No mundo corporativo atual, é comum ouvirmos falar em novas tecnologias e na necessidade de se preparar para a transformação digital. Basicamente, tudo resulta em adquirir vantagem competitiva e garantir que a transição para os serviços digitais seja a melhor possível. Como fazer isso? A gestão de identidade é um bom caminho.

A ideia é garantir o controle de acesso a todos os processos da TI para determinar quem está autorizado a visualizar determinado grupo de dados. Dessa forma, você garante a segurança da informação e mantém a hierarquia organizacional, medidas que impactam positivamente os resultados do negócio.

Porém, pode parecer meio estranho fazer essa conexão. É por isso que vamos mostrar o que é essa nova abordagem, para que serve e quais são seus benefícios. Além disso, apresentaremos a relação com a Internet das Coisas (IoT) e a segurança da informação.

Ficou interessado? Então, acompanhe o primeiro questionamento:

Afinal, o que é gestão de identidade?

O Identity Access Management (IAM) é o processo pelo qual cada entidade — como hardwares, usuários ou processos predeterminados — está vinculada a uma identidade digital específica. Cada conexão dessa tem seus próprios atributos, o que permite formar uma rede de permissões customizada de acordo com os interesses organizacionais.

Dentro desse contexto, podem ser oferecidos: direitos, autenticação, privilégios de acesso e autorização de uso com a definição de uma data de validade automática. Dessa forma, é possível garantir que usuários internos e, até mesmo, externos (terceirizados) se conectem somente a arquivos e documentos de relevância para sua função.

Perceba que essa rede se torna centralizada e fortalece a segurança das informações. Outra vantagem é a eliminação da grande quantidade de senhas, já que apenas uma autenticação permite acessar diferentes recursos a partir da configuração realizada.

Por isso, é válido afirmar que o gerenciamento de identidades complementa outras tecnologias atuais, como a TI bimodal e o Bring Your Own Device (BYOD). Por meio dessa abordagem, a equipe de TI consegue assegurar o máximo de proteção aos dados por meio de um acesso multiplataforma e remoto.

Além disso, o tráfego nas sessões sofre auditoria contínua para assegurar o máximo de preservação às informações. Devido a todas essas características, o IAM está embasado no tripé: dados, governança e privilégios. A relação é estabelecida a partir do momento que determinado colaborador exerce uma função e, por isso, tem direito a acessar partes do negócio de maneira digital.

Ao determinar permissões, como senha e login, a empresa garante que o profissional verifique o que é necessário sem colocar em risco o vazamento de outros dados, que poderiam gerar outros problemas, por exemplo, de reputação. É por isso que a governança é o objetivo da ação, já que fornece controle sobre o uso das informações.

Para que serve a gestão de identidade?

O objetivo principal dessa prática é garantir que nenhum colaborador tenha acesso a dados, conteúdos e informações confidenciais ou que não tenham utilidade para seu trabalho. Com isso, há menor possibilidade de vazamentos, inclusive porque a autorização de visualização implica confiabilidade e responsabilidade.

Da mesma forma, há menos riscos de ataques e invasões maliciosas, porque o tráfego da rede é continuamente analisado. Em outras palavras, a gestão de infraestrutura de TI é aprimorada, porque há um monitoramento maior de tecnologias e processos utilizados.

Esse aspecto é bastante importante e, inclusive, foi retratado em pesquisa da consultoria global Capgemini. Segundo o levantamento, 62% dos 800 entrevistados acreditam que os clientes devem ter acesso aos serviços digitais das organizações de forma segura. Porém, apenas 26% contam com a tecnologia necessária para executar essa ação.

O mesmo estudo indicou que os executivos reconhecem o que precisam fazer para melhorar a experiência do usuário. Além disso, 85% acreditam que métodos de autenticação e identificação flexíveis e adaptáveis são importantes nesse contexto.

Para chegar a esse patamar, o investimento em IAM é fundamental. Por isso, 68% dos executivos ouvidos informaram que aumentaram seus orçamentos direcionados a essa tecnologia. Desse total, 28% acreditam que o gerenciamento de identidade trouxe um grande avanço.

Tenha em mente que essa ação é uma prerrogativa importante em um mundo cada vez mais conectado e inteligente. O uso crescente de dispositivos móveis, as tendências em cloud e até outras tecnologias, como o reconhecimento facial e digital, exigem uma preocupação constante com a segurança, principalmente no âmbito corporativo.

A importância da gestão de identidade no mundo corporativo

No começo, o IAM foi configurado como uma estratégia central, porque tinha o propósito de satisfazer os critérios dos prestadores de serviço, como escalabilidade e eficácia de custo. Nesse contexto, os usuários haviam sido ignorados, porque tinham a responsabilidade de memorizar as senhas.

Essa questão foi revista, em boa parte, devido à identidade conferida a cada entidade. Vale a pena destacar que um usuário pode ter várias identificações e elas também podem contar com atributos diversos.

Nesse cenário, a autenticação é o procedimento de identificar afirmações sobre identidades específicas. Caso ocorra uma falha, a consequência é o comprometimento de toda a validade do sistema.

Além disso, é preciso considerar a usabilidade, exceto quando houver alguma restrição no âmbito organizacional. Essa é a grande sacada, já que, assim, evita-se que os usuários anotem senhas, que podem ser roubadas ou visualizadas por pessoas sem autorização.

Portanto, é fácil compreender que a gestão de identidade surgiu para preencher uma lacuna existente na junção entre os mundos real e virtual. Afinal, esse novo ambiente oferece muito mais riscos à segurança dos dados, como phishing, sequestro de arquivos (ataques por ransomware) e spam.

Com a mobilidade do usuário e o anonimato temporário de relações virtuais, a inteligência de segurança pública se torna imprescindível. Ao apostar no IAM, você garante: serviço, funcionalidade, expectativas, segurança e privacidade.

Quais são os benefícios da gestão de identidade?

A adoção de dispositivos móveis, os serviços baseados na nuvem e a IoT, entre outras abordagens, são fortalecidos pelo IAM devido à segurança proporcionada. No entanto, as vantagens vão muito além. Confira quais são as principais.

Redução da complexidade de acessos

Os usuários deixam de precisar memorizar ou anotar diferentes senhas, protegendo-se contra esquecimentos e extravios. A centralização oferecida simplifica o acesso, facilita o compartilhamento de contas e aumenta os mecanismos de controle.

Hierarquização das permissões com prazos predeterminados

Esse aspecto é ainda mais importante em empresas de médio e grande portes, que contam com dezenas ou centenas de colaboradores e um número significativo de terceirizados. Com a graduação das permissões, a empresa garante que cada profissional tenha acesso às informações necessárias, mas com um limite já definido.

Esse critério ainda possibilita delimitar datas finais de acesso, medida ainda mais importante para quem conta com colaboradores externos. O melhor de tudo é que esse gerenciamento de contas é automatizado, o que permite à equipe de TI ter uma atuação mais estratégica.

Centralização da gestão dos usuários

A solução oferece um dashboard com informações sobre indicadores, rastreamento total de acesso dos colaboradores (inclusive, com indicação de dispositivo, data e horário) e emissão de relatórios. Como resultado, os dados são gerenciados de maneira mais rápida por esse repositório, que ainda conta com uma interface unificada.

Simplificação da governança e da auditoria

O login único para gerenciamento dos aplicativos facilita o controle de atividades suspeitas, que, inclusive, pode contar com a emissão de alertas e auditorias de acesso. Desse modo, há a consolidação da segurança da informação, essencial para o contexto atual, em que os vazamentos podem ocorrer a qualquer momento devido às novas tecnologias.

Como implementá-la no seu negócio?

A adoção do gerenciamento de identidade requer um planejamento anterior para garantir o melhor desempenho possível. É dessa maneira que os sistemas ficarão automaticamente conectados e será possível evitar problemas que podem surgir durante o processo.

Então, como implementar essa ferramenta na sua organização? Algumas etapas são imprescindíveis. Confira!

Defina os sistemas a serem conectados à gestão de identidade

O primeiro passo é conhecer todo o sistema utilizado na organização e verificar como ele suporta os processos. Nesse procedimento, é preciso diagnosticar também as limitações técnicas, como estrutura de usuários, transações, perfis, objetos, grupos, funcionalidades e mais. Agrupe os sistemas com, no máximo, três integrantes, sempre considerando do mais crítico e importante para o menos relevante.

Determine as bases autoritativas

O objetivo é saber quais são os colaboradores, temporários e terceiros que devem ser relacionados nesse processo. Políticas internas de recursos humanos devem apoiar esse procedimento para garantir que todos os dados dos usuários sejam coletados.

Estruture os cargos

Essa definição deve considerar os cargos versus as funções. O propósito é garantir a melhoria da estrutura e agregar inteligência e facilidade de implementação.

Crie pacotes básicos de acesso por função

Essa medida diminui o número de solicitações feitas por usuários. Assim, a equipe evita ter que lidar com o gerenciamento de identidades o tempo todo. Além disso, lembre-se de determinar quais são os aprovadores, os gestores, os executores e os normativos envolvidos, porque, sem eles, inexistem processos.

Considere a necessidade de redesenhar perfis com ou sem análise de segregação de funções

Um erro é esperar que os perfis de acesso e de usuários sejam totalmente aderentes no início da implementação. É preciso trabalhar com o contexto atual e importar no sistema para que, então, o gerenciamento seja implementado.

Verifique a necessidade de redesenhar os perfis de acesso junto às áreas de riscos e controles internos. Além disso, considerar a implantação da gestão deles junto à da identidade é uma boa alternativa para ter eficiência.

Qual a relação entre gestão de identidade e Internet das Coisas?

Em um contexto de transformação digital, as empresas precisam saber lidar com as interdependências crescentes nas mais diferentes plataformas. Elas são fortalecidas principalmente pela IoT, tecnologia que exige sistemas IAM ágeis e que consigam suportar as iniciativas organizacionais.

Apesar dessa demanda, especialistas da Gartner informam que esse gerenciamento tem baixa escala ou têm dificuldade de coordenar a importância da IoT para as organizações. Por isso, é preciso reavaliar as abordagens tradicionais ao gerenciamento de identidades e acessos e à segurança da informação.

O ideal é que o trabalho ocorra de diferentes formas e esteja posicionado em diversos pontos da infraestrutura de TI. Nesse cenário, os gestores têm a responsabilidade de assumir um papel mais estratégico, que os permitam gerenciar os acessos e as identidades dos negócios digitais.

Em outras palavras, a IoT exige um novo patamar para a gestão de identidade, porque cada vez mais dispositivos conseguirão interagir com os usuários — e todas essas relações são complexas. Por isso, serão trabalhadas duas frentes:

  • gestão das relações, que terá um papel mais amplo;

  • execução dessas relações, a fim de substituir as autorizações e políticas de uso.

Na prática, isso significa que a tendência é que os sistemas e softwares embutidos utilizem amplamente as arquiteturas de IAM para trabalhar a ubiquidade e o requerimento de escala da IoT. Para a Gartner, conforme informações do IT Fórum 365, o esperado é que, até 2020, aproximadamente 60% das organizações adotem a identidade social ativa para acessar aplicações com nível de risco adequado.

Além disso, a mesma consultoria acredita que, nesse intervalo de tempo, os novos métodos de biometria substituam as impressões digitais e senhas em, pelo menos, 80% dos terminais de mercado. Todo esse cenário é derivado da necessidade de confiança e identidade, dois vieses fundamentais da Internet das Coisas.

É assim que os dispositivos e usuários podem fazer a autenticação online e automática, porque contam com uma identidade forte e única. O resultado é uma comunicação mais segura e que segue os princípios da integridade e da privacidade.

Como aliar a gestão de identidade e a segurança da informação?

A proteção dos dados é um problema para o setor corporativo. Mesmo com todas as iniciativas, os prejuízos chegaram a 22 bilhões de dólares em 2017 com ataques cibernéticos, conforme dados do site TI Inside. Além disso, outro estudo publicado no mesmo portal dispõe que 40% das organizações sofrem violações e perdas de dados sigilosos.

Por que isso acontece? Um dos motivos é o aproveitamento das novas tecnologias, como a própria IoT e a computação em nuvem, sem o devido cuidado com a segurança da informação, mesmo que de forma não intencional. Diante desse cenário, apenas utilizar a autenticação forte ou de duplos fatos é insuficiente.

É preciso realmente implementar um gerenciamento de identidade e acessos, considerando um sistema que esteja embasado nos seguintes propósitos:

  • redução do roubo de identidade;

  • gestão das identidades digitais por pessoa, que deve aumentar e ter o suporte apropriado para administrar as identificações e a autenticação necessária;

  • acessibilidade, para que o usuário consiga lidar com os contatos e evite o uso indevido do seu endereço de e-mail ou chamadas telefônicas;

  • autenticidade, a fim de que haja integridade e não repúdio, dois mecanismos que impedem o roubo de identidade;

  • anonimato, com o objetivo de impedir o rastreamento ou a identificação dos usuários de um serviço.

Além disso, o requisito de usabilidade é essencial. Por meio dele, é possível impedir a proliferação de senhas de usuários e sua fraqueza. Da mesma forma, a segurança deve ser uma orientação para o usuário, a fim de assegurar que todos estejam preparados para lidar com esse critério.

A importância do controle de identidade centralizado

O contexto atual de relações complexas e o uso amplo de dispositivos em um mundo de BYOD e shadow IT requerem a centralização do controle de identidade para garantir que as capacidades de gestão de acesso do endpoint à nuvem sejam integradas.

Cabe à equipe de TI gerenciar os acessos e controlar as políticas para determinar os direitos de cada indivíduo de tempos e tempos. Porém, a centralização também facilita a permissão de acesso por delimitação de cargo, dispositivo, políticas de segurança e localização. Quaisquer dados e aplicações que estejam fora das regras predeterminadas estão automaticamente bloqueados.

Em suma, a centralização do controle de identidade simplifica a segurança dos dados, especialmente em um cenário de BYOD e TI bimodal. Na atualidade, simplesmente impedir o acesso de dispositivos móveis, por exemplo, é inviável. Por isso, as hierarquias e a definição de acessos são essenciais para obter melhores resultados.

A relevância da autenticação

A ideia, aqui, é ter um processo de verificação da identidade digital do usuário, assim que é feito o login em um computador ou programa. Os modos de autenticação contam com quatro fatores a serem considerados:

  • algo que o usuário é: podem ser adotados meios biométricos, por exemplo, padrão de retina e de voz, impressão digital, reconhecimento de assinatura ou facial;

  • algo que o usuário tem: são usados objetos específicos, como smart cards, cartões de identificação e tokens USB;

  • algo que o usuário conhece: são adotados sistemas de desafio-resposta, senhas fixas e one-time passwords;

  • onde o usuário está: há restrição no acesso, que pode ser realizado somente por uma máquina.

Dentro desse escopo, é possível adotar a chamada autenticação forte, que prevê a combinação de duas ou mais estratégias. É o caso do saque em um caixa eletrônico. Nesse exemplo, você precisa do seu cartão e da senha bancária para finalizar a transação.

Para o âmbito organizacional, a ação é um pouco mais complexa e requer processos e serviços de controle de acesso. É aí que se torna necessário trabalhar com três aspectos:

  • identificação e autenticação: é um processo de duas etapas para determinar quem pode acessar o sistema. Geralmente, ocorre por meio de login e senha;

  • autorização: é o passo seguinte, no qual o acesso já está autenticado e o sistema determina o que o usuário pode fazer;

  • auditoria: é a coleta da informação referente ao uso de recursos pelos usuários. Os dados podem ser usados para planejamento, responsabilização, gerenciamento e cobrança do usuário.

Trabalhando todos esses aspectos da segurança da informação, fica muito mais fácil gerenciar as identidades dos usuários e garantir um acesso seguro e transparente, que evite colocar em risco os dados sensíveis da organização.

Quais são as novas tendências da gestão de identidade?

As mudanças implementadas pelas novas tecnologias estão em constante atualização. Diante desse cenário, as principais tendências são aquelas que permitem criar uma plataforma de IAM inteligente. Confira quais são elas, a seguir.

Biometria

Essa é uma forma mais avançada de identificar e autenticar usuários e tende a crescer nos próximos anos junto às análises de íris ocular, reconhecimentos facial e de voz e detecção de padrão de movimento. Em vários países, a validação biométrica já é, inclusive, um diferencial para o credenciamento.

Regulamentações diferenciadas

As novas diretrizes propostas na Europa e nos Estados Unidos criam diferentes regulamentações, como o General Data Regulation (GDPR) e o Payment Services Directive 2 (PSD2). Ambas servem para proteger os dados pessoais e de pagamento, a fim de fortalecer a tecnologia já implementada.

IAM em nuvem

As regulamentações especificadas acima trazem novos desafios ao IAM, especialmente o baseado na nuvem. A implementação se tornará mais complexa, o que pode impactar o marketplace e prejudicar fornecedores menores.

IoT

Esse uso é complementado pela Automação de Processos Robóticos (RPA), que consiste na implementação de robôs para executar tarefas repetitivas. Nesse cenário, os bots interagem com sistemas de infraestrutura e aplicações de negócios, o que permite à equipe de TI focar nas atividades estratégicas.

FIDO

A tecnologia de autenticação Fast Identity Online está embasada em dados biométricos e é uma tendência que já vem sendo amplamente adotada. Um exemplo desse modelo é a impressão digital em smartphones. Nesse caso, a autenticação é simplificada, porque as senhas são desnecessárias. De quebra, há uma proteção maior contra falhas.

Machine Learning

O aprendizado das máquinas em aplicativos de segurança para sistemas de gerenciamento de identidades também é tendência. Os algoritmos são capazes de aumentar a velocidade e a eficácia dos processos de autorização e autenticação.

Governança e Administração de Identidade (IGA)

Esse critério baseado na nuvem é outra medida importante. Por meio dele, você consegue evitar as restrições dos processos manuais de gestão das identidades e gerenciar o risco de acesso com uma abordagem melhor e mais racional. Perceba que as soluções de IAG devem ser integradas às de IAM para aumentar a segurança.

Como você pôde perceber, fazer a gestão de identidade depende de uma análise do contexto organizacional e do empenho da equipe de TI, pelo menos no começo. Porém, lembre-se de que é preciso fazer um planejamento para ter sucesso, visibilidade e retorno mais rápidos.

E você, está preparado para implementar essa tecnologia no seu negócio? Deixe seu comentário no post e conte a sua experiência ou dúvida!