo (com lojas físicas e um dos maiores marketplaces nacionais); duas fábricas, em Natal e em Fortaleza; a Midway Financeira; três centros de distribuição (CDs), em Guarulhos, Natal e Manaus; um Contact Center; a Transportadora Casa Verde; o shopping Midway Mall, também no Rio Grande do Norte; e dois teatros Riachuelo, na capital potiguar e no Rio de Janeiro.

Nos últimos anos, o Grupo vem fortalecendo a sua operação de crédito ao consumidor, com a conta digital da financeira Midway, um negócio para o qual aplicação de IGA é condição para a digitalização e conformidade com exigências do Open Banking.

Depois de consolidada a implantação da governança da identidade, o Guararapes planeja a implantação de portais de autosserviço para a gestão de credenciais da forma mais automática e segura possível. Ainda de acordo com Godoi, a equipe de segurança observa, a cada passo, os novos princípios normativos, como LGPD ou KyC (Know your Client) e os mandamentos de estratégia de segurança baseados no conceito "Zero Trust".

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.