(11) 5521-2021 [email protected]
É possível evitar o vazamento de dados?

É possível evitar o vazamento de dados?

Este ano de 2018 foi repleto de casos de vazamento de dados que expuseram a vida pessoal de milhões de pessoas e geraram dezenas de milhões de reais em prejuízo para as empresas envolvidas.

Somente no caso do Banco Inter, o Ministério Público do Distrito Federal ajuizou ação em julho deste ano, demandando uma indenização de R$ 10 milhões em razão de, supostamente, o banco não ter tomado os cuidados necessários para garantir a segurança dos dados pessoais de seus clientes e não clientes.

E, mais recentemente, vieram a público as notícias sobre os vazamentos de dados na Tivit, uma das maiores empresas de serviços de TI do Brasil, e no Sicredi, a maior rede de cooperativas de crédito do país, cada um deles com características próprias. Vendo empresas desse porte – que investem milhões em tecnologia – sofrerem com vazamentos de dados é lícito perguntar se, na prática, é possível evitar vazamento de dados.

E mais ainda, como uma média empresa, com orçamento de tecnologia bem mais enxuto, vai evitar o que nem grandes empresas conseguem? E além disso, a partir de fevereiro de 2020, com a entrada em vigor da Lei de Proteção de Dados (LGPD) o risco para as empresas vai aumentar, pois será obrigatório divulgar publicamente os casos de vazamento de dados.

Eu imagino que, por exemplo, uma clínica de saúde regional com algumas unidades na região metropolitana de uma grande cidade pode ter seu negócio inviabilizado caso divulgue publicamente que os exames de seus pacientes foram vazados. Outras empresas de mesmo porte, especialmente da área de saúde, podem ter o mesmo destino.

Mas é possível evitar vazamento de dados? Baseado na experiência de atuar em casos como esses há duas décadas e na experiência internacional bem documentada, sabemos que as duas principais causas de vazamentos de dados são:

Ataques externos aos sistemas da empresa.

Vazamento intencional por pessoas de dentro da empresa.

Um plano abrangente para evitar essas duas causas deve conter diversas ações que vão desde implantar sistemas de proteção até fazer seminários de conscientização, em suma deve abranger pessoas, processos e tecnologia.

Mas existem regras e proteções básicas que podem e devem ser implantadas e que já são consenso entre profissionais da área de segurança da informação. Fazendo uma analogia com os cuidados com a saúde pessoal, é consenso que exercício físico moderado faz bem para a saúde, não sendo necessário consultar um especialista para saber isso.

Na proteção de vazamento de dados, algumas regras básicas também são consenso:

Tenha um sistema antivírus.

Tenha um sistema de controle de acesso aos dados.

Sistemas de antivírus já são bem conhecidos e são a primeira barreira contra os ataques externos. Podem ser complementados por proteções de segurança mais avançadas, que fogem ao escopo deste texto, mas cito aqui pelo menos uma que recomendo implantar: WAF, ou Web Application Firewall. Sistemas de controle de acesso aos dados, ou de Gestão de Identidades e Acessos (GIA), estão sendo cada vez mais adotados pelas empresas que estão aumentando o seu nível de proteção contra vazamento de dados.

Devido à inerente complexidade e à variedade de tecnologias existentes nas empresas, somente com um sistema de GIA é possível saber, imediatamente, quem tem acesso efetivo aos dados em uma empresa e também quem autorizou esses acessos.

Pense bem: é impossível evitar vazamento de dados se você nem sabe quem tem direito de acesso a eles dentro da sua empresa. Um sistema de GIA permite o controle centralizado dos direitos de acesso aos dados, com fluxos de trabalho distribuídos, automatizando tarefas manuais, diminuindo erros operacionais e diminuindo os riscos legais da sua empresa.

E, no caso de sua empresa sofrer um vazamento de dados e estar sujeita a uma multa, um sistema de GIA será um grande atenuante para provar em juízo que a empresa fez o que as melhores práticas de segurança do mercado recomendam para proteger os dados de seus clientes, parceiros e fornecedores.

Acidentes acontecem, e um vazamento de dados pode ocorrer por acidente. A diferença no valor das multas – que podem chegar a 2% do faturamento da empresa – será em virtude dos atenuantes que cada empresa vai apresentar para caracterizar que não houve imperícia ou negligência na proteção dos dados.

Desde 1999, a e-trust tem auxiliado empresas de diversos portes a se proteger no mundo digital. Se quiser saber mais como podemos proteger sua empresa de vazamentos de dados, entre em contato com nossos especialistas. Só fica uma dica: aumente suas proteções antes de a LGPD entrar em vigor.

Você também pode gostar:

.

O que é Gestão de Identidades e Acessos? (Parte 2)

O que é Gestão de Identidades e Acessos? (Parte 2)

A primeira parte deste artigo, teve como tema a definição do que é Gestão de Identidades, requisitos fundamentais e processos típicos da implantação de um sistema de GIA.

Nesta segunda parte, vou tratar de algumas funcionalidades adicionais, de características mais avançadas de projetos e sistemas de gestão de identidades e da interoperabilidade com single sign-on.

Em resumo, este artigo tem por objetivo apresentar mais informações, casos experienciados em projetos e dicas de uso sobre os seguintes tópicos:

 

Perfis de Negócio (RBAC)

Uma das grandes vantagens de se implantar um sistema de GIA é a possibilidade de passar a trabalhar com Perfis de Negócio, implementando, o que é conhecido em inglês como Role Based Access Control (RBAC).

Usando Perfis de Negócio, é possível ‘empacotar’ uma grande quantidade de direitos de acesso (perfis de acesso) em múltiplos sistemas e solicitar/aprovar/revogar esse pacote em uma só ação.

Tipicamente, um Perfil de Negócio empacota os direitos de acesso necessários para desempenhar um cargo ou função dentro de uma empresa. Não necessariamente, um Perfil de Negócio precisa conter todos os direitos necessários para todas as variações de um determinado cargo pois podem haver especificidades por localidade, departamento, empresa do grupo, entre outras.

Por isso, é perfeitamente válido, por exemplo, usar um Perfil de Negócio intitulado “Vendedor”, contendo todos os acessos comuns a essa função e deixar que os acessos específicos para Vendedor de Varejo, Vendedor de Atacado e etc., sejam solicitados via Portal de Autosserviço (Reset de Senha). Essas solicitações poderão ser feitas pelo próprio vendedor, por seu gestor, pelo RH ou por pessoas assim autorizadas nos fluxos do Gestão de Identidades (GIA).

Outro exemplo para ganhar agilidade e reduzir erros é usar o Perfil de Negócio para os cargos mais comuns na empresa. Por exemplo, em uma implantação da qual participei, em uma empresa com milhares de funcionários, o perfil mais comum era de Conferente, uma função que, inclusive, tinha rotatividade acima da média e gerava muito trabalho manual de concessão e revogação dos direitos.

Assim, mapeamos todos os direitos de acesso necessários para essa função e empacotamos em um perfil de negócio, simplificando ao máximo os processos, eliminando trabalho manual e eventuais falhas operacionais na manipulação dos direitos de acesso. Adicionalmente, como vamos ver no item sobre Regras de Provisionamento de Perfis Padrão, automatizamos a concessão dos direitos, garantindo que quando um novo Conferente chega para assumir a sua função, todos os direitos de acesso já estão provisionados.

E, encerrando este tópico, fica uma dica: adote Perfis de Negócio (RBAC) em ondas, começando por aqueles que vão trazer os ganhos mais alinhados com os motivadores do seu projeto. Por exemplo:

  • Se o seu principal motivador é aumentar a segurança: comece pelos perfis que aprovam transações financeiras, perfis que têm acesso a dados sensíveis, seguindo para demais perfis com poder de aprovação em fluxos de trabalho (materiais, entrada/saída etc).
  • Se o seu principal motivador é aumentar agilidade e produtividade: comece pelos perfis dos cargos que mais ocorrem na sua empresa, pelos perfis cujos cargos têm maior rotatividade, seguindo para aqueles mais propensos a gerar erros manuais.

 

Regras de Provisionamento de Perfis Padrão

A automação do provisionamento de perfis padrão é uma das funcionalidades que mais contribui para aumentar a agilidade, aumentar a satisfação dos usuários de TI e reduzir erros operacionais. E a combinação das regras de provisionamento com perfis de negócio tem potencial para eliminar grande número de chamados de TI.

Em inglês, as regras que definem o provisionamento automático de perfis padrão é, normalmente, chamada de entitlement, embora o termo ainda seja usado de uma forma ampla e não ainda com um significado estrito quando se analisa como um sistema de Gestão de Identidades e Acessos implementa o conceito.

Para usar as regras de provisionamento de perfis padrão é necessário elaborar um mapeamento de perfis que tenha como resultado quais são os perfis de acesso e/ou perfis de negócio necessários para cada função na organização.

Mas você pode perguntar: por que é necessário mapear todos os cargos da empresa?

Na verdade, não é necessário mapear todas as funções e cargos da empresa. Você pode mapear apenas as funções mais alinhadas com os seus riscos organizacionais ou ações de melhoria. Por exemplo, você pode ter uma demanda da empresa para acelerar o provisionamento para vendedores em campo para que comecem a vender assim que são contratados.

De posse desse objetivo, você deve fazer o seguinte:

  • Mapear os perfis necessários;
  • Identificar quais dados cadastrais serão disparadores da concessão;
  • Garantir que esses dados estão sendo recebidos das fontes de identidades (p. Ex., sistema de folha de pagamento);
  • Criar as regras no sistema de GIA.
  • E correr para o abraço 🙂

Aproveite a oportunidade para medir quanto tempo levava para o vendedor ter os acessos antes do uso das regras e depois e dar publicidade a esse ganho para as partes interessadas.

 

Níveis de Risco de Perfis

Uma das formas de aumentar a segurança da empresa é ter clareza sobre o nível de risco dos acessos que as pessoas possuem. Por exemplo, um perfil que autoriza um pagamento é claramente um perfil de maior risco do que um perfil que permite digitar um pedido de compra.

A atribuição de níveis de risco aos perfis, tipicamente, é resultado de uma análise de risco com análise de impacto para o negócio no caso de uso doloso dos direitos de acesso.

A atribuição de níveis de risco aos perfis permite:

  • Que perfis de maior risco sejam assim identificados pelos aprovadores quando estiverem ponderando uma solicitação;
  • Que indicadores de nível de risco sejam calculados para identificar, por exemplo, contas de usuário de maior risco.

Um sistema de GIA pode ser usado para tratar alguns dos riscos identificados, por exemplo, mediante o uso de segregação de funções. Outros riscos podem ser mitigados por sistemas correlatos como, por exemplo, o uso de múltiplos fatores de autenticação para aumentar o nível de assertividade na autenticação das pessoas.

 

Segregação de Funções

Esta é, talvez, a mais importante medida de proteção a ser empregada em sistemas que autorizem ou executam transações financeiras. O conceito de segregação de funções é antigo e tem por objetivo evitar que apenas uma pessoa possa executar funções que coloquem em risco a empresa ou a própria pessoa.

Por exemplo, não é recomendado que a mesma pessoa tenha direitos para entrar com um novo pedido de compra e aprovar o pagamento desse tipo de pedido em um sistema. Uma pessoa que tem esses direitos é um típico alvo de fraudadores, pois seu objetivo é conseguir o acesso à conta dessa pessoa para poder realizar fraudes sem precisar de uma segunda ou terceira conta.

A segregação de funções começa pela identificação dessas situações de risco, passa pelo mapeamento de perfis de acesso distintos para funções distintas e termina com a configuração de uma matriz de segregação, na qual são indicados os perfis que não podem ser concedidos para uma mesma pessoa.

Essa matriz é informada ao sistema de GIA para que ele possa identificar situações de violação das regras de segregação. Quando identificar, o sistema de GIA deve, então, interceptar esses fluxos e redirecionar para aprovação adicional, tipicamente, de um gestor de risco.

O sistema HORACIUS, por exemplo, permite que o gestor de risco documente a necessidade de violação da segregação de funções e a eventual existência de controles compensatórios. Tipicamente, pequenas unidades da empresa possuem pessoas que acumulam funções e isso pode justificar a necessidade de violação da segregação. Além disso, limites de alçada são controles compensatórios normalmente usados para limitar o risco nessas situações.

O controle de segregação de funções pode ser feito em dois níveis:

No mesmo sistema: quando a matriz de segregação considera somente as transações executadas em um sistema.

Em múltiplos sistemas: quando a matriz de segregação considera transações que podem ser executadas em mais de um sistema, tipicamente integrando o controle de segregação de funções com um modelo RBAC (Role-based access control), ou controle de acesso baseado em funções e cargos.

Saiba mais sobre o HORACIUS, a solução Líder em Gestão de Identidades

 

Workflows de Aprovação Distribuídos

Na minha experiência profissional com gestão de identidades esta é a funcionalidade que vejo mais sub-utilizada nas empresas. A tendência, tanto dentro de TI como nas demais áreas da organização, é enxergar os sistemas de informação como de propriedade da área de TI, o que acaba se estendendo para os dados e informações que estão dentro dos sistemas.

Mas, na verdade, os verdadeiros ‘donos’ dos dados são as áreas de negócio da empresa que criam, manipulam, transmitem e removem os dados conforme as suas necessidades para executar os negócios da empresa.

É muito comum que a área de TI seja responsável por permitir o acesso a uma pasta de rede para uma pessoa que entra em um novo projeto. No entanto, o ato de executar a configuração que permite o acesso é, normalmente, confundido com o poder sobre a decisão.

Vemos isso até na linguagem utilizada, pois é comum ouvir-se: “vou pedir pra TI o acesso à pasta do projeto”. Mas quem define se uma pessoa vai ter direito de acesso à pasta de um projeto é a gerente desse projeto. Por que ela precisa de TI? Tipicamente, apenas para executar a ordem dada, algo que poderia facilmente ser feito por um sistema de Gestão de Identidades e Acessos, este por sua vez parametrizado por TI.

Com workflows distribuídos, podemos permitir que as diferentes áreas da empresa autorizem os direitos de acesso conforme as suas necessidades sem depender de TI pois, com provisionamento automático, os direitos são atribuídos ou retirados conforme os ‘donos’ dos dados determinam. Ao TI, compete a atribuição de criar e manter as parametrizações no sistema de GIA que dão essa agilidade ao negócio.

Com isso, um gerente de projeto pode conceder e revogar acesso a uma pasta de rede de projetos conforme as novos membros entram e saem da equipe. Um gestor financeiro pode conceder perfis de aprovação por tempo determinado para uma pessoa cobrir as férias de outra. Tudo isso sem abrir um chamado em TI.

Durante os projeto em que participei, presenciei muitas vezes o desconforto das áreas de negócio em assumir esses tipos de aprovações e reconheço que ainda é necessário conscientizar as próprias áreas de negócio sobre as vantagens do uso de fluxos de aprovação distribuídos.

Por isso, entendo que este tema deve ser tratado com especial cuidado na empresa e deve ser iniciado com áreas de negócio que já identificaram claramente as vantagens e estão dispostas a abrir mão da ‘bengala’ oferecia por TI. Acredito que com a evolução na facilidade de uso dos sistemas de GIA e com o aumento no número de nativos digitais nas empresas, o uso de workflows distribuídos tende a aumentar.

Múltiplos Fatores de Autenticação (MFA)

Um dos requisitos básicos de uma boa implantação de GIA é que a autenticação das pessoas seja feita de forma eficiente e eficaz.

Com o advento de sistemas em nuvem, cada vez mais as empresas precisam conviver com ambientes híbridos, com múltiplas contas de acesso para a mesma pessoa e com diferentes requisitos de autenticação. E uma das formas de aumentar a eficácia da autenticação e aumentar a segurança de contas com acesso a perfis de alto risco é usar mais de um fator de autenticação.

Tipicamente, as contas de acesso aos sistemas são protegidas por uma senha. Essa senha, de uso pessoal e intransferível, é que garante que, digamos, a Ana é ela mesma para o sistema de informação que a Ana está acessando.

No entanto, uma senha pode ser descoberta, compartilhada, furtada, roubada, vazada ou extraviada, fazendo com que outra pessoa ou robô possa se passar pela Ana e furtar dados, destruir dados, realizar transações e tudo o mais que é permitido pelos direitos de acesso da Ana. E tudo vai ficar registrado como se a Ana estivesse fazendo.

Para aumentar a eficácia da autenticação, podemos usar, além da senha, mais um fator de autenticação. Isso tornará muito mais difícil comprometer a segurança da conta da Ana.

Atualmente, os seguintes fatores estão sendo usados com sucesso no mercado, com diferentes níveis de aceitação pelos usuários e diferentes objetivos:

  • Token via SMS: este fator está se tornando muito popular e seu uso consiste em o sistema exigir um código após a senha. O usuário recebe esse código no seu telefone celular via mensagem de texto (SMS) e digita o código na tela de login.
  • Token via aplicativo no celular: este fator está sendo mais usado por administradores de sistemas e por sistemas de internet banking. Similar ao token via SMS, a única diferença é que o token é gerado por um aplicatio no próprio celular com base na data e hora do aparelho.
  • Biometria: este fator está usando em situações em que a presença física do usuário ocorre e/ou é obrigatória. Leitor de impressão digital é o mais usado atualmente, mas também existem usos bem conhecidos de leitor de íris do olho, biometria da palma da mão, e de reconhecimento facial.

Cabe comentar também que um segundo fator de autenticação pode ser usado após um usuários estar autenticado, com o objetivo de autorizar uma transação crítica. Por exemplo, um sistema de transferência eletrônica de fundos (TED), tipicamente, exige um segundo fator de autenticação antes de aprovar uma transação desse tipo.

Desenvolvedores de sistemas devem atentar para a possibilidade de usar esse tipo de fator de segurança em seus sitemas, uma vez que é fácil incorporar a um sistema novo e, muitas vezes, difícil de incorporar a um sistema legado. Uma dica é usar uma chamada genérica web service a um serviço externo para isso, de modo que a chamado poderá ser sempre a mesma, somente o servidor com o MFA que precisará ser alterado no futuro, caso mude a tecnologia, o fabricante ou se deseje usar outro fator de autenticação.

 

Single Sign-on (SSO)

Muitas vezes visto como o Santo Graal da autenticação de usuários, é uma solução que enfrenta cada vez menos resistência e, com o passar dos anos, cada vez mais vantagens.

Os principais objetivos de uma implantação de SSO é proporcionar:

  • Uma boa experiência de uso dos sistemas, mediante a eliminação das telas de solicitação de senhas quando uma pessoa navega de uma aplicação para outra no seu computador;
  • Maior segurança, mediante a implementação de um nível mínimo de qualidade de autenticação para todos os sistemas da empresa, usando protocolos de autenticação padrão de mercado, testados e aprovados por organismos internacionais de segurança.

Hoje, existem soluções bem testadas no mercado para fazer SSO em ambientes Windows, em aplicativos web e dentro da suite de aplicativos de um mesmo fabricante. Tipicamente, os desafios de uma implantação de SSO surgem na integração com sistemas legados, que não foram projetados para suportar esse tipo de autenticação.

Mas mesmo assim, existem soluções. Uma combinação vencedora é fazer uma composição com:

  • Um sistema de GIA para o provisionamento.
  • Um servidor de diretório padrão LDAP.
  • Um servidor de SSO com suporte a SAML, MFA e outros protocolos de autenticação de mercado.

Baixe o e-book completo e gratuito sobre o SSO

Bem, se você chegou até aqui, agradeço pela sua atenção e espero que tenha aproveitado. Procurei transmitir minha experiência de mais de 10 anos nessa área com dicas simples e diretas que você poder aplicar no seu dia-a-dia.

Fica aqui o convite para você conhecer um pouco mais sobre o nosso sistema HORACIUS e ver como podemos auxiliá-lo a ganhar agilidade e aumentar a segurança na sua empresa. 

Baixe agora o Whitepaper sobre o HORACIUS

Criando Dashboards No HORACIUS Com PowerBI

Criando Dashboards No HORACIUS Com PowerBI

Neste artigo, vou mostrar como criar dashboards com indicadores relevantes, usando o PowerBI conectado com a base de dados do HORACIUS. Além disso, deixo um link para um arquivo que você pode importar no PowerBI e já ter o mapeamento necessário para os indicadores mostrados aqui e mais alguns.

Vamos criar os seguintes indicadores de risco:

  • Pessoas com maior quantidade de perfis de acesso: para termos uma visão de risco sobre quais pessoas possuem mais direitos de acesso em todos os nossos sistemas;
  • Pessoas com acessos na maior quantidade de ativos/sistemas: para termos uma visão de risco e identificar acessos que podem ser desnecessários.

E também os seguintes indicadores de produtividade e retorno de investimento (ROI):

  • Tarefas automatizadas: quantidade de tarefas que foram executadas automaticamente pelo HORACIUS e que teriam que ser executadas manualmente caso o sistema não estivesse implantado.

O resultado final vai ficar parecido com este aqui:

O PowerBI está disponível para download em https://powerbi.microsoft.com/en-us/downloads/, escolha o PowerBI Desktop e instale conforme as instruções.

Para conectar com o banco de dados do HORACIUS, é necessário instalar também o driver MySQL, que está disponivel em https://dev.mysql.com/downloads/connector/net/.

Após, recomendo criar um usuário somente leitura no banco de dados do HORACIUS para coletar os dados (use uma senha diferente do exemplo abaixo). Os seguinte comandos SQL criam um usuário chamado powerbi com essas características. Para executá-los, você pode usar o MySQL Workbench ou qualquer outra ferramenta SQL ou MySQL, incluindo a interface de linha de comando.

GRANT SELECT ON horacius.* to powerbi;

SET PASSWORD FOR powerbi = PASSWORD(‘hjuirt639hyrwoly93’);

Bem, agora é só baixar o arquivo com o mapeamento das tabelas do banco de dados do HORACIUS para o PowerBI: HORACIUSKPI01.pbix

Clique duas vezes no arquivo para abri-lo ou abra a partir do PowerBI e você terá uma tela como a abaixo:

Neste arquivo de exemplo, já estão configurados os indicadores mencionados acima e mais alguns. Observe que há 3 páginas de dashboard:

  • Page1: contém indicadores de status e de risco
  • Page2: contém indicadores de automação
  • Page3: contém indicadore de ROI, com horas de trabalho que foram automatizadas

O útimo passo é conectar o PowerBI com o banco de dados do seu sistema HORACIUS e atualizar os indicadores.

Para isso, clique em Edit Queries/Data Source Settings para abrir a janela de configuração da base de dados.

Selecione a base horacius que está listada e clique em Change Source.No campo Server, digite o nome ou endereço IP do seu servidor HORACIUS e clique em OK.

Agora, clique em Refresh para atualizar os indicadores dos dashboards e entre com a senha que foi configurada para o usuário PowerBI, na aba Database.

Aguarde as consultas serem executadas (pode levar alguns minutos se a base de dados for grande) e veja os indicadores atualizados ao final das consultas, numa tela parecida com a primeira tela deste artigo.

Agora você poderá usar o mapeamento das tabelas de dados do HORACIUS para as consultas do PowerBI que está nesse arquivo para criar outros indicadores que sejam relevantes pra você. Se precisar de ajuda, entre em contato com nossa equipe de suporte.

Compartilhe:

O que é gestão de identidades e acessos? (Parte 1)

O que é gestão de identidades e acessos? (Parte 1)

Este artigo é voltado para quem está buscando mais informações sobre gestão de identidades, acessos e outras funcionalidades correlatas. O objetivo é dar uma visão geral sobre o assunto para entender o escopo completo do que hoje se entende por Gestão de Identidades e Acessos (GIA).

Gestão de Identidade: entenda esta funcionalidade e como ela se relaciona com os sistemas de sua empresa

Este artigo é voltado para quem está buscando mais informações sobre gestão de identidade, acessos e outras funcionalidades correlatas.

O objetivo aqui é dar uma visão geral sobre o assunto para entender o escopo completo do que hoje se entende quando se usa o termo Gestão de Identidade.

A figura abaixo fornece uma visão geral de como um sistema de gerenciamento de identidades, no caso o HORACIUS, se relaciona com os demais sistemas de uma empresa.

Pra começar, vamos falar do próprio termo Gestão de Identidade. Em inglês, usa-se bastante Identity Management (IDM) e Identity and Access Management (IAM). No Brasil, tem se tornado cada vez mais popular o emprego de GIA para Gestão de Identidade e Acessos.

Ao longo dos últimos 10 anos, o escopo de gestão de identidade e acessos vem sendo ampliado. E, hoje, há uma interoperabilidade (ou seja, capacidade de um sistema de se comunicar de forma transparente com outro sistema) bastante variada com múltiplos sistemas correlatos. Estes sistemas incluem Single Sign-on, Multi-factor Authentication, Mobile Device Management, Cloud Services, IDaaS e outros.

O que esperar deste artigo

Nesta primeira parte, eu vou me concentrar no que considero o núcleo de Gestão de Identidade e Acessos, que são aquelas funcionalidades que todo projeto deveria implantar:

  • Governança e Administração de Identidades;
  • Autenticação Centralizada;
  • Provisionamento Automático;
  • Portal de Autosserviço,
  • Auditoria Automatizada.

Gestão de Identidade e Acessos: Definição

Sob a ótica de processo, podemos dizer que gestão de identidade é o processo pelo qual se organiza e administra as relações entre pessoas e ativos de informação de uma organização durante todo o ciclo de relacionamento entre tais indivíduos e a empresa em si.

O que são ativos de informação

Os ativos de informação são, tipicamente, sistemas, mas também são informações em meio físico.

Note também que o ciclo de relacionamento abrange diferentes períodos em que as pessoas podem estar em diferentes funções na mesma organização – por exemplo, como estagiário e funcionário. Por isso, é fundamental que a gestão de identidade consiga administrar a identidade de cada pessoa univocamente, independente do período e do tipo de relacionamento.

Identity of Things (IDoT)

Recentemente, passamos a incluir nessa gestão também a identidade das coisas (Identity of Things, ou IDoT). Mas como este é um texto introdutório, deixo IDoT para outro momento.

Antecipo apenas que as coisas se relacionam e interagem tanto com pessoas quanto com sistemas e trazem uma nova dimensão de complexidade.

Agora, vamos olhar mais de perto o que é cada uma das funcionalidades acima:

1. Governança e Administração de Identidades

Este tópico é fundamental, pois compreende as definições sobre como serão organizadas as identidades e os acessos aos sistemas.

No escopo da governança e administração estão:

  • Inventário de sistemas e perfis de acesso;
  • Inventário das identidades;
  • Definição de fluxos, papéis e responsabilidades;
  • Organização das identidades e categorização de, por exemplo, funcionários, prestadores de serviço, representantes e, até mesmo, clientes;
  • Definição dos processos de solicitação, aprovação, revogação e revisão de direitos de acesso;
  • Definição de regras de automação para os processos acima,
  • Administração das identidades e dos acessos: por exemplo, inclusão de novo sistema e seus perfis no inventário; mudança no fluxo de aprovação para exigir que o gestor da pessoa também aprove e outras atividades necessárias para que os processos de GIA operem adequadamente.

2. Autenticação Centralizada

Esta é a funcionalidade que mais provavelmente o seu projeto não vai contemplar. Pelo menos, não integralmente.

A diversidade de aplicações e plataformas tecnológicas existentes dificulta a centralização da autenticação. Por outro lado, há anos existem tecnologias e protocolos para centralizar a autenticação.

Sempre recomendo que as empresas coloquem como requisito para compra de novos sistemas o suporte ao seu sistema de diretório. Muitas empresas usam Active Directory, enquanto outras utilizam diferentes versões de LDAP (OID, NDS, etc).

Porém, quando vão encomendar um novo aplicativo mobile deixam o fornecedor criar mais uma tabela de usuário e senha em um banco de dados que ninguém definiu onde ficaria.

Autenticação via protocolos: vantagem ou desvantagem?

Diversos sistemas mais complexos e mais modernos, incluindo sistemas em nuvem, suportam autenticação centralizada via protocolos como LDAP, SAML, OpenID e OAuth.

Contudo, na hora da compra o foco fica muito mais nas funcionalidades da aplicação do que na organização da autenticação. E ninguém quer chamar o “cara” de segurança para dar opinião, porque ele tem fama de colocar dificuldade em tudo.

Resultado: mais uma senha para o usuário guardar, lembrar, esquecer, resetar, anotar, perder a anotação, esquecer, resetar…

A maioria dos sistemas que existem hoje não suportam integração com serviços de diretório ou Single Sign-on.

Solução: sincronização de senhas. O portal de autosserviço do Horacius suporta essa funcionalidade e temos visto que ela traz diversos benefícios para os usuários de negócio.

Como lidar com a autenticação centralizada

Então, resumindo este controverso tópico:

  • Se você não tem um sistema de diretório, adote um;
  • Se a aplicação suporta autenticação via serviço de diretório, habilite;
  • Se a aplicação não suporta, veja se é possível desenvolver essa funcionalidade,
  • Se é impossível suportar, tente usar sincronização de senhas.

3. Provisionamento Automático

Talvez o melhor tópico para os profissionais de TI.

Finalmente iremos automatizar aquelas tarefas tediosas e que não agregam nenhum valor no que diz à gestão de identidade. São elas: criar conta de usuário, desabilitar conta, trocar senha e tantas outras.

O provisionamento automático, tipicamente, abrange as seguintes atividades:

  • Criação, alteração, remoção de conta de usuário;
  • Cadastro e atualização de dados das pessoas nos catálogos dos sistemas;
  • Bloqueio, desbloqueio de contas;
  • Troca de senhas;
  • Associação, desassociação de uma conta a um direito de acesso.
  • Consultas a contas, perfis e direitos associados a contas.

Gestão de identidade mais avançada ao Provisionamento Automático

Adicionalmente, quando a gestão de identidade é mais avançada, abrange também as seguintes atividades:

  • Importação de contas, perfis e/ou roles;
  • Criação, alteração, remoção de perfis e/ou roles;
  • Criação, alteração, remoção de grupos,
  • Criação, alteração, remoção de atributos dos direitos: tipo de licença, alçada etc.

4. Portal de Autosserviço

A maior parte da gestão de identidade é composta por processos invisíveis ao usuário de negócio.

Por isso, é muito importante que o portal de autosserviço forneça uma boa experiência de uso e tenha os serviços que o usuário mais precisa.

Fundamentalmente, um portal de autosserviço de Gestão de Identidade e Acessos (GIA) deve permitir ao usuário redefinir (resetar) a sua senha de forma simples e segura no maior número de sistemas que for possível.

Além disso, o portal tipicamente oferece os seguintes serviços:

  • Solicitar novos acessos a sistemas e novos direitos de acessos; a sistemas em que o usuário já tem acesso;
  • Acompanhar o andamento das solicitações;
  • Ver a relação dos direitos de acessos que o usuário possui em todos os sistemas,
  • Administrar a sua identidade.

5. Auditoria Automatizada

Um dos controles fundamentais na gestão de identidade é garantir que todas as contas das pessoas que não tem mais relacionamento com a organização tenham sido desativadas ou removidas.

Outro controle, um pouco mais sofisticado, é garantir que somente os direitos de acessos efetivamente aprovados estão configurados nos sistemas. E que direitos que tiveram seu prazo de validade expirado foram retirados adequadamente.

E aqui fechamos o ciclo iniciado na governança e administração de identidades. Pois os fluxos de aprovação definidas naquele tópico agora serão usados para verificar se as contas e os direitos de acesso configurados nos sistemas estão de acordo com o que foi aprovado.

Perfis de auditoria automatizada

A auditoria automatizada pode ser:

  • Eventual: quando uma verificação é iniciada manualmente,
  • Periódica: quando o sistema de GIA faz verificações automatizadas e agendadas.

Quando a auditoria é periódica, podemos configurar regras para:

  • Informar e gerar um incidente para uma conta não aprovada;
  • Bloquear automaticamente uma conta não aprovada;
  • Retirar um direito que não foi aprovado,
  • Entre outras ações automáticas.

Quando a auditoria automatizada é configurada e usada adequadamente, só vamos receber e-mails de alerta quando algo estiver errado.

Será uma sensação diferente. Mas quando não estivermos recebendo nenhum e-mail será por que os processos estarão sendo executados conforme esperado e nenhuma divergência tenha sido encontrada.

O que é Gestão de Identidades e Acessos? (Parte 2)

Na segunda parte deste artigo, eu trato de aspectos avançados de gestão de identidades e da interoperabilidade com outros módulos. Como SSO, autenticação com múltiplos fatores e controle de acesso adaptativo. Clique aqui para ler segundo artigo na íntegra.

Compartilhe: