Gestão de Identidades – fatores críticos para uma implantação bem sucedida!

Processos consistentes é a chave de uma boa implementação

Gestão de Identidades – fatores críticos para uma implantação bem sucedida! A implantação desta tecnologia associada a adoção de processos consistentes traz grandes benefícios para a organização como redução de riscos relacionados a acessos indevidos ou não autorizados, riscos de fraudes e consequentemente uma gestão de segurança mais eficaz. Recomendo aqui neste artigo alguns fatores críticos que não podem faltar no projeto de uma implantação de Gestão de Identidades, o que poderá ser útil para quem esteja iniciando um planejamento desta solução.

1)     Priorize o planejamento:

Faça um planejamento preliminar com as datas macros que estão compromissadas com a organização, e em conjunto com os recursos (áreas internas, pessoas envolvidas e a consultoria especializada) discuta cada atividade em detalhe especificando o prazo, atividades predecessoras, riscos de projeto, custos, responsáveis, recursos, etc.

As áreas de Infraesturura de TI e Desenvolvimento de Sistemas são críticas para o projeto de Gestão de Identidades, é necessário acordar o planejamento de forma antecipada, caso contrário você poderá ter dificuldades com a execução de demandas e consequentemente atrasos no projeto.

Utilize todas as melhores práticas de gestão de projetos para conduzir este projeto, que pode ser longo, e caso não seja bem conduzido, pode se perder no meio de caminho não deixando uma boa imagem para você e sua equipe (até aqui podendo acontecer para qualquer projeto, mas importante ressaltar).

2)     Busque apoio e parcerias:

A implantação da solução de gestão de Identidades deve envolver toda a organização e estar integrada ao processo de RH, TI, Contratos, Jurídico, Administração Física, Segurança, Auditoria, e talvez outros departamentos dependendo do negócio da organização. Mostre preliminarmente todos os benefícios desta solução para todas as áreas, e conquiste apoio da alta direção. Apresente regularmente o progresso da implantação e ao final da implantação os resultados alcançados.

3)     Alinhe Expectativas:

É muito comum que um dos maiores motivadores para a implantação do sistema de Gestão de Identidades é a grande quantidade de pontos de auditoria relacionados a não revogação de acessos de usuários inativos. É sabido que a implantação de uma ação corretiva e eficaz que contemple todos os sistemas da empresa num curto espaço de tempo é praticamente impossível, portanto é necessário planejar esta implantação em fases distintas, envolvendo e comunicando todas as partes interessadas no qual o escopo e abrangência desta iniciativa fazem parte.

 4)     Contrate uma consultoria especializada e recomendada:

a. A contratação de uma consultoria especializada na ferramenta escolhida deve ter como base uma avaliação criteriosa, preferencialmente diretamente com o cliente no qual a consultoria já implantou a solução e colocou em seu portfólio de referências.  Nesta avaliação considere os seguintes aspectos:

  •  Conhecimento técnico dos profissionais da consultoria;
  •  Cumprimento do prazo de entrega acordado pela consultoria;
  •  Como a consultoria se comprometeu com o cliente de uma forma geral.

b. Além da consultoria especializada você deve alocar um recurso competente e qualificado em segurança da informação para gerenciar o projeto e assegurar que os requisitos acordados estão sendo cumpridos, garantindo assim a qualidade necessária e exigida para que se cumpra o propósito da iniciativa caso contrário, o fracasso será inevitável!

 5)     Gestão de Identidades = Segurança da Informação:

Gestão de Identidades é uma disciplina de Segurança da Informação e não deve ser implantada sem levar em conta os níveis de riscos, controles necessários e requisitos de segurança para acesso aos ativos críticos da organização, não se deve deixar somente a cargo de uma consultoria ou TI a tarefa de desenhar os requisitos e workflows de solicitação e aprovação, a equipe de segurança da informação deve estar engajada em liderar todos os requisitos necessários para a implantação da solução.

 6)     Escopo = Menos é mais:

Um escopo inicial que contemple a criação automatizada de uma identidade dentro de um padrão estabelecido, bem como a concessão e revogação de acessos aos ativos principais suportados por processos e controles formais já são um bom começo. Isso permitirá uma transição mais tranquila para a segunda fase do projeto quando novos sistemas sejam incluídos, fazendo com que a Gestão de Identidades ganhe corpo e contemple tanto a automatização quanto a concessão e revogação de todos os sistemas associados à gestão de identidade. Evite contemplar na fase inicial o desenvolvimento de conectores não nativos, complexos e que requerem desenvolvimento, automações, ou uma grande mudança do legado, gerando impacto na cultura da empresa, o que poderá gerar esforço desnecessário, baixa qualidade e atrasos no projeto.

 7)     Já tenha o processo de gestão de acessos implantado, mesmo que manual:

Ter antes processos implantados com os usuários e equipes treinadas e capacitadas para absorver a demanda de uma solução tecnológica que irá agregar o valor necessário para a eficiência do processo é fundamental, portanto, quanto mais seu processo de gestão de acessos estiver maduro em sua empresa maior será sua facilidade em implantar uma ferramenta de Gestão de Identidades, os processos abaixo são importantes insumos para a implantação da gestão de Identidades:

  •  Processo formal e controlado de criação, inativação de usuário iniciado pelo RH
  • Perfil de acesso baseado em cargo ou função (RBAC)
  • Processo formal e controlado de alteração de perfil de usuário com revogação de acessos
  • Processo de revisão periódica (atestação) periódica dos acessos
  • Identificação de Systems Owners responsáveis pelos sistemas

Com essas ações seu projeto de gestão de identidades começará muito bem, não espere que a gestão de identidades resolva todos os problemas, é preciso um trabalho contínuo de qualidade e monitoramento que assegure os níveis de eficiência apoiados por um processo de Gestão eficiente de Segurança da Informação e comunicação independente com a governança de sua empresa.

 

por: Ricardo A Almeida. CISSP, ISO 27001 LA

 

Veja também:

 

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Assista ao Webinar: Governança de Identidades e Perfis de Acesso

Deixe sua opinião!