O que é o Identity and Access Management (IAM)?
O Identity and Access Management oferece um quadro de tecnologias e processos que apenas permitem a utilizadores com autorização oficial o acesso a dados, recursos, ativos, entre outros. Isto ajuda a proteger a empresa de ações maliciosas e garante a manutenção das melhores práticas informáticas, ao mesmo tempo que permite cumprir os objetivos de conformidade regulamentar.
Definição do Identity and Access Management
Para compreender o que é o Identity and Access Management, é importante conhecer primeiro o panorama digital atual das empresas. As soluções digitais e a sua capacidade de analisar conjuntos de dados trouxeram enormes vantagens, incluindo estratégias mais eficazes e uma maior produtividade. No entanto, esta mudança para o digital também deixou os dados, os ativos e os recursos das empresas muito mais expostos a ameaças internas e externas, especialmente as que envolvem identidades e acessos.
Mas como é que uma empresa assegura que apenas as pessoas certas, com as permissões adequadas, podem aceder a recursos, sistemas e dados sensíveis? Trata-se de uma questão que preocupa os departamentos informáticos, uma vez que a adoção de uma estratégia errada poderá causar uma catástrofe em termo de prejuízos financeiros e de danos à reputação de uma empresa.
Abordagem moderna para um problema moderno
Concebido para dar resposta a estes problemas, o Identity and Access Management oferece uma estrutura que permite aos gestores de TI aplicar restrições sobre quem pode aceder a dados, recursos, ativos e sistemas da empresa. Aqueles que são identificados como legítimos podem aceder rapidamente aos recursos a que estão autorizados.
No entanto, quem não for assim identificado (por exemplo, hackers ou funcionários sem uma autorização adequada) é bloqueado. Enquanto nenhum sistema confere uma proteção total a empresas que operam num cenário de ameaças em constante evolução, uma solução de Identity and Access Management oferece a melhor solução possível neste momento. Tal solução é capaz de identificar e intercetar potenciais ações maliciosas ou impedir violações de dados antes que estas aconteçam. Fundamentalmente, estas ferramentas de gestão de identidades e acessos representam uma mudança radical na proteção de dados, demonstrando simultaneamente um compromisso genuíno com as melhores práticas TI daqui em diante.
Como funciona o Identity and Access Management?
Gestão da identidade
O aspeto da identidade é gerido de três formas diferentes:
Identificação
No centro de qualquer solução de Identity and Access Management está uma base de dados de gestão de identidades. Esta última contempla todos os funcionários e stakeholders, as respetivas identidades digitais (como o nome e o número de identificação), bem como a sua função. É essencial poder oferecer diferentes níveis de acesso em função das classificações das identidades digitais. Por exemplo, é possível fazer com que informações financeiras sensíveis só sejam acessíveis a identidades relevantes, ao passo que os dados sem sensibilidade ou com sensibilidade reduzida podem ser acedidos por várias identidades ou funções (consulte abaixo a secção «Como funciona o Identity and Access Management?»).
Atualizações
Os papéis dos funcionários e dos stakeholders estão em constante evolução, pelo que é necessário uma gestão adequada do ciclo de vida das identidades. Isto significa que, se alguém abandonar a empresa, o seu acesso for interrompido ou se for promovido, os seus privilégios de acesso podem ser alterados de modo a adequarem-se ao seu papel na solução de Identity and Access Management.
Autenticação
As soluções de Identity and Access Management podem implementar diferentes tipos de autenticação para garantir que a pessoa a tentar utilizar uma identidade na base de dados de IAM é mesmo quem diz ser. Os processos de autenticação incluem a autenticação de dois fatores. Isto permite introduzir o nome de utilizador e a palavra-passe, o primeiro fator, antes de ser pedido um segundo fator.
Normalmente, o segundo fator consiste num código único enviado para o endereço de e-mail ou telemóvel, que deverá ser introduzido antes de ser concedido o acesso. Trata-se de um serviço semelhante oferecido pelas soluções de IAM implementadas pelos bancos a fim de validar compras online.
Gestão dos acessos
Que tecnologia e processos sustentam o Identity and Access Management?
Single Sign-On (SSO)
Controlo de Acesso Baseado em Atributos (ABAC)
Privileged Access Management (PAM)
Controlo de Acesso Baseado em Funções (RBAC)
Os controlos de acesso são normalmente implementados através do RBAC. Isto possibilita atribuir permissões no âmbito da solução de IAM com base na função do pessoa, definindo o acesso de que dispõe ou não. Graças a esta poderosa funcionalidade, torna-se possível afinar as permissões a um nível granular, até aos utilizadores individuais e às ações específicas que estes podem realizar.
Por exemplo, um colaborador IT júnior pode ter autorização para aceder e monitorizar o desempenho de determinado hardware. No entanto, não terá permissão para efetuar qualquer alteração. Em vez disso, deve relatar eventuais problemas junto de um utilizador com permissões apropriadas ou junto de um indivíduo com PAM (ver acima) para realizar o necessário. Assim, aumenta-se consideravelmente a segurança global e reduz-se o risco de ocorrerem ações não autorizadas.
Autenticação adaptável
Critical Security Controls (CIS)
Ao trabalhar em conjunto com o IAM para criar uma estratégia sólida de cibersegurança, o CIS fornece a base para implementar as melhores práticas em matéria de segurança empresarial, ao passo que o IAM se encontra responsável pela gestão das identidades e das autorizações.
Vantagens do IAM
Proteção da empresa
Simplificação dos processos
Adoção do digital
Vivemos num mundo que privilegia o digital, em que o acesso aos sistemas empresariais pode ser solicitado a partir de BYOD, teletrabalho, dispositivos IoT e muito mais. Para manter o controlo da segurança da rede, é vital a capacidade do IAM de reunir todos estes tipos de pedidos num único hub que define as permissões e que realiza a autenticação.
Salvaguarda dos dados
Tão importante como saber quem pode aceder aos dados é a forma como esses dados são transmitidos. A solução certa de IAM oferecerá ferramentas de encriptação que encriptam os dados em trânsito, pelo que, mesmo que sejam intercetados por uma parte maliciosa ou sejam vítimas de uma fuga, os dados permanecem encriptados, ou seja, revelam-se inúteis para um destinatário não autorizado.
Libertação da equipa informática
Implementação de IA
Como já foi sublinhado, a inteligência artificial está a desempenhar um papel mais importante nos sistemas de IAM. Por exemplo, a inteligência artificial pode criar um perfil de comportamento normal, inclusivamente para um utilizador individual. Quando a inteligência artificial deteta que um utilizador individual está a fazer, digamos, uma quantidade incomum de tentativas de login, pode assinalá-lo como uma ameaça potencial à segurança, bloqueando-lhe o acesso se necessário.
Garantia de conformidade
A empresa pode utilizar os logs de acesso do IAM para efeitos de auditoria. A nível interno, isto significa não só que os utilizadores podem ser monitorizados para garantir que não estão a usar abusivamente as suas permissões de acesso, mas também que potenciais hackers podem ser identificados e isolados do sistema informático da empresa. Igualmente importante é o facto de estas capacidades excecionais de auditoria oferecidas pelo IAM permitirem às empresas demonstrar aos reguladores que cumprem escrupulosamente a legislação de segurança, incluindo o Regulamento Geral sobre a Proteção de Dados.
Como implementar o Identity Access Management numa empresa
Planear
... os objetivos do IAM e obter a adesão das partes interessadas perguntando-lhes quais são as suas necessidades e, acima de tudo, as suas expetativas para a solução final.
Definir
... quem deve ter acesso a que dados, recursos, ativos e sistemas (e a que nível), para criar uma política de acesso sólida, alinhada com os requisitos de segurança e conformidade da organização.
Explorar
... tecnologias de Identity and Access Management que se adaptam às necessidades organizacionais através de um fornecedor IDaaS fiável (solução cloud) ou de uma solução on-premises.
Configurar
... a solução de IAM com os métodos de autenticação requeridos, além de assegurar que a solução se integrará nas tecnologias e aplicações já utilizadas pela empresa.
Implementar
... uma solução de IAM por etapas, nunca de uma só vez, para garantir que a solução é testada totalmente e que quaisquer problemas são resolvidos de imediato, sem afetar toda a organização.
Formar
... os interessados na utilização das ferramentas de IAM, para assegurar a sua adesão e confiança na nova solução, sublinhando as melhores práticas em matéria de segurança.
Monitorizar
... e manter a solução de IAM à medida que vai sendo implementada na empresa; tal monitorização deve continuar numa base contínua e a solução deve ser constantemente atualizada.
Desenvolver
... a solução de Identity Access Management à medida que as necessidades da organização se alteram, oferecendo uma escalabilidade capaz de apoiar a empresa no futuro. Além disso, devem atualizar-se as políticas de acesso sempre que necessário, de forma a assegurar que o IAM permanece alinhado com as necessidades da empresa.
OVHcloud e IAM
Gestão de funções/utilizadores ACE
Ao adotar a abordagem OpenStack da OVHcloud, pode ter um controlo de acesso completo baseado em funções, gerir as funções dos utilizadores e definir as ações que estes podem realizar na infraestrutura, sejam humanos ou ferramentas de automatização.
