This post is also available in: Português Español
No mundo da segurança digital, um dos temas mais comentados na atualidade é a gestão de identidades e acessos. Em inglês, surge o termo IAM, que sintetiza o conceito: definir e gerenciar as funções e privilégios de acesso de usuários e dispositivos para diversos aplicativos na nuvem e locais. A ideia é criar uma identidade digital por indivíduo ou item. Uma vez estabelecida essa identidade, ela deve ser mantida e monitorada durante todo o ciclo de vida do acesso de cada usuário ou dispositivo.
Assim, o IAM concede acesso aos ativos de uma empresa aos quais usuários e dispositivos têm direito e/ou necessidade. Isso inclui a integração de usuários e sistemas, autorizações de permissão e remoção de usuários e dispositivos em tempo hábil.
Os sistemas IAM então fornecem aos administradores as ferramentas e tecnologias para alterar a função de um usuário, rastrear suas atividades, criar relatórios sobre essas atividades e aplicar políticas continuamente. Esses sistemas são projetados para fornecer um meio de administrar o acesso do usuário em toda a empresa, garantindo a conformidade com as políticas corporativas e exigências da lei.
Com o conceito de home office ficando mais presente, o IAM foi ressignificado. Cada vez mais empresas adicionam usuários remotos em suas rotinas, e também deram a eles maior acesso aos seus sistemas internos. É algo que, em alguns casos, revelou pontos fracos na arquitetura de IAM de muitas empresas, acelerando o crescimento do uso e das evoluções dessa metodologia.
Como funciona o IAM?
Em resumo, os sistemas IAM possuem quatro elementos básicos:
- Um diretório ou repositório de identidade dos dados pessoais que o sistema usa para definir usuários individuais;
- Um conjunto de ferramentas para adicionar, modificar e excluir esses dados (relacionados ao gerenciamento do ciclo de vida do acesso);
- Um sistema que regula e impõe o acesso do usuário;
- Um sistema de auditoria e criação de relatórios.
A regulação do acesso do usuário tradicionalmente envolve métodos de autenticação, com o intuito de verificar a identidade de um usuário ou dispositivo – incluindo senhas, certificados digitais, tokens de hardware e software de celulares. Essas últimas formas de tokens surgiram há quase 20 anos, e agora podem ser encontradas em smartphones iOS e Android com aplicativos de várias empresas. Abordagens mais modernas incluem elementos biométricos e suporte para a Fast Identity Alliance (FIDO).
Em ambientes de computação mais complexos, juntamente com as ameaças de segurança em crescimento, um nome de usuário e senha fortes não são mais suficientes. A mudança mais notável foi a adição da autenticação multifator (MFA) aos produtos IAM. Hoje, os sistemas de gerenciamento de identidade geralmente incorporam elementos de biometria, aprendizado de máquina e inteligência artificial e autenticação baseada em risco.
As funções do IAM
O conceito desempenha uma série de funções críticas em vários lugares na segurança digital de uma empresa. Porém, nem sempre é pensado dessa maneira porque essas funções estão espalhadas por diferentes grupos – como equipes de desenvolvimento, infraestrutura de TI, gerentes de operações, departamento jurídico, etc. Assim, as equipes ligadas ao IAM não estão mais tomando todas as decisões relacionadas à metodologia.
Um dos motivos é que as técnicas de IAM são apenas o começo do gerenciamento de uma rede segura. Elas exigem que as empresas definam suas políticas de acesso, especificando quem tem acesso a quais recursos de dados e aplicativos e sob quais condições eles podem fazer isso.
Muitas empresas evoluíram suas políticas de controle de acesso ao longo do tempo. Uma das consequências disso é que elas têm regras sobrepostas e definições de funções que geralmente estão desatualizadas e, em alguns casos, provisionadas incorretamente. É necessário então “limpar” as identidades e revogar todos os privilégios extras que os usuários não precisam, o que significa dedicar mais tempo ao planejamento inicial.
Em segundo lugar, o IAM precisa se conectar com todas as partes do negócio, como integração com análises, inteligência de negócios, portais de clientes e parceiros e soluções de marketing. Caso contrário, torna-se irrelevante. Inclusive, recomenda-se que o IAM adote o mesmo modelo de entrega contínua de valor que muitas equipes de nuvem DevOps usam para seus softwares.
Outro ponto é que o IAM vai além da proteção dos usuários, incluindo assim a autenticação de entidades não humanas, como chaves de aplicativos e APIs. Esses itens devem ser gerenciados adequadamente com equipes multifuncionais, reunindo todas as partes interessadas.
Nesse contexto, o IAM precisa estar intimamente ligado às ferramentas de autenticação adaptável e MFA. A autenticação costumava ser pensada como uma decisão binária de ir/não ir no momento do login, como entrar em uma VPN, por exemplo. Atualmente, o IAM precisa de mais granularidade para evitar invasões de contas e ataques de phishing.
Dessa maneira, uma sugestão é implementar a MFA adaptável para todos os usuários e ter um modelo de autorização em evolução – que permita o acesso remoto com segurança. Isso aumenta a confiança e melhora a usabilidade geral, já que o acesso adaptável é apenas o começo das soluções de autenticação mais inteligentes.
A maioria desses produtos não possui detecção de fraude com base em coleções biométricas passivas, nem oferece suporte a assinaturas digitais e orquestrações de identidade. Tais proteções são necessárias por conta dos novos e mais sofisticados métodos de ataque de controle de contas.
Conformidade IAM
Os sistemas IAM podem reforçar a conformidade regulatória, fornecendo as ferramentas para implementar políticas abrangentes de segurança, auditoria e acesso. Muitos sistemas agora fornecem recursos para garantir que uma empresa esteja em conformidade.
Isso é ainda mais importante em um contexto no qual diversas legislações exigem que as empresas se preocupem com o gerenciamento de identidade. Regulamentos como a HIPAA (conjunto de normas que organizações de saúde norte-americanas devem cumprir para proteger os dados) responsabilizam as empresas por controlar o acesso às informações de clientes e funcionários. Os sistemas de gerenciamento de identidade podem ajudar as organizações a cumprir esses regulamentos.
Há ainda outros, como o Regulamento Geral de Proteção de Dados (GDPR, lei europeia que inspirou a LGPD brasileira), que exige fortes controles de segurança e acesso do usuário. O GDPR exige que as empresas protejam os dados pessoais e a privacidade dos cidadãos e empresas da União Europeia. Para cumprir essas leis, é necessário automatizar muitos aspectos do IAM e garantir que seus fluxos de trabalho, processos, direitos de acesso e aplicativos permaneçam em conformidade.
Atenção constante
No dia a dia com o IAM, o primeiro ponto é pensar como as políticas de “acesso à primogenitura” dos usuários evoluem. Esses são os direitos de acesso concedidos a novos usuários quando eles começam a trabalhar em uma empresa. As opções de como novos funcionários, contratados e parceiros recebem esse acesso atingem vários departamentos diferentes. Assim, os sistemas IAM devem ser capazes de detectar alterações nos direitos de acesso automaticamente.
Esse nível de automação é importante principalmente se for considerada a ativação e desativação automatizada de usuários, autoatendimento do usuário e comprovação contínua de conformidade. Ajustar manualmente os privilégios e controles de acesso para centenas ou milhares de usuários não é viável. Por exemplo, não ter processos de “saída” automatizados (e auditá-los periodicamente) quase garantirá que os direitos de acesso desnecessários não sejam completamente revogados.
Em segundo lugar, enquanto as redes de confiança zero estão em alta no momento, o problema é poder monitorar continuamente essas relações de confiança à medida que novos aplicativos são adicionados à infraestrutura de uma corporação. É necessário ficar atento ao que os funcionários estão fazendo após o login, observando seu comportamento.
Em seguida, o relacionamento do IAM e do logon único (SSO) precisa ser cuidadosamente organizado. O objetivo é obter um sistema SSO integrado por um grupo de usuários que possa mediar o acesso a todas as gerações de aplicativos que a empresa usa. Entretanto, isso não necessariamente significa usar uma ferramenta de SSO em todo o sistema.
Além disso, as equipes de IAM precisam estar familiarizadas com várias arquiteturas de nuvem. Existem exemplos de práticas recomendadas de segurança do IAM para Amazon Web Services (AWS), Google Cloud Platform e Microsoft Azure. Integrar essas práticas com a infraestrutura de rede e aplicativos de uma organização será um desafio, e preencher as lacunas de segurança entre esses provedores de nuvem traz benefícios à empresa.
Por fim, os gerentes de TI precisam incorporar o gerenciamento de identidades desde o início com qualquer novo aplicativo. Recomenda-se selecionar cuidadosamente um aplicativo de destino que possa ser usado como modelo para “pilotar” qualquer IAM e governança de identidade, e só depois expandir para outros aplicativos em toda a empresa.
Você já conhece o OSTEC Push?
O OSTEC Push é um canal de notícias e outras informações relevantes sobre o universo da segurança digital, para que você esteja sempre atualizado.
O conteúdo é enviado através do WhatsApp, e para ter acesso, basta que você faça duas coisas simples e rápidas.
1º Cadastre em seus contatos o número (48) 3052-8526 como “OSTEC Push”, para que você possa receber as mensagens;
2º Cadastre seu número de WhatsApp neste link.
Pronto, viu como é simples e rápido?
A partir desse momento você receberá os novos conteúdos diariamente direto no seu celular!
Compartilhe com seus contatos para que eles também possam se cadastrar e receber nossos conteúdos.
This post is also available in: Português Español