Qual a importância do IGA na Segurança da Identidade?

Publicado

Por

Davi Albergaria Coelho Gomes

A disciplina de Gestão de Identidades e Acessos (Identity and Access Management – IAM) tem evoluído exponencialmente nos últimos anos, decorrente da clareza que as organizações têm tido sobre o risco associado às credenciais de acesso e as respectivas identidades. 

Segundo o Relatório do Identity Management Identity (IMI) de 2022, cerca de 80% de todas as violações de dados ocorreram como resultado de senhas fracas ou roubadas, sendo que uma parte notável está relacionada a ameaças internas que podem ser mitigadas limitando os acessos (usando o princípio de Least Privilege) ou os concedendo sob monitoramento. Além disso, o relatório API Security Report Q1 2023 da Salt Security, destaca que no primeiro semestre de 2023 houve um aumento de 400% de ataques em API, sendo que 80% delas ocorreram por meio de APIs autenticadas.

Diante desse cenário, a Gestão de Identidade e Acessos tem ganhado cada vez mais relevância nas organizações e auditorias, além de ser uma das disciplinas de Segurança que tem sido prioridade no orçamento da alta gestão.


Entretanto, quando passamos a analisar o mercado de soluções de IAM nos deparamos com uma série de soluções distintas e muitas siglas,tal como: IGA, AM, PAM, CIAM, CIEM, DREAM etc. Nesse artigo, iremos aprofundar na solução do IGA, diante do crescimento notável que temos visto na sua adoção. 

IGA (Identity Governance and Administration)

O IGA implementa a gestão do ciclo de vida das identidades, buscando automação no gerenciamento de identidades e direitos de acessos, permitindo uma abordagem mais estratégica e simplificada do ciclo de vida da identidade. Com isso, se torna possível fazer a Governança da Identidade e não apenas o gerenciamento. Dentre os recursos do IGA, destacam-se os seguintes:

  • Gerenciamento do ciclo de vida da identidade e automação do processo JML (Joinner, Mover e Leaver)
  • Gerenciamento dos direitos de acessos (access rights) e entitlements
  • Requisição de Acesso
  • Revisão e Certificação de Acesso
  • Implementação da Matriz de Segregação de Função (SoD) e RBAC
  • Gerenciamento de senha
  • Relatórios

Vale ressaltar que o IGA possui um papel central na gestão de identidades e acesso.

Exemplo: automatizar o fluxo de criação da identidade conectando com a base do RH, quando colaborador for contratado e desativação da identidade automática quando o colaborador for desligado.

Qual a importância de um IGA dentro da Segurança da Informação?

Dentre os diversos itens mencionados acima, podemos resumir que o IGA traz uma séria de benefícios. Dentre eles, destacam-se:

  1. Gestão centralizada da identidade: permite a visibilidade e gerenciamento centralizado da identidade para todo o ambiente, uma vez que o IGA esteja conectado aos sistemas, tornando a gestão mais simples.
  2. Redução de custo operacional: a automação de processos, como o joinner, access request, access review etc, permite que a equipe de IAM, Suporte e TI de modo geral possa ser reduzida e permite uma escalabilidade mais sustentável.
  3. Redução de erros operacionais e de riscos e aumento da segurança: reduz erros operacionais de ações que antes eram manuais, reduzindo a probabilidade de acessos indevidos e esquecidos.
  4. Facilidade para revisão de acesso: com as integrações dos sistemas ao IGA, é possível fazer uma revisão de acesso mais rápida e eficiente, visto que não será preciso realizar todas as etapas de validação com os gestores/owners manualmente.
  5. Facilidade para identificação de conflito de acesso: possibilidade de cadastro de identificação de perfis conflitantes durante a solicitação, reduzindo a chance de concessão de acesso indevido.
  6. Aprimoramento do Desempenho de Conformidade e Auditoria: devido às interações, torna-se mais fácil garantir os controles dos processos e IAM além de facilitar a coleta de evidências
  7. Entrega rápida e eficiente dos acessos: a concessão de acesso torna-se mais rápida e consequentemente traz uma melhor experiência para o usuário e aumento de satisfação.

Conclusão

Com isso, conclui-se que o IGA é um elemento essencial para organizações que buscam aumentar a maturidade da gestão de Identidades e Acessos no ambiente, no qual precisa ser visto como investimento e que agrega valor ao negócio reduzindo riscos, permitindo aumentar a produtividade e escalabilidade dos processos de IAM.

Davi Albergaria Coelho Gomes

Information Security Manager - IAM | CIAM®️ • Escreve sobre IAM, Infosec, gestão de acessos, information security / segurança da informação.

WWW: https://www.identityacademy.com.br/

Linkedin: https://www.linkedin.com/in/davialbergaria/