Gestão de Identidades e Acessos – Mais que Tecnologia, Processos! Há anos que este tema é pauta de discussões dos gestores da área de Segurança da Informação e outras áreas que atuam e se preocupam com o processo de Gestão de Acessos (Lógico e Físicos). Este artigo é voltado para quem está buscando mais informações sobre gestão de identidades e acessos, bem como outras funcionalidades correlacionadas. O objetivo é dar uma visão geral sobre o assunto para entender o escopo completo do que hoje se entende por Gestão de Identidades e Acessos (GIA) e quais são os fatores críticos para sua implementação, pois esta disciplina está intimamente relacionada com o crucial processo de gestão de acessos
Na atual Era Tecnológica, nos deparamos com os mais diversos desafios para GIA: Computação em Nuvem, Internet das Coisas, Big Data, Inteligência Artificial, Realidade Aumentada, Geração 5.0 e muitas outras coisas. Podemos afirmar que as empresas precisam gerenciar ou estabelecer mecanismos/medidas aceitáveis de segurança para mitigar/controlar os riscos inerentes a estas novas tecnologias, apoiando e alavancando o negócio.
Os novos tempos pedem uma nova tecnologia para Gestão de Identidades e Acessos, uma evolução das ferramentas tradicionais, redesenhadas para funcionar em um cenário com alto volume dados onde as entidades internas e/ou externas, necessitam interagir tirando o máximo proveito para entregar valor ao negócio.
Bom vamos lá…
Antes de iniciarmos nosso entendimento sobre o assunto, vamos alinhar o significado do termo Gestão de Identidades e Acessos para facilitar nosso posicionamento no decorrer de sua leitura:
” Gestão de Identidades e Acessos trata-se do conjunto de processos e tecnologia para gerenciar o ciclo de vida de uma entidade (pessoa, processo, hardware), onde todas as suas relações lógicas e não lógicas são administradas de forma centralizada e automatizada.”
Pronto, agora podemos dar continuidade em nosso artigo e lembre-se: Quando visualizar a sigla GIA, trata-se do termo Gestão de Identidades e Acessos.
1) Dissecando Gestão de Identidades e Acessos
Já dissemos os desafios associados ao GIA para os próximos anos e agora precisamos detalhar alguns conceitos básicos, que serão abordados mais adiante e que se torna parte essencial para a implementação de uma tecnologia de GIA.
1.1 O que é uma Identidade?
Uma identidade é a representação digital de uma entidade (pessoa, processo, hardware), que por sua vez possui um identificador e atributos que formam e diferenciam sua existência entre diferentes recursos.
Alguns exemplos destes atributos são: Matrícula, Nome, RG, CPF, e-mail e outras informações pertencentes a uma determinada entidade.
1.2 Fontes Autoritativas
Todo sistema de GIA necessita de um repositório de origem de dados nas quais as informações são legítimas, provendo insumos suficientes para toda tomada de decisão bem como administração das entidades relacionadas deste repositório.
Como exemplos podemos utilizar os sistemas de RH que possuem todas as informações que identificam um determinado usuário na rede ou até mesmo utilizar um sistema de cadastro de Infraestrutura, Processos ou Facilities, que identificam entidades como hardware ou processo dentro de uma organização.
1.3 ID Único
O conceito de ID Único serve como identificador para as identidades, possibilitando assim a exclusividade na identificação e vínculos entre os recursos.
Podem ser utilizados alguns dos atributos pertencentes a identidade para se criar um IDÚnico, podemos citar um exemplo, a matrícula de um usuário, onde ficaria: FUN + matrícula = FUN321. Pronto agora temos uma identificação única da identidade.
2) Escopo da Gestão de Identidades e Acessos
Governança e Administração de Identidades
Provisionamento de Acessos
Autos serviços
Autenticação, Autorização e Auditoria
2.1 Governança e Administração de Identidades
Este item talvez seja um dos pontos mais importantes, pois é ele que possibilita dirigir, acompanhar e controlar todas as identidades existentes em uma organização, bem como sua relação com os ativos existentes que manuseiam, armazenam, transportam e descartam informações.
Dentro deste item são compreendidos: os processos, sistemas, perfis, identidades, responsabilidades, fluxos, colaboradores (funcionário, prestador de serviços, representantes ou clientes), ativos, federação de identidades, informações, organização e principalmente as regras de negócios. É importante deixar claro que, para cada item citado acima, cada um tem sua definição e seu papel dentro de um sistema de GIA, mas não iremos abordar neste artigo a discriminação de cada um, pois levaríamos meses tentando chegar em um senso comum.
Todo este parque de informações estará centralizado e terá ao seu favor a inteligência embarcada de cada solução de mercado, para ajudar a organização a alcançar seus objetivos indo ao encontro de sua visão, agregando valor e possibilitando novos desafios.
2.2 Provisionamento de Acessos
Podemos afirmar que sempre existirá um processo de gestão de acessos para qualquer organização, ainda que este processo seja básico, pois as pessoas sempre necessitam de acesso aos recursos da organização (seja físico ou lógico) e com isso, exige a necessidade de controlar esta demanda identificando: quem, o que, quando, onde e como acessar estes recursos.
Este item enche os olhos de lagrimas das áreas operacionais, que por sua vez são responsáveis por administrar estes acessos, em grande maioria de forma manual, mas que são considerados os mais tediosos e volumosos considerando que gestão de acessos é algo exponencial: Usuários x Sistemas x Perfis.
Com o sistema GIA todo este processo é automatizado, possibilitando assim que as equipes operacionais possam se dedicar para o que realmente interessa, deixando de lado as atividades de: criação, alteração, remoção de acessos aos usuários, bem como atividades de: bloqueio, desbloqueio ou redefinição de senhas.
2.3 Autos Serviços
Neste item é importante que no sistema de GIA seja disponibilizado ao usuário, que na grande maioria é leigo em assuntos técnicos, uma visão de negócios dos serviços que a solução entrega, criando uma experiência única e entregando usabilidade na solução.
Para as funcionalidades de um sistema de GIA, podemos destacar algumas como: solicitação de acessos, cadastro de informações pessoais, solicitação de redefinição de senha, solicitação de remoção de acesso, ver relação de acessos ou acompanhar suas solicitações.
2.4 Autenticação, Autorização e Auditoria
2.4.1 Autenticação
Sem dúvidas um dos conceitos mais discutidos na atualidade da conectividade é a autenticação, pois todos os dispositivos ou entidades conectada(o)s na rede devem ser identificado(a)s e sua veracidade garantida. Entre todos os conceitos relacionados a este item, talvez o mais desejado seja o SSO (Single Sign-On).
Uma breve explicação do SSO, é um conceito que utiliza-se de uma única autenticação para diversos sistemas em uma base centralizada, sem que o usuário tenha que inserir suas credencias novamente.
Existem diversos motivos para este conceito ser utilizado e podemos destacar alguns que são embarcados nas tecnologias de sistema de GIA, corroborando ainda mais com sua utilização, são eles: Eficiência Operacional, Gestão de Riscos, Sincronização de Senhas e Federação de Identidades.
2.4.2 Autorização
Após a Identificação do usuário através do uso da credencial e autenticação por parte do recurso acessado, ocorre a autorização dos acessos, onde avaliado através de modelos de acesso como: DAC, MAC, RBAC ou ABAC, o usuário recebe direitos de acessar os recursos a ele autorizados.
Acredito que a sopa de letrinhas acima tenha deixado uma pulga atrás da orelha, não é? Bem vamos ajudá-lo:
DAC (Discretionary Access Control): Este modelo fornece um meio de restringir os acessos aos recursos baseando-se nos critérios estabelecidos pelo proprietário do recurso, ou seja, podemos usar os diretórios como exemplo, onde através de uma ACL (Controle de acesso por lista) são criados os ACE (Entrada de controle de acesso) que configuram uma permissão específica que um determinado usuário\objeto possui em um recurso.
MAC (Mandatory Access Control): Este modelo é baseado em uma classificação definida para um determinado recurso, onde para ser acessado, o objeto necessita da permissão condizente com a classificação estabelecida.Este modelo é utilizado normalmente em situações que o acesso à informação é crítico.
RBAC (Role Based Access Control): Neste modelo os acessos são definidos baseando-se na função do usuário, onde os acessos são delimitados apenas para a execução exata das atividades. Podemos dizer que este modelo entrega eficiência e reduz os riscos de acessos indevidos, uma vez que o trabalho para mapeamento do mesmo é realizado junto aos gestores, RH e proprietário do sistema para que resultado esteja de acordo com a função do usuário e expectativa do negócio.
ABAC (Attribute Based Access Control): Entre os modelos citados, talvez este seja o mais desconhecido, entretanto com o aumento de conectividade entre sistemas, temos que utilizar outras informações para administrar usuários. Assim este modelo é baseado nos atributos que os usuários possuem, possibilitando uma gama de combinações para provisionamento dos acessos. Como exemplo, podemos citar as localidades, caso existam filiais na organização, departamentos, funções e outros atributos.
No GIA este item é abordado com excelência, pois com a responsabilidade de gerir os acessos garantindo a confidencialidade, este processo é automatizado que possibilita aderência com as normas internas ou externas e disponibiliza insumos para o nosso próximo item.
2.4.3 Auditoria
Muitos podem achar a auditoria um processo tedioso e que aponta apenas os problemas da organização ou da respectiva área auditada. Isso não é verdade!! Auditoria é uma análise cuidadosa e estruturada das atividades desenvolvidas por uma determinada organização ou área, onde o objetivo é apurar se elas estão de acordo com as atividades planejadas e/ou estabelecidas previamente e avaliando se foram realizadas com eficiência bem como se sua execução está de acordo com o propósito do Negócio.
Em termos gerais ela ajuda no processo de maturidade da organização para alcançar os objetivos desta. Você deve estar se perguntando onde este item se encaixaria no sistema de GIA. Bem, como é um processo da Auditoria solicitar evidências para realizarem estas avaliações, é necessário que a área auditada disponibilize insumos e como responsável pelo processo de gestão de acessos, que em muitos casos são manuais, nos deparamos com um grande esforço para coletar todas as evidências que estão em planilhas e controles arcaicos.
Com o sistema GIA tudo é automatizado e registrado através dos logs sistêmicos, que possibilitam consultas customizadas para evidenciar controles, ações, atividades, resultados e tudo que esteja relacionado ao processo de Gestão de Acessos.
CONCLUSÃO
Falar em Gestão de Identidades e Acessos em um cenário em constante transformação é sempre um desafio. A atenção sempre deve estar voltada para as ameaças que surgem a cada dia e ao mesmo tempo precisamos nos preocupar que estas proteções, não afetem os negócios da organização e sim tragam usabilidade, performance e segurança.
Antes de qualquer implantação de um sistema de GIA, realize uma real análise das necessidades e visão da empresa, para que seja confirmada a necessidade de utilizar uma tecnologia de sistema de GIA, pois muitas das vezes a organização precisa apenas de uma atualização nos processos existentes que já são suficientes para assegurar que os riscos inerentes ao processo de gestão de acessos, estão controlados de forma aceitável para a continuidade dos negócios.
Observando as necessidades e assegurando que uma tecnologia deve ser utilizada para alavancar os negócios, existem alguns fatores críticos para uma implantação bem sucedida de um sistema de Gestão de Identidades e Acessos.
por: Gustavo Gomes Filgueira. MBA em Gestão de CiberSegurança, Security+, ISFS 27002
Veja também:
- Guerra na Gestão de Identidade
- Métricas de Gestão de Identidade que o Board Executivo se interessará
- Especialista fala sobre como implantar um projeto de Gestão de Identidade e Perfil de Acesso
- A identidade tornou-se uma grande preocupação para os CSOs
- As Piores Senhas de 2017
Deixe sua opinião!