Quando pensamos na disciplina de IAM, por muitas vezes não fica claro a separação entre o ambiente interno e o ambiente de clientes. Por isso, tem sido cada vez mais comum a segmentação de IAM em dois pilares: WIAM e CIAM.
O termo CIAM é bem comum e difundido no mercado, sendo a disciplina de IAM voltada para Clientes (Customer Identity and Access Management). Já o termo WIAM não é tão popular, mas aos poucos vem ganhando força na sua utilização, que nada mais é do que Workforce Identity and Access Management (muitas vezes chamado apenas de Workforce). Ou seja, a estrutura de IAM que atua nos fluxos e processos internos da organização. É importante ter a clareza dessa segmentação, pois ambos requerem processos, tecnologias e estratégias diferentes na maioria dos casos.
O CIAM tem o foco voltado na segurança e experiência do cliente sem atrito, atuando em processos de autenticação, autorização, auto atendimento até a gestão de consentimento dos usuários clientes. O time que atua no CIAM, possui dentre suas responsabilidades as tarefas de:
- Definir e implementar estratégias de CIAM
- Manter, otimizar e monitorar a tecnologia de CIAM e a interação dos clientes com a ferramenta
- Analisar experiência dos clientes em IAM
- Documentação procedimento de IAM para clientes
Já o WIAM tem o foco no ambiente interno, sendo assim atua diretamente na identidade e acessos dos colaboradores dentro da organização e nele há toda a estrutura de processos de JML, Enforcement, Access Review, Reconciliation e Access Request & Approval.
Além desses processos, há toda uma estrutura que é importante ser definida dentro do WIAM, tal como:
- Operação de acessos
- Arquitetura de Acessos
- Governança de acessos
- Projetos, Automações e Integrações de Acessos
A depender da estrutura de time que exista na sua empresa, estas segmentações podem ser squads ou times diferentes, com definição clara de papéis e responsabilidades.
Operação de Acessos
O time de Operação de Acessos é o time responsável por:
- Atendimento de tickets de Acessos para sistemas não integrados com os sistemas de AM (Access Managament) e IGA (Identity Governance and Administration), atuando assim no processo de Access Request and Approval
- Execução dos processo de JML (Joinner, Mover e Leaver)
- Possuir estratégia de plantonista para atuação em situações de crises e emergências
- Realizar a implementação, operação e salvaguarda de credenciais
- Documentação de procedimentos e manuais da operação
Governança de Acessos
O time de Governança de Acessos é o time responsável por:
- Definir e manter a as Políticas Corporativas relacionadas a IAM
- Definir e criar de novos perfis de acessos
- Atender auditorias Internas e Externas
- Definir, implementar e gerenciar de matrizes de Perfis de Acesso e as Matrizes de Segregação de Função, ou Segregation of Duties – SoD.
- Definir e manter do processo de JML (Joinner, Mover e Leaver)
- Definir e criar campanhas de conscientização de IAM
- Definir e criar campanhas de de revisão/certificação de acessos
- Definir e manter dashboards de monitoramento e gerenciamento de IAM
- Apoiar na governança do CIAM
- Documentar processos
Arquitetura de Acessos
Esse time, fica responsável por:
- Implementar e administrar as soluções de IAM
- Gerenciar projetos de IAM
- Definir formas de autenticação e autorização dos sistemas da organização
- Automatizar processos de IAM
- Integrar sistemas com o os sistemas de IAM, tal como o AM e IGA
- Documentar a arquitetura e automações
Conclusão
Dessa forma, podemos ver a importância de segmentar os ambientes entre interno e clientes quando se trata de IAM, a fim de implementar estratégias adequadas para cada segmento, garantindo uma segurança experiência mais adequada.
Muito bom o artigo, parabéms
Excelente definição. Parabéns
Muito bom artigo!