(11) 5521-2021 [email protected]
Gestão de Direitos, o Sistema Imunológico da Transformação Digital

Gestão de Direitos, o Sistema Imunológico da Transformação Digital

Eu, como muitos de vocês, profissionais da área de TI, para me manter atualizado, tenho visto apresentações em eventos da área, assistido sessões de Webinar, meetups, e tenho visto que o assunto transformação digital está sempre presente. As vezes como tema central, outras como ferramenta para materializar um projeto. O fio condutor entre os eventos são as pessoas e o seu acesso às informações. Seja para atender melhor um cliente, fornecer um produto personalizado ou para reduzir custos no processo de produção e entrega.

Me chamou a atenção que, embora mencionada como um pilar vital para o processo, a gestão de direitos de acesso, muitas vezes, passa quase desapercebida. Mas não se deixe enganar por sua quase invisibilidade, os especialistas são categóricos: um projeto de transformação digital que não contemple a gestão de direitos, não é viável a longo prazo. Algo como um ser vivo sem um Sistema Imunológico.

Na verdade, quando se estuda projetos de transformação digital que tiveram sucesso, claramente identificamos a vertical de gestão de Identidades e Acessos, da mesma forma que o sistema imunológico, silenciosamente protegendo o que há de mais valor em sua organização.

A gestão de Identidades tem o poder de, quando corretamente implantada, atuar tanto no nível operacional quanto no estratégico. No nível operacional, automatizando tarefas e agilizando o atendimento aos clientes, reduzindo custo, erros e retrabalho. Já no nível estratégico, garante que a organização esteja alinhada com as boas práticas, ou seja, apta a fazer negócios sem se ariscar a vazamentos de informações que podem até gerar multas, como no caso de descumprimento da nova Lei de Proteção de Dados (LGPD).

Veja aqui: o que é a nova Lei Geral de Proteção de Dados (LGPD)

Na prática, quando os projetos piloto de transformação digital se preparam para efetivamente ganhar espaço no portfólio da empresa, é vital saber como responder as questões:

  • Quem tem acesso as informações?
  • Quem autorizou o acesso?
  • Quais sistemas tratam informações de quais pessoas? 
  • E, claro, como você gerencia tudo isso?

A transformação digital é uma evolução necessária, mas é preciso estar atento que ao simplificar o processo de produção e entrega, sob o ponto de vista do cliente, geramos uma demanda considerável por recursos de tecnologia. Para gerir de forma segura estes recursos, na linha de frente está a Gestão de Identidades e Acesso (GIA).

Sem isso, sua empresa estará correndo riscos desnecessários, que podem variar de multas até a inviabilidade do seu negócio. Projetos de Transformação Digital aumentam muito a exposição da empresa junto ao público consumidor e pesquisas mostram que mais de 50% dos consumidores pretendem desistir de fazer negócios com empresas que vazem seus dados pessoais.

Lembre-se sempre: não é possível ter sucesso no mundo digital sem a garantia que os direitos de acesso são corretamente gerenciados.

Para saber mais, veja nosso webinar: Qual a importância da Gestão de Identidades e Acessos para a Transformação Digital?

Como a Gestão de Identidade pode ajudar a manter as empresas em conformidade com o GDPR?

Como a Gestão de Identidade pode ajudar a manter as empresas em conformidade com o GDPR?

A Gestão de identidade ajuda as organizações a atender aos requisitos de GDPR (Regulamento Geral de Proteção de Dados ou em inglês General Data Protection Regulation) de maneira sustentável e econômica, fornecendo visibilidade centralizada e controle sobre “quem tem acesso a quê”. Ele oferece um mapeamento de quais usuários, em quais funções, podem acessar aplicativos e dados (dados estruturados e não estruturados).

Os principais elementos da Gestão de identidades – governança de acesso a dados, controles de conformidade, provisionamento automatizado, gestão de logs e gerenciamento de senhas – desempenham papéis importantes na identificação de dados pessoais, protegendo esses dados e demonstrando a conformidade com o Regulamento Geral de Proteção de Dados – em toda a organização.

  • Governança de acesso a dados: automatiza o monitoramento de atividades para melhorar a mitigação de riscos e entender o uso apropriado. Garante que direitos não autorizados, como as contas órfâs, proliferem nos sistemas, gerando risco e não formidades.
  • Controles de conformidade: permite que as organizações definam e apliquem políticas de acesso, conduzam revisões regulares de acesso pelos proprietários de dados e revoguem automaticamente o acesso inadequado. Fornece relatórios centralizados de todos os controles preventivos e de detecção.
  • Provisionamento automatizado: garante que o acesso a dados pessoais seja concedido apenas com base na necessidade de acesso devidamente aprovada. Adicionalmente fornece o fluxo de trabalho para as necessárias alterações e revogações.
  • Gestão de Logs: coleta e mantém em local seguro, os registros das atividades, na forma de logs de auditoria dos principais sistemas. Relatório de atividades elaborado com base nos logs armazenados garante a rastreabilidade das atividades de aceso aos dados.
  • Gerenciamento de senhas: aplica políticas de senhas fortes em todos os sistemas que contêm dados pessoais. Aumenta a segurança e facilidade de uso, via um portal de troca de senha.

Saiba como o GPDR impacta os profissionais de Segurança da Informação

As áreas específicas em que a Gestão de identidade pode ajudar as organizações a se preparar e atender aos requisitos de GDPR são mostradas abaixo:

Princípios de Proteção de Dados Pessoais

O principal objetivo do GDPR é a privacidade: a proteção de dados pessoais. Isso significa que o foco agora está em como as organizações processam, armazenam e protegem dados pessoais. Para atender aos requisitos do GDPR, as organizações devem demonstrar conformidade com os princípios de proteção de dados definidos no Artigo 5º.

 

Artigo 5º do GDPRPrincípios de Proteção de Dados O dado pessoal deve ser:

  • Processado de forma legal, justa e transparente.
  • Recolhidos para finalidades específicas, explícitas e legítimas e não processados ​​posteriormente de maneira incompatível com esses propósitos.
  • O acesso deve ser adequado, relevante e limitado àqueles que são necessários em relação aos fins para os quais eles são processados.
  • Exato e, quando necessário, atualizado; Controles e processos devem existir para garantir que os dados pessoais que são imprecisos sejam apagados ou corrigidos.
  • Mantido de uma forma que permita a identificação dos titulares de dados, mas não mais do que o necessário para atender os fins para os quais os dados pessoais são processados.
  • Processado de uma maneira que garanta a segurança apropriada dos dados pessoais, incluindo proteção contra: processamento não autorizado ou ilegal, perda, destruição ou dano acidental.
Como a governança de identidades pode ajudar  Fornece visibilidade:

  • Quais dados pessoais estão sendo armazenados?
  • Onde e como é armazenado?
  • Quem é o responsável?
  • Quem pode acessar os dados?
  • Quem acessou?
  • Quando os direitos de acessos aos dados expiram? Controla e protege dados pessoais
  • Alerta para direitos de acessos aos dados pessoais que não foram utilizados ​​em um período de tempo especificado.
  • Remove os direitos de acesso que expiraram.
  • Atribui proprietários ou responsáveis pelo acesso aos dados e realiza revisões regulares dos perfis de acesso.
  • Mantém os direitos de acesso aos dados pessoais no mínimo necessário, com perfis de acesso e segregação de funções.
  • Detecta e revoga direitos de acesso inadequados.

 

 

 

Protegendo Dados Pessoais

O GDPR exige que as organizações implementem medidas técnicas e organizacionais apropriadas para proteger os dados pessoais. Em particular, as organizações devem prever desde o inicio do projeto, medidas para garantir a conformidade da proteção de dados. Isso significa que, para cada produto ou serviço novo ou já existente, as organizações devem garantir que o produto ou serviço seja projetado tendo em mente a conformidade com a proteção de dados.

Artigos 25 e 32 do GDPR

Proteção de dados, por padrão, desde o início. 

O responsável pela guarda dos dados deve, tanto no momento da determinação dos meios de processamento como no processamento, implementar medidas técnicas e organizacionais adequadas, concebidas para aplicar os princípios de proteção de dados, de forma eficaz. Implantar e integrar as salvaguardas necessárias no processamento, a fim de satisfazer os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.

Segurança de dados

O responsável pelo tratamento e o subcontratante devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, conforme adequado:

  • A pseudonimização e criptografia de dados pessoais.
  • A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento.
  • A capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico.
  • Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

 

 

 

Como a governança de identidades pode ajudar

Fortalece os controles

  • Fornece visibilidade centralizada dos modelos de controle de acesso para todos os recursos que armazenam e processam dados pessoais.
  • Atribui de forma discrecionária os direitos de acesso aos recursos, sistemas ou pastas que contêm dados pessoais.
  • Permite a revisão totalmente automatizada dos direitos de acesso em todos os recursos que contêm dados pessoais.
  • Varre recursos automaticamente para descobrir e relatar qualquer violação da política de acesso, como por exemplo: direitos não autorizados.Garante o acompanhamento contínuo
  • Usa o controle de acesso baseado regras de negócio, permitindo atribuir perfis de acordo com a função, para garantir que o acesso a dados pessoais seja concedido em uma base de necessidade de conhecimento (“privilégio mínimo”).
  • Detecta automaticamente alterações, como transferências ou encerramentos, e inicia o fluxo de trabalho apropriado para revisar, remover ou alterar privilégios de acesso.•          Requer aprovação do gerente ou do proprietário dos dados para as concessões ou alterações de acesso.
  • Registra as solicitações de acesso bem como as aprovações, fornecendo um registro completo e auditável de quem solicitou acesso a quais sistemas e quem aprovou ou negou a solicitação.
  • Fornece relatórios para permitir a autoavaliação e comprovação de conformidade com o GDPR

 

 

Monitoramento e Detecção

O GDPR exige que as organizações implementem medidas para relatar violações de dados às Autoridades de Processamento de Dados (DPAs) e, em alguns casos, aos sujeitos de dados. O regulamento concede às empresas 72 horas a partir do momento em que tomam conhecimento de uma violação para denunciá-lo. As organizações precisarão estar preparadas para divulgar imediatamente detalhes específicos sobre os indivíduos afetados, a duração da violação e quaisquer ações corretivas tomadas.

Artigos 33 e 34 do GDPR

Relatório de violações de dados para os DPAs

  • Controladores – No caso de uma violação de dados, o controlador deve informar a violação ao DPA, até 72 horas após tomar conhecimento do mesmo. O controlador deve manter registros de todas as violações de dados, incluindo os fatos e efeitos da violação e qualquer ação corretiva tomada.
  • Processadores – Os processadores devem notificar imediatamente ao controlador, qualquer violação das regras de acesso aos dados. Como reportar violações de dados a sujeitos de dados? No caso de uma violação que cause um risco para os titulares de dados, o responsável pelo tratamento deve notificar os titulares de dados afetados. No entanto, o controlador pode estar isento deste requisito se:
  • O risco de dano é remoto porque os dados afetados são protegidos (por exemplo, por criptografia forte);
  • O controlador tomou medidas para proteger contra os danos (por exemplo, suspendendo contas afetadas); ou a notificação exige um esforço desproporcional (caso em que o controlador deve emitir um aviso público da violação).

 

 

 

Como a governança de identidades, quando integrada com a gestão de logs de acesso pode ajudar?

Automatiza a Detecção 

  • Monitora quem está acessando dados pessoais, quando, de onde e que tipos de operações estão realizando.
  • Permite a definição personalizada de perfis de acesso e monitoração para identificar eventuais violações.
  • Notifica e alerta os proprietários e gerentes de dados sobre quaisquer violações ou anomalias detectadas.
  • Automatiza remediações quando violações são detectadas, por exemplo, a revogação de um acesso não autorizado.
  • Permite que os proprietários de dados executem verificações de status de risco em tempo real sobre os dados que eles gerenciam. Fornece Auditoria Completa e Forense
  • Fornece as trilhas de auditoria necessárias para conduzir a análise forense no caso de uma violação de dados.
  • Registra todas as alterações no acesso, fornecendo um registro completo e auditável de quem solicitou acesso a quais sistemas e quem aprovou ou negou a solicitação.
  • Fornece relatórios de auditoria com visualizações detalhadas de todas as atividades de acesso a dados, alterações de permissão e possíveis atividades não compatíveis.

 

 

Requisitos de documentação de conformidade

O GDPR exige que as organizações mantenham um Registro Interno para documentar todas as atividades de processamento de dados pessoais. Essas regras exigem que os controladores e processadores criem um registro centralizado que documente as atividades de processamento de dados e descrevam as medidas de segurança técnica e organizacional tomadas para proteger os dados pessoais.

As organizações também devem verificar a necessidade de executar uma Avaliação de Impacto de Privacidade (PIA), para identificar e marcar dados pessoais de “alto risco”. Este requisito acrescenta a necessidade de demonstrar que medidas apropriadas foram implementadas com relação à identificação dos riscos relacionados ao processamento, a avaliação da natureza, probabilidade e gravidade do risco, bem como a documentação das melhores práticas implementadas para mitigar riscos.

Artigos 30 e 35 do GDPR 

Registro de processamento para controladores

Cada controlador deve manter registros das atividades, incluindo:

  • As categorias de titulares de dados e dados pessoais processados.
  • As categorias de destinatários com quem os dados podem ser compartilhados.
  • Uma descrição das medidas de segurança implementadas em relação aos dados processados.

Avaliação de impacto de privacidade

Os controladores devem realizar avaliações de impacto na privacidade, onde um tipo de processamento pode resultar em um alto risco para os direitos e liberdades dos indivíduos. Um PIA deve incluir:

  • Uma descrição das operações de processamento e finalidades do processamento.
  • Uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados
  • Medidas previstas para enfrentar os riscos. Se uma PIA indicar que o processamento resultaria em um alto nível de risco, na ausência de medidas tomadas pelo controlador para mitigar o risco, o controlador deve consultar a Autoridade Supervisora ​​antes do processamento.

 

Como a governança de identidades pode ajudar

Simplifica os requisitos de relatório

  • Registra e fornece rastreabilidade dos locais utilizados para armazenamento de dados, como servidores de arquivos, portais, caixas de correio e pastas na nuvem.
  • Fornece visibilidade completa dos perfis de controle de acesso para cada recurso que armazena ou processa dados pessoais.•          Sinaliza os perfis que concedem acesso a dados pessoais de alto risco.
  • Lista pessoas com perfis concedidos que permitem acesso a dados de alto risco.  Avalia e mitiga o risco
  • Automatiza a revisão periódica do acesso a dados pessoais por gerentes e proprietários de dados.
  • Fornece relatórios detalhados de cada ciclo de revisão de acesso, incluindo acesso inadequado detectado, revogações de acesso e violações de política detectadas e corrigidas.
  • Usa controle de acesso baseado em função para garantir que o acesso a dados pessoais seja concedido em uma base de necessidade de conhecimento (“privilégio mínimo”)
  • Aplica políticas de senhas fortes em todos os sistemas que contêm dados pessoais.
  • Varre recursos automaticamente para descobrir e relatar violações da política de acesso, como contas orfâs e direitos não revisados.
  • Fornece relatórios para permitir a autoavaliação e fornecer comprovação de conformidade com o GDPR.

 

Ao implementar uma solução de governança de identidade, a organização não está apenas em conformidade com o GDPR, mas também está se preparando para atenuar os riscos de uma violação de dados.

Ou seja, cada vez mais a segurança e a agilidade dos processos de negócio depende diretamente da gestão dos direitos de acesso aos sistemas da empresa. Listado desde 2011 no Gartner Magic Quadrant for Identity Governance and Administration e com a maior base instalada do Brasil, o HORACIUS é a solução de Gestão de Identidades e Governança mais completa do mercado.

Nossa Gestão de Identidade HORACIUS pode ser integrado com os principais sistemas de Recursos Humanos do mercado, sincronizando informações e executando tarefas vitais para o bom andamento dos negócios. Todo o histórico de direitos das pessoas aos sistemas é gerenciado, desde o primeiro acesso, no momento da admissão, até a revogação dos direitos no final do vínculo.

Arquivo

O impacto do GPDR para os profissionais de Segurança da Informação

O impacto do GPDR para os profissionais de Segurança da Informação

A legislação GPDR ou Regulamento Geral de Proteção de Dados da União Européia representa a mudança mais significativa na lei global de privacidade em 20 anos. Introduz requisitos de privacidade novos e abrangentes para qualquer organização que manipule os dados pessoais de indivíduos que vivem na Europa.

O GDPR ampliará e adicionará requisitos ao seu antecessor, a Diretiva de Proteção de Dados da UE ou DPD, e por ser um regulamento, não uma diretiva, terá força legal vinculante em todos os estados membros. O Regulamento Geral de Proteção de Dados foi adotado em abril de 2016 e entra em vigor em 25 de maio de 2018.

Algumas mudanças importantes que serão promulgadas pelo GDPR incluem:

  • Aplicação mundial de uma lei europeia em matéria de proteção de dados. A nova lei não se limita aos estados membros da UE. Não importa onde eles estejam localizados, as organizações localizadas fora da UE que processam os dados pessoais de indivíduos que residem na UE terão que cumprir com o GDPR. O descumprimento não é uma opção. Sob a nova legislação, as organizações podem incorrer em multas de até € 20 milhões ou 4% da receita bruta anual, o que for maior, dependendo da natureza da violação.
  • Um novo requisito é a obrigatoriedade de notificação em caso de violação ou divulgação não autorizada de dados. As organizações terão de notificar a autoridade europeia responsável pela proteção de dados sobre uma violação no prazo de 72 horas. Uma notificação também deve ser feita aos indivíduos afetados, quando houver um alto risco para eles.
  • Muitas organizações precisarão nomear um diretor de proteção de dados (DPO) para ser responsável por implementar e monitorar a conformidade com o GDPR e realizar avaliações de conformidade. As organizações também deverão mapear o processamento de dados pessoais da UE e realizar avaliações de impacto de proteção de dados para processamento de alto risco.
  • As organizações devem adotar uma abordagem proativa para garantir que os padrões apropriados de proteção de dados sejam incorporados em todos os sistemas e processos que lidam com dados pessoais. Uma observação importante é que a governança de acesso a dados e identidades atende a vários requisitos deste regulamento e pode ajudar a preparar sua organização, para a conformidade com o Regulamento Geral de Proteção de Dados.

 

O que o GDPR significa para profissionais de tecnologia de Segurança da Informação?

O Regulamento Geral de Proteção de Dados é uma estrutura legal que não especifica muitos detalhes técnicos sobre como atingir a conformidade. No entanto, ele define claramente um novo conjunto de princípios e procedimentos de proteção de dados que devem ser seguidos.

Para começar a usar os requisitos do GDPR, as organizações precisam ter um entendimento claro de como processam, armazenam e protegem dados pessoais. Depois que a organização tiver catalogado todos os dados pessoais usados ​​para processamento, ela deverá garantir que esses dados estejam adequadamente protegidos.

O GDPR determina que “medidas técnicas e organizacionais apropriadas” sejam implementadas para proteger os dados, e requer documentação que demonstre essa conformidade. Por fim, o GDPR exige que as organizações monitorem e detectem quaisquer violações de acesso aos dados pessoais e notifiquem as autoridades e, em alguns casos, os responsáveis ​​pelos dados.

No mundo da tecnologia atual, os riscos são mais complexos e os ataques são mais frequentes do que nunca. As organizações enfrentam dificuldades para conceder e gerenciar um número cada vez maior de aplicativos, ao mesmo tempo em que enfrentam ataques cibernéticos mais frequentes e sofisticados.  O difícil equilíbrio entre a segurança e a conveniência – construir um ambiente onde os usuários trabalhem com conforto e segurança nunca foi tão difícil ou mais crítico.

As equipes de segurança de TI de hoje estão lutando para gerenciar a explosão de aplicativos móveis e na nuvem. Eles também devem gerir os direitos de acesso de uma equipe global e distribuída, composta de empregados, clientes, parceiros. Tudo isso além de enfrentar e o desafio de atender aos requisitos de leis e regulamentos que adicionam complexidades à forma como a segurança deve funcionar.

Para piorar a situação, não é mais suficiente se concentrar em defender a infraestrutura de aplicativos e o perímetro de rede da organização. Como recentes ataques de segurança demonstram, está se tornando mais comum que as identidades se tornem o vetor de ataque para criminosos cibernéticos. Em vez de segmentar redes e infraestruturas de aplicativos, os hackers agora exploram identidades para obter acesso a sistemas e dados confidenciais.

Saiba como a Gestão de Identidade pode auxiliar as empresas a manterem a conformidade com o GDPR.

Arquivo

O que é GDPR? Confira as 4 principais dicas para não ser pego de surpresa.

O que é GDPR? Confira as 4 principais dicas para não ser pego de surpresa.

Você tem uma empresa ou trabalha em uma que possui relacionamento com clientes e parceiros Europeus? Fique atento ao GDPR e sobre como ele impacta no negócio da sua organização.

 

A não ser que voce tenha estado em uma caverna isolada, nos últimos meses, já deve ter ouvido falar na GDPR, a nova legislação da Comunidade Européia. O GPDR é a sigla em inglês para General Data Protection Regulation, que traduzido significa “Regulamento Geral de Proteção de Dados”, que é a norma mais recente criada e aprovada para ampliar a proteção de dados pessoais de cidadãos da União Européia (UE). Tal norma se aplica para todas as empresas estabelecidas na Europa e até mesmo para empresas privadas ou públicas fora dos limites territoriais, mas que possuem relação de negócio com clientes e parceiros europeus.

Os legisladores da União Européia estão dando um novo passo nos requisitos de segurança de dados, olhando para a segurança de informação da organização com outra perspectiva: a dos consumidores. A UE já aprovou leis de proteção de dados ao consumidor, mas o GDPR, pela primeira vez, inclui penalidades financeiras significativas se as empresas não conseguirem proteger as informações coletadas.

Com vigência definida para iniciar em maio de 2018, este regulamento afeta qualquer organização que faz negócios dentro da União Europeia e coleta informações pessoais identificáveis ​​(PII) de cidadãos da UE (independentemente de onde sua sede está localizada). A lei também traz consequências severas se você for considerado não cumpridor: as penalidades podem ser de até 4% da receita anual global da empresa ou 20 milhões de euros (o que for maior).

Se a sua organização tem sido diligente em abordar as regulamentações existentes, incluindo PCI DSS, HIPAA ou SOX, ou uma das muitas leis de proteção de dados específicas de países da União Européia, talvez você já tenha uma boa base. Mesmo assim, você pode ter mais a considerar com as ramificações do GDPR, especialmente considerando que a nova norma substitui os regulamentos existentes, incluindo a Diretiva de Proteção de Dados da União Europeia. Para complicar, o Regulamento Geral de Proteção de Dados não é um tamanho único para todos os tipos de regulamentação. Na verdade, aumenta a obrigação de uma organização à medida que aumenta a percepção de risco.

Exemplo: As organizações com mais de 250 funcionários precisarão aderir às regras mais rigorosas do que aquelas com menos de 250 funcionários.

O GDPR também exige mudanças em como e onde as organizações armazenam dados de clientes e mais importante: como elas concedem acesso a esses dados, para funcionários, contratados e parceiros de negócios. Além disso, determina que as organizações relatem qualquer violação de dados envolvendo dados do cliente em menos de 72 horas. Isso exige que os modelos de segurança existentes evoluam de evitar a violação de dados na camada de rede, para detectar e remediar eventos em tempo real.

Por muitos anos, as empresas têm se concentrado em criar barreiras no perímetro da rede como um meio de proteger seus aplicativos e dados internos. No entanto, com um número crescente de violações ocorrendo devido a credenciais comprometidas, as organizações estão percebendo que a maneira de mitigar esses riscos é implementar uma governança de identidades. Na medida em que as organizações adotarem esses controles de governança mais fortes, elas se encontrarão melhor posicionadas para atender aos requisitos de GDPR que estão por vir.

Confira as 4 principais dicas para não ser pego de surpresa

Coloque sua “casa de identidade” em ordem ou como evitar receber uma multa gigante.

Agora é a hora de colocar sua casa de identidades em ordem, antes que as fases de aplicação de penalidades entrem em vigor.

  1. Identifique seus dados confidenciais
    Primeiro, identifique os dados de clientes que precisam ser protegidos pelo GDPR e entenda que eles provavelmente estão espalhados em sua organização. Podem estar em sistemas estruturados como, por exemplo: aplicativos ou bancos de dados, ou pode existir como dados não estruturados – como uma planilha do Excel – localizados em sistemas de arquivos, portais de colaboração, ou até mesmo em sistemas de armazenamento em nuvem como DropBox ou Google Drive.
  2. Determine quem tem acesso
    Em segundo lugar, defina quem deve ter acesso aos dados do cliente e concilie-os com quem tem. Este, é claro, deve ser um processo contínuo, não um evento único. Certifique-se de incluir todos os aplicativos e plataformas de armazenamento de arquivos (no local e na nuvem) nos quais você está armazenando dados de cliente.
  3. Crie controles preventivos e detectivos
    Os usuários devem ter acesso apenas aos recursos que precisam e não mais que isto. A regra de ouro é “tudo é muita coisa”. Procure criar a cultura do “Privilégio mínimo”, para que as pessoas entendam que o  acesso a dados confidenciais devem ser restritos.
  4. Automatize e monitore
    É aqui que as ferramentas de governança de identidade podem ajudar a garantir que os usuários não consigam acessar dados confidenciais de maneira imprópria.

Saiba o que muda para os profissionais da área de Tecnologia de Segurança da Informação

Arquivo

O que é SSO ou Single Sign-On?

O que é SSO ou Single Sign-On?

Imagino que você já tenha ouvido falar sobre SSO ou Single Sign-On. Mas que tal conhecer um pouco mais sobre esta funcionalidade, que é tão importante para a entrega de uma melhor experiência de uso para os usuários dos sistemas.

O que quero dizer com melhor experiência? Vamos imaginar um cenário onde você, como cliente, visita o site de um fornecedor, e para ser antedido é obrigado a se cadastrar não em um, mas em vários sites. Imagine se para receber atendimento ou comprar, você é chamado a fornecer o username e senha, várias vezes, cada vez que muda de um site para outro. Sites da mesma empresa da qual você é cliente. Não tendo outro jeito, o cliente resignado, anota as senhas no bom e velho “post-it” e segue em frente.

Até que um dia, um concorrente implanta a revolucionária ideia de autenticação única, ou seja, você faz o login uma vez, e navega, sem barreiras, entre os vários sites da empresa, da qual você é cliente.

Supondo que os produtos e preços sejam semelhantes, quantos segundos serão necessários para você decidir mudar de fornecedor?

Sendo um pouco mais técnico, o Login único do inglês Single Sign-On  (SSO) é uma funcionalidade de controle de acesso único a vários sistemas, ainda que independentes. Ou seja, um usuário faz login com seu username e senha para obter acesso não apenas a um sistema, mas a todos os sistemas que estejam relacionados e suportados pelo serviço de SSO.

O SSO utiliza o sistema de diretórios da empresa, como por exemplo: o Microsoft AD, para autenticação inicial e responde aos questionamentos dos sistemas integrados. Assim, o usuário quando troca de sistema, não precisa se autenticar novamente, pois o servidor de SSO assume função de informar que o usuário já está autenticado.

Para que os aplicativos se integrem com o servidor de SSO, são utillizados protocolos de autenticação, que definem as regras o formato da comunicação.  Os princpais protocolos utilizados pelo mercado são: SAML, Oauth e OpenID.

Agora que já sabemos o que é SSO, vamos em frente, e no próximo artigo falaremos dos seus benefícios.

Arquivo