Como funciona o gerenciamento de identidades?

Como parte de uma estrutura geral de IAM que trata do gerenciamento de acesso e identidades, as empresas normalmente utilizam o componente de gerenciamento de usuários e um componente de diretório central, como o Active Directory para Windows, o Apache Directory Studio ou o Open LDAP para sistemas Linux.

O componente de gerenciamento de usuários lida com a atribuição da autoridade de administrador, monitorando funções e responsabilidades para cada usuário e grupo, aprovisionando e desaprovisionando contas de usuário, e com o gerenciamento de senhas. Algumas dessas funções (ou todas elas), como a redefinição de senha, normalmente são de autoatendimento, para reduzir a carga sobre a equipe de TI.

O diretório central é um repositório de todos os dados de usuários e grupos da empresa. Como tal, uma das principais funções desse componente é sincronizar o diretório ou repositório em toda a empresa, que pode abranger componentes de nuvem pública ou privada e locais. Isso possibilita uma visão única dos usuários e das permissões deles a qualquer momento e em qualquer lugar em uma infraestrutura em nuvem híbrida ou multi-cloud.

Uma estrutura de IAM também inclui dois componentes de acesso. A autenticação aborda problemas como logon (e logon único), gerenciamento de sessões ativas e fornecimento de autenticação forte por token ou dispositivo biométrico. A autorização usa funções, atributos e regras em um registro de usuário para definir se determinado usuário, dispositivo ou aplicativo deve receber acesso a um recurso.

Qual é a diferença entre o gerenciamento de identidades e o de acesso?

Gerenciamento de identidades

A identidade digital é a chave para o acesso. As identidades contêm informações e atributos que definem uma função, concedem ou negam especificamente acesso a determinado recurso e informam a outras pessoas da organização a quem ou a que a identidade pertence, como contatar essa pessoa e onde ela se encontra na hierarquia geral da empresa. A criação de uma identidade pode ter repercussões em toda a organização. Por exemplo, a criação de uma conta de e-mail, a configuração de um registro de funcionário ou a geração de uma informação em um organograma. As identidades são algo vivo, pois podem mudar com o tempo, por exemplo, se um funcionário assume uma função nova ou se muda para um novo local de trabalho.

A função do gerenciamento de identidades é acompanhar e gerenciar as mudanças em todos os atributos e entradas que definem uma identidade no repositório corporativo. Normalmente, essas mudanças podem ser feitas apenas por pessoas específicas das organizações, como um representante de recursos humanos que observa um nível salarial ajustado ou o proprietário de um aplicativo que concede a um grupo de funcionários (como representantes do serviço de atendimento ao cliente) acesso a um novo recurso do sistema de CRM.

Gerenciamento de acesso

O gerenciamento de acesso é a autenticação de uma identidade que está solicitando acesso a um recurso específico, e as decisões são simples: aceitar ou recusar a concessão do acesso.

Pode ser um processo em camadas, com serviços de acesso que definem se um usuário está autorizado a acessar a rede, e níveis inferiores de acesso que autenticam onde a identidade em questão deve receber acesso a servidores, unidades, pastas, arquivos e aplicativos específicos.

Lembre-se de que autenticação não é o mesmo que autorização. Embora uma identidade (usuário) possa ter autorização para estar na rede corporativa e ter uma conta no diretório, isso não concede automaticamente a ela a capacidade de acessar todos os aplicativos da empresa. A autorização para aplicativos ou recursos é concedida pelos atributos da identidade, como a quais grupos ela pertence, o nível dela na organização ou uma função específica que tenha sido atribuída a ela anteriormente.

Tal como acontece com a autenticação, a concessão da autorização pode ocorrer em vários níveis dentro da organização, por exemplo, como um serviço centralizado e localmente para determinado aplicativo ou recurso, embora a autenticação no nível do recurso ou serviço não seja aconselhada, pois a autenticação central oferece um controle mais consistente.

A diferença entre o gerenciamento de identidades e o de acesso

A diferença entre o gerenciamento de identidades e o de acesso pode ser simplificada desta forma:

o gerenciamento de IDENTIDADES trata de gerenciar os atributos relacionados ao USUÁRIO, ao grupo de usuários ou a outra identidade que possa exigir acesso de tempos em tempos.

O gerenciamento de ACESSO trata da avaliação desses atributos com base nas políticas existentes e da tomada de decisão de acesso positiva ou negativa com base nos atributos.

Por que precisamos do gerenciamento de identidades?

Um estudo recente do (ISC)² descobriu que 80% das violações ocorreram por conta de problemas de acesso à identidade, ou seja, credenciais fracas ou mal gerenciadas. Se os controles adequados não estão em vigor ou os procedimentos e processos do IAM não são seguidos adequadamente, as senhas podem ser comprometidas, ataques de phishing podem acontecer, e violações ou ataques de ransomware se tornam uma realidade. Felizmente, as plataformas modernas de IAM oferecem a automação de muitas das funções para ajudar a garantir que os controles sejam utilizados, como a remoção de um usuário do diretório quando o sistema de RH indica que ele deixou a organização.

Como novas legislações sobre privacidade e sigilo de dados são criadas com frequência, o IAM pode desempenhar outra função importante: a de ajudar a organização a manter a conformidade com as infinitas exigências regulatórias e de governança em vigor, garantindo que apenas os usuários autorizados tenham acesso aos dados, mas que os dados em si estejam onde deveriam estar. No fim das contas, a segurança de TI tem a ver com acesso. Portanto, uma estratégia sólida de IAM é um componente essencial da segurança geral de TI e oferece uma primeira linha de proteção para ameaças, sejam de fora ou de dentro do firewall.

Quais são os benefícios comerciais do gerenciamento de identidades?

A capacidade de proteger ativos com êxito (incluindo os ativos digitais) pode ter um impacto direto no resultado final sobre o valor da organização. O IAM acelera o time to value para aqueles que precisam de acesso aos recursos da empresa para fazer seu trabalho, muitas vezes reduzindo de dias para minutos o tempo entre a integração de um funcionário novo até a concessão do acesso aos recursos do sistema.

Além do valor comercial maior como resultado da segurança aprimorada, existem outros benefícios comerciais tangíveis. A automação das tarefas de IAM libera a TI para projetos concentrados nos resultados financeiros, e as ferramentas de gerenciamento de identidades de autoatendimento melhoram a produtividade geral de funcionários, prestadores de serviços e outros usuários que acessam recursos corporativos.

A implementação de uma estrutura geral de IAM pode oferecer oportunidades de crescimento com a melhoria do dimensionamento dos serviços essenciais para a integração de novos usuários, e essa redução da mão de obra da TI gera um ROI melhor para a organização de TI como um todo.

O gerenciamento de identidades e acesso se tornou a base de todos esses benefícios comerciais e continua protegendo a empresa contra ameaças que podem levar ao roubo de dados, a ataques maliciosos ou à exposição de informações confidenciais jurídicas, de clientes ou de pacientes.