Gerenciamento do acesso e da segurança de usuários em uma empresa em rápida expansão
A Box é a principal fornecedora de soluções inteligentes de gerenciamento de conteúdo que reúnem pessoas do mundo inteiro para fazer um trabalho incrível. Sua plataforma na nuvem usa a Box AI para ajudar as empresas a aproveitar dados não estruturados, desde materiais de marketing até demonstrações financeiras, com o objetivo de produzir insights e automatizar tarefas de forma inteligente. À medida que a empresa evoluiu ao longo dos anos, suas necessidades de segurança e seu ambiente de TI também evoluíram. Em 2012, a Box usava diferentes plataformas para gerenciar a conformidade regulatória complexa e os padrões do setor, bem como para proteger os dados de todos os seus apps.
As identidades da Box estavam segregadas em várias soluções, resultando em provisionamento e conformidade inconsistentes. Antes, a equipe de TI da empresa gerenciava a identidade manualmente por meio de scripts personalizados, mas esse processo era ineficiente e custava milhares de horas que eram gastas em administração e desenvolvimento.
Para a Box, a identidade garante que o conteúdo flua livremente para clientes e funcionários, mas permaneça protegido contra acesso não autorizado, o que tem um papel fundamental em sua estratégia de segurança. Mark Schooley, diretor sênior de operações e engenharia de TI, explica: “Além de ser seguro em todos os aplicativos, o acesso também precisa ser escalável em uma empresa que está crescendo rapidamente”. A Box precisava de um parceiro que pudesse acompanhar o crescimento dos negócios e unificar o gerenciamento de identidade para apoiar a missão da empresa no futuro. Assim, a Box escolheu a Okta, iniciando uma parceria confiável que já dura mais de 13 anos.
Unificando o gerenciamento de identidade e simplificando os fluxos de trabalho de TI
No início da parceria, a Okta ajudou a Box a eliminar silos em mais de 150 apps de negócios e a unificar sua infraestrutura de identidade. A Box adotou o Okta Workforce Identity, que permitiu construir uma base sólida de gerenciamento de identidade e segurança. Com o Universal Directory, a Box gerencia várias fontes de identidade, incluindo sua plataforma de RH, o Workday, em um único local. “É uma grande economia de tempo. O Universal Directory nos dá flexibilidade para usar os atributos que queremos e estabelecer uma fonte da verdade única para o gerenciamento de identidades”, afirma Schooley. Com uma fonte da verdade única, a alocação de atributos, tarefas e permissões se tornou um processo contínuo. Além disso, a equipe agora pode integrar novos aplicativos à Okta em apenas 15 a 20 minutos, uma tarefa que costumava levar dias.
Com uma identidade unificada, os funcionários da Box agora podem acessar os principais aplicativos de forma rápida e segura por meio do login único (SSO). O SSO garante o acesso aos apps de negócios da Box, além de aumentar a produtividade do usuário com um processo de login sem interrupções. Se um usuário esquecer da senha de SSO, poderá usar o fluxo de redefinição de senha por autoatendimento da Okta, que permite gerenciar o acesso fora do trabalho e sem suporte da TI.
Para aumentar ainda mais a produtividade da equipe, a Box também aproveita a automação em seus fluxos de trabalho de identidade. Com a introdução do Okta Workflows, uma ferramenta de automação de identidade no-code, a Box conseguiu aprimorar sua equipe de TI e economizar tempo. “O Workflows torna os scripts personalizados acessíveis. Em vez de passar dias aprendendo a escrever scripts, agora os membros da equipe podem criar automação em minutos”, explica Schooley. O Workflows economizou milhares de horas anuais para a equipe graças às automações, incluindo tickets de suporte de contas e senhas. “Conforme adicionamos mais funcionários à organização, a economia de tempo e dinheiro gastos com a automação só aumenta”, disse ele.
Uma base de identidade segura e testada por uma superfície de ataque em evolução
Com o gerenciamento unificado de acesso à identidade, a Box resolveu seus desafios iniciais de identidade e ganhou um parceiro de identidade de longo prazo na Okta. No entanto, à medida que a Box continuou a se expandir, sua superfície de ataque também cresceu.
“Com o aumento do trabalho remoto, os invasores começaram a explorar caminhos para contornar as proteções de segurança tradicionais e obter acesso aos dados sensíveis das empresas diretamente nos dispositivos da força de trabalho”, explica Akhila Nama, diretora de segurança corporativa. “Os invasores começaram a explorar com mais frequência dos privilégios permanentes de administrador local para obter acesso a dados críticos.” O gerenciamento dessas ameaças exigia que a equipe de TI dedicasse centenas de horas às análises manuais e propensas a erros do registro de acesso dos usuários. “Quanto mais tempo for necessário para identificar e revogar o acesso não autorizado, maior o risco”, explica Nama. Ao mesmo tempo, remover todo o acesso de administrador não era uma opção.
A Box queria reconhecer os riscos em potencial, abordá-los rapidamente e garantir que fossem mitigados sem prejudicar a experiência do usuário. Ela buscava uma solução de governança de identidade e recorreu à sua parceira de longa data: a Okta. “A Okta já tinha a solução de que precisávamos com o Okta Identity Governance (OIG). Continuar com ela foi uma grande vitória para nós”, diz Nama.
Simplificação da governança e a automação de identidade com um parceiro confiável
A governança de identidade centralizada e o gerenciamento de acesso unificado oferecidos pelo OIG permitiram que a Box encontrasse um meio termo entre acesso permanente do administrador local e a eliminação completa do acesso de administrador. A Box substituiu os privilégios permanentes de administrador por uma estrutura dinâmica, que fornece permissões elevadas somente quando necessário, impondo privilégios permanentes zero por meio de solicitações e certificações de acesso automatizadas e específicas.
A equipe de TI levou os princípios do privilégio permanente zero aos dispositivos de usuários finais, permitindo que funcionários da Box solicitassem privilégios administrativos temporários. A Box integrou a Okta e seu app de gerenciamento de dispositivos, o Kandji, para mitigar as vulnerabilidades de segurança e, ao mesmo tempo, oferecer acesso administrativo com limite de tempo aos usuários. “Demos ao usuário final a opção de obter acesso de administrador por apenas uma hora, um dia ou até uma semana”, relata Nama. “Criamos proteções suficientes para que solicitações suspeitas de administradores disparem um tíquete, alertando os gerentes de TI no Slack e no Jira em caso de incidente.” Isso aumenta a segurança e minimiza o atrito para os usuários, pois as solicitações de acesso por autoatendimento trazem maior conveniência e flexibilidade, enquanto a equipe de TI mantém a capacidade de gerenciar e revogar privilégios de forma fácil.
Além disso, a Box garantiu o gerenciamento de acesso e desligamento por meio de iniciativas periódicas de governança. O OIG permite que a equipe de TI veja facilmente quem tem acesso a dados confidenciais a qualquer momento. Para verificar se uma conta ainda precisa acessar aplicativos essenciais, a Box usa campanhas de certificação de acesso a fim de validar as permissões e revogar o acesso conforme necessário. Essas campanhas acontecem em intervalos definidos e se intensificam graças a desafios de MFA com aumento de nível iniciados por gatilhos comportamentais gerais (por exemplo, se um usuário fizer login de um local suspeito).
Combinando solicitações de acesso e certificações via OIG e Workflows, a Box concede acesso temporário de administrador aos usuários somente quando necessário. Essa estratégia permite eliminar os privilégios permanentes, fortalecendo a postura de segurança sem prejudicar a produtividade.
Centralização do gerenciamento de identidade para acelerar os tempos de resposta a ameaças
Com a Okta, a Box unificou sua infraestrutura de identidade, otimizou os fluxos de trabalho de TI e implementou iniciativas de governança para impor privilégios permanentes zero. Agora, a Box gerencia o acesso automatizando as solicitações de acesso e os processos de certificação, ao mesmo tempo que fornece uma experiência de identidade consistente e simples aos usuários finais. Integrando o OIG em seu ecossistema de identidade maior, a Box concedeu acesso de administrador local com limite de tempo aos usuários e diminuiu sua superfície de ataque ao eliminar os privilégios permanentes, limitando possíveis pontos de acesso.
No futuro, a Box planeja ampliar sua estratégia de identidade concentrando-se no gerenciamento de acesso privilegiado e aplicando ainda mais o privilégio permanente zero em todos os aplicativos. Nama explica: “Nos próximos dois anos, as credenciais just-in-time contribuirão para nosso futuro sem senha. Acredito que esse é o nosso próximo destino na jornada de identidade.”
Sobre a Box
A Box (NYSE: BOX) é líder em gerenciamento inteligente de conteúdo. Sua plataforma Box permite que as organizações estimulem a colaboração, gerenciem todo o ciclo de vida do conteúdo, protejam o conteúdo crítico e transformem os fluxos de trabalho de negócios com a IA corporativa. Hoje, a Box atende 115 mil empresas e 67% das empresas da Fortune 500. Conforme o trabalho continua evoluindo, a empresa segue focada em oferecer inovação para organizações no mundo inteiro e em superar as expectativas dos clientes todos os dias.
