Para a VLI, são necessários 8.000 quilômetros de ferrovia, 100 locomotivas, 6.700 vagões, oito terminais intermodais, quatro portos de embarque estrategicamente localizados, 8.000 funcionários e 1.000 contratados.
Por mais complexos que sejam a logística e o transporte, os desafios vão muito além de simplesmente mover produtos do Ponto A para o Ponto B.
Como proprietária e operadora de um sistema de logística integrada de trilhos, portos e terminais, a VLI deve atender a inúmeras regulamentações governamentais relacionadas à conformidade, segurança, proteção e outros fatores.
Para cumprir os regulamentos ferroviários estabelecidos pelo regulador nacional do setor de transporte terrestre do Brasil, a Agência Nacional de Transportes Terrestres (ANTT), a VLI deve demonstrar como gerencia com segurança seus trens e ferrovias. Além disso, em 2014, a empresa foi organizada como uma holding, um modelo de negócios que está sujeito a inúmeras leis e regulamentos de governança, além de algumas regras operacionais e de segurança que devem ser seguidas.
“Somos uma empresa com muitas regulamentações governamentais. No Brasil, as regulamentações portuárias exigem que tenhamos controles e processos específicos relacionados à segurança. No final, os regulamentos estão relacionados à tecnologia, então o gerenciamento de identidade é importante para mim.”
Thiago Galvão, Chief Information Security Officer (CISO) da VLI.
Com as soluções IBM Security, a VLI minimiza riscos de ataques de malware e ransomware
“Temos cerca de 9.000 pessoas que precisam de acesso aos nossos diferentes sistemas para movimentar os trens. É fundamental para o tempo – um novo motorista não pode esperar para descarregar um caminhão. Ele precisa de acesso a registros sobre movimentação e transações de produtos.”
Thiago Galvão, Chief Information Security Officer (CISO) da VLI.
Como parte do procedimento de carregamento e descarregamento de cargas, caminhoneiros e operadores ferroviários tinham que se conectar repetidamente aos sistemas para acessar relatórios e transações, tornando o processo mais lento e reduzindo a produtividade.
Apesar da empresa ter grandes equipes de TI e desenvolvimento, não havia como rastrear ou rastrear usuários privilegiados acessando servidores VLI. O processo de integração de novos funcionários e concessão de acesso a sistemas e aplicativos levava semanas porque era feito manualmente. E a empresa também contou com processos baseados em papel, que exigem muita mão de obra, para gerenciar os ciclos de vida do usuário e realizar outros controles relacionados ao acesso do usuário.
Quando Galvão ingressou na empresa em 2018, ele imediatamente reconheceu a necessidade de soluções de gerenciamento de identidade e acesso (IAM).
“Não tínhamos nada de identidade no passado”, diz ele. “Fiz uma avaliação e mostrei à diretoria os riscos e a importância de ter um sistema para controlar o acesso dos usuários.”
Um portfólio de soluções de segurança
A abordagem da VLI para escolher um provedor para sua iniciativa de governança e administração de identidade (IGA) foi um processo meticuloso de seis meses. Um fator chave para o projeto foi a capacitação dos negócios; especificamente, ter a capacidade de fornecer aos usuários certos acesso aos recursos certos no momento certo. Por fim, a VLI escolheu a IBM por sua presença e suporte local, sua variedade de ofertas e a relação custo-benefício de suas soluções.
“Iniciamos o processo de RFP [solicitação de proposta] buscando muitas soluções”, lembra Galvão. “Criamos cenários. Fizemos benchmarks. Analisamos como as soluções se integravam. E criamos scorecards.”
Ele continua:
“Decidimos pela IBM por uma combinação de razões:
tecnologia, suporte local e preço.Validamos a integração técnica e que a solução funciona para nós. Validamos que a IBM pode atingir nossas expectativas. Mas também foi muito importante que eu tenha apoio no Brasil porque precisamos ter um relacionamento também. A IBM prestou atenção em nós. E o terceiro motivo foi o preço. Então fizemos um grande investimento na IBM.”
Hoje, a VLI é o primeiro cliente da IBM a implementar soluções em todo o portfólio de produtos IBM Security Identity and Access Management. Para ajudar na integração e implantação, a VLI recorreu ao IBM Business Partner Qriar, uma empresa de tecnologia especializada em soluções de segurança cibernética.
A Qriar se envolveu com a VLI desde a fase inicial de resposta da RFP. Está trabalhando com a empresa durante todo o projeto, desde o planejamento e definição da arquitetura até a implantação, instalação, configuração e customização dos produtos IBM de acordo com as necessidades e melhores práticas do cliente.
A VLI implementou as soluções em quatro fases.
A Fase 1, que começou em setembro de 2019 e terminou dois meses depois, teve como foco o IGA. Durante esse período, a empresa implantou o software IBM Security Verify Governance e a plataforma Microsoft Azure Active Directory.
O software IBM automatiza processos que costumavam ser trabalhosos, como certificações de acesso, solicitações de acesso e gerenciamento de senhas. Ele também fornece relatórios detalhados e campanhas de recertificação para garantir que os usuários recebam apenas os direitos de acesso de que precisam para realizar seus trabalhos.
Nas Fase 2 a 4, a VLI implementou três soluções do pacote Privileged Access Management da IBM: tecnologias IBM Security Verify Privilege Vault , IBM Security Verify Privilege Manager for Client e IBM Security Verify Privilege Manager for Server.
O software IBM Security Verify Privilege Vault ajuda a proteger os servidores mais confidenciais da VLI, eliminando a necessidade de senhas compartilhadas de usuários privilegiados. O recurso de gravação de sessão registra todas as ações executadas nos servidores, fornecendo extensas trilhas de auditoria e ajudando a VLI a gerenciar a conformidade com requisitos rígidos de governança de identidade.
As tecnologias IBM Security Verify Privilege Manager ajudam a VLI a minimizar o risco de ataques de malware e ransomware, reduzindo o número de usuários não administrativos que têm privilégios administrativos em terminais. A VLI também pode configurar listas de aplicativos e comandos confiáveis e não confiáveis e personalizar políticas de elevação.
De caminhões a trens, ganhos em toda a empresa
Ao implementar as soluções IBM Security, a VLI obteve benefícios desde as docas de carregamento até o resultado final.
O software automatiza processos que costumavam ser trabalhosos, como certificações de acesso, solicitações de acesso e gerenciamento de senhas. No passado, essas atividades podiam levar até cinco dias, gerando atrasos e frustração dos trabalhadores. Agora, as solicitações de acesso são concedidas automaticamente após a aprovação de um gerente, ou 99% mais rápido do que antes.
“Temos 8.000 funcionários e cerca de 1.000 contratados e clientes”, explica Galvão, “portanto, cerca de 9.000 pessoas que precisam de acesso aos nossos diferentes sistemas para movimentar os trens. É fundamental para o tempo – um novo motorista não pode esperar para descarregar um caminhão. Ele precisa de acesso a registros sobre movimentos e transações de produtos.”
Ao eliminar os atrasos e frustrações associadas ao acesso ao sistema, a satisfação e a produtividade dos funcionários melhoraram.
“Medimos nosso desempenho de acordo com o peso total da carga que movimentamos na ferrovia”, diz Galvão. “Em abril de 2020, atingimos o maior número da história da empresa.”
As soluções da IBM também estão ajudando a minimizar os riscos relacionados a ameaças cibernéticas e acesso ao sistema por pessoas não autorizadas. Galvão conclui:
“Um ponto chave é o risco e a prevenção de ataques. Antes, os usuários que saíam da empresa ainda podiam ser ativados no sistema. Era porque não tínhamos padrões. Talvez tivéssemos pessoas externas usando nossos sistemas e não sabíamos quem.
“Agora eu tenho controles. Agora estamos investindo em soluções de identidade e aumentando o número de integrações.”
Thiago Galvão, Chief Information Security Officer (CISO) da VLI.
