Governança de Identidade e Acesso

Publicado

Por

Alfredo Santos

A Governança de Identidade e Acesso (ou IAG, Identity and Access Governance) se baseia em práticas de proteção contra ataques cibernéticos, os quais são comumente associados à distribuição de acessos a uma ou mais redes e aplicações específicas. Os acessos, que podem ser cedidos tanto a colaboradores de uma corporação quanto a usuários externos, são gerenciados por meio de um programa de governança para que haja acompanhamento rigoroso da concessão das identidades digitais. 

A necessidade de se aplicar a Governança de Identidade surgiu devido à crescente demanda por conformidade (ex.: Sox) e tomou proporções maiores graças à disseminação do conceito da tecnologia em nuvem, que disponibiliza recursos e compartilha dados sem a intervenção direta de um mediador. Logo, a hospedagem de informações potencialmente sensíveis ou de caráter confidencial se vê à deriva de acessos virtuais não autorizados e até mesmo maliciosos.

Mais do que Gerenciamento de Acesso

O Gerenciamento de Acesso, ainda que uma parte de extrema importância para a Governança de Identidade, não sintetiza o conceito de segurança. Por meio dele é possível autenticar, por exemplo, a identidade que está tentando realizar um acesso. No entanto, o Gerenciamento de Acesso não é capaz de verificar se as políticas de acesso estão sendo respeitadas e determinar se o acesso ao recurso em questão é permitido ou se entra em conflito com outro.

A Governança de Identidade, por outro lado, já possui abrangência mais generalizada e consegue prover acessos mais seguros. Pensando mais uma vez no ambiente corporativo, parte-se do princípio que cada colaborador deve ter acesso apenas aos recursos relacionados ao exercício das suas funções. Quando ocorre tal restrição, diminui-se de forma drástica a possibilidade de uma identidade não autorizada manipular dados restritos ou cometer fraudes.

Governança de Identidade na nuvem

Levando em consideração a corrente adoção do estilo de trabalho home office ou até mesmo híbrido, a Governança de Identidade surge como uma solução eficaz para empresas que possuem negócios baseados em ambientes híbridos ou multi-cloud, garantindo que os acessos permaneçam habilitados sem que a segurança das informações seja colocada em risco. 

Algumas outras tecnologias, como Inteligência Artificial e Machine Learning, potencializam os benefícios da Governança de Identidade por detectarem riscos às empresas e auxiliarem na determinação de políticas de acesso. Essa combinação tecnológica é altamente recomendada para o gerenciamento de identidades e de como elas se relacionam com funções e cargos corporativos, além de zelar pela transparência e consistência administrativa.

Benefícios da Governança de Identidade

  • Reforço da segurança

Quando o acesso livre passa a ser controlado e se torna viável mapeá-lo, os riscos à segurança são potencialmente extintos. 

  • Conformidade simplificada

A Governança de Identidade prevê a aplicação de políticas regulatórias, que resultam na apresentação de total conformidade quando processos de auditoria são conduzidos dentro da empresa. 

  • Aumento da produtividade

A determinação do acesso, assim como a sua profundidade, organiza os papéis atribuídos aos colaboradores da empresa e reforça o foco das atividades. 

Governança de Identidade eficaz

Após a implementação da Governança de Identidade podem surgir dúvidas quanto à sua eficácia – as identificações estão ocorrendo da maneira que deveriam? As tecnologias adotadas atendem a demanda da empresa? Informações confidenciais e dados críticos estão de fato protegidos? O acompanhamento de alguns indicadores é de grande utilidade:

  • Criação de novas contas

Mesmo que exista justificativa pautada na contratação de novos colaboradores, é preciso acompanhar o volume de novas contas e o motivo de suas criações. Nenhuma identidade nova pode comprometer a segurança dos dados da empresa.

  • Redefinição de senhas

A redefinição periódica de senhas faz parte dos processos de Governança de Identidade que, se eficaz, exige a execução rigorosa da prática alinhada com as políticas regulatórias da empresa.

  • Contas não relacionadas

É comum que contas fiquem sem usuários após desligamentos ou mudanças de cargo, mas  não se pode abrir espaço para falhas de gestão como essa.

  • Logon único

Quanto mais senhas o usuário precisar lembrar para acessar as suas ferramentas de trabalho, mais problemas de acesso a empresa pode enfrentar. Em um cenário ideal, um logon único libera acesso às ferramentas e aos sistemas necessários.

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/

Aviso Legal: As informações apresentadas nos eventos e lives são apenas para fins educacionais. Não incentivamos nem apoiamos o uso destas técnicas para qualquer atividade ilegal. O objetivo é promover a conscientização e a melhoria das práticas de segurança cibernética. O uso inadequado das informações apresentadas é estritamente proibido e pode resultar em consequências legais.

IAM Tech Day

IAM TECH DAY

Início

Eventos

Artigos

Contato

COMUNIDADE

Canal YouTube

Newsletter

Comunidade LinkedIn

Twitter

OUTROS

Patrocine

Política de privacidade

Termos de uso

Call For Papers

© Copyright IAM Tech Day • Todos os direitos reservados • Design by