(11) 5521-2021 [email protected]
A automatização de acessos na integração de novos colaboradores e terceiros

A automatização de acessos na integração de novos colaboradores e terceiros

A gestão de pessoas é sempre um diferencial, em tempos de dificuldade, para manter os custos sob controle e, em tempos de retomada, para obter rapidamente os resultados.

Mas você sabe como a integração de novos funcionários e terceiros nos diferentes sistemas da empresa pode agilizar o negócio e garantir a segurança dos dados sensíveis da empresa? Então esse texto é para você!

No contexto de mudanças de mercado, a integração de novos funcionários ou terceiros é um dos processos que pode se beneficiar da automatização da gestão de identidades. Uma implantação corretamente planejada e executada garante que as novas pessoas, ao se juntar ao time, recebam os direitos de acesso correspondente às tarefas que irão executar.

Parece bom demais para ser verdade? Pois saiba que é possível montar um processo, suportado por ferramentas de IAM, que entregue esta experiência positiva. Mas quais as principais atividades que devem estar no radar do gerente de projeto, que busque agregar esta pequena grande vitória?

A primeira delas é o desenho do processo de integração. Entender de onde surgem as pessoas, podendo vir de uma única base de RH, mas é bastante comum encontrarmos casos onde a base é distribuída. Temos também os terceiros, que as boas práticas recomendam que sejam segredados dos colaboradores, se possível com controles diferentes e específicos. Inicialmente, é preciso fazer um mapeamento da situação atual, analisando a documentação existente e entrevistando as equipes de TI e RH. Este entendimento da integração é fundamental para que seja possível identificar os eventuais gargalos e pontos de melhoria nos processos.

Uma vez identificadas as origens das pessoas e entendido o processo, podemos trabalhar na preparação dos perfis padrão ou “cesta básica”.

Estes direitos, agrupados em perfis, são aqueles identificados como necessários para que a pessoa inicie as suas atividades. Normalmente uma conta na rede, um endereço de correio eletrônico e acesso a um portal interno. Em alguns casos é possível conceder acessos mais específicos, desde que estes possam ser relacionados a informações da pessoa como: cargo, departamento etc.

Esta concessão automática de alguns direitos básicos é complementada pelo acesso a um portal que permita a verificação dos direitos atuais e solicitação de direitos adicionais, e se façam necessários no decorrer do trabalho.

As vantagens são a grande redução de custo e aborrecimento e o aumento da qualidade da experiência do usuário ao utilizar o portal de autosserviço.

A melhoria da segurança e compliance são os benefícios adicionais, já que evidências para a auditoria são coletadas e mantidas automaticamente, sem necessidade de tarefas manuais.

Senha: uma aliada da Gestão de Identidades

Senha: uma aliada da Gestão de Identidades

Todos já devem ter ouvido a frase: “Tudo deve mudar para que tudo fique como está”. Foi dita pelo príncipe Falconeri, um personagem do romance o Leopardo.

Mas o que isto tem a ver com as senhas? Segundo as novas recomendações do NIST (https://www.nist.gov/), em especial sobre senhas, temos alguns pontos polêmicos:

  • Caracteres especiais não são mais um requisito;
  • A troca periódica, ou pelo menos em curtos períodos, não é mais um requisito;
  • Adicionalmente, o SMS não é mais recomendado, como canal “out of band”, tanto para troca de senhas quanto como multifator de autenticação.

Como as pessoas, em geral, estão vendo a questão de credenciais?  Vamos dar uma olhada em uma pesquisa recente feita na Inglaterra*:

  • A preocupação mais comum é que o dinheiro seja roubado, sendo que 42% acredita na probabilidade disso acontecer;
  • 89% usam a internet para fazer compras online, com 39% semanalmente;
  • Um em cada três depende de amigos e familiares para obter ajuda sobre segurança cibernética;
  • Os mais jovens são um pouco mais conscientes da privacidade e tendem a ter mais cuidado com o que compartilham on-line;
  • 61% dos usuários de internet verificam mídia social diariamente;
  • 70% sempre usam PINs e senhas para smartphones e tablets;
  • Menos da metade usa uma senha forte e separada para sua conta de e-mail principal.

E aqui no Brasil? A principal descoberta foi que para cerca de 60% dos brasileiros e ingleses o mais comum é escolher como senha uma combinação apenas com números. A senha mais escolhida nos dois países: “123456”, seguida não muito de perto pelas não menos criativas: “123456789” e “password”.

Após os códigos só com números, o padrão que mais aparece são nomes próprios “mary” ou “maria”, dependendo o lado do oceanos que você esteja.

Agora veja as senhas vinculadas aos esportes. Na Inglaterra entre as dez mais estão “liverpol”, “chelsea”, “newcastle” e “tottenham”. Já no Brasil, estão: “Flamengo”, “timão”, “galo”, “gremio”, “colorado”. Ainda no Brasil, tirando os nomes, as palavras mais comuns são: sucesso, Brasil, felicidade, musica, estrela, etc.

Agora sim, depois destes dados, o que podemos dizer sobre as novas recomendações do NIST? Que deve- se levar em conta o contexto das mudanças, já que em geral se trata de um ambiente onde já existem controles compensatórios à boa e velha senha, como por exemplo: o duplo fator e não menos importante: a diferenciação entre os usuários.

Mas o que fazer para proteger a população, levando em conta os dois pontos polêmicos, a senha, que na verdade não é nem tão boa, e nem tão velha, e o conceito que somos todos iguais?

É necessário existir diferenças entre os usuários, e entre as diferenças, está a relação com credenciais que permitem acesso às informações valiosas ou críticas.

Algumas pessoas possuem credencias que, caso comprometidas, podem causar prejuízos graves, não apenas a própria pessoa, mas à comunidade. Outras nem tanto. Não é preciso muita imaginação para pensar em exemplos, do extremo de ataque Cyber terrorista, que esperamos sejam raras, até a fraudes mais simples, e mais comuns, como de um e-mail contendo um boleto falso.

E sobre a “flexibilização” dos requisitos?  Como já dissemos, em um ambiente onde já existam controles compensatórios, como um duplo fator, os requisitos se tornam redundantes.

A mensagem principal de tudo o que vimos acima é que as pessoas no mundo real estão bem distantes da discussão entre os especialistas. As pessoas até se preocupam, mas no dia a dia precisam de artefatos que as ajudem a se manterem seguras.

O que fazer então?

Reconheça as diferenças e decida quais controles são aplicáveis a cada caso. Para a maioria, uma senha e um duplo fator como o Google Autenticator, já é satisfatório. Para outras, como por exemplo: gestores de empresas, cujas credencias permitem acessos ou ações críticas, podem demandar controles adicionais.

Parece óbvio, mas é sempre bom lembrar, facilitar a vida de seu usuário, com um portal amigável e que se adapte ao uso e as necessidades de troca ou reset de senha, faz a diferença na segurança da empresa e na agilidade dos setores.

*https://s3.eu-west-1.amazonaws.com/ncsc-content/files/UK%20Cyber%20Survey%20-%20analysis.pdf

 

 

5 maneiras de medir o ROI na Gestão de Identidades e Acessos

5 maneiras de medir o ROI na Gestão de Identidades e Acessos

O provisionamento de contas de usuários é um processo de negócios para criar e gerenciar o acesso a recursos em um sistema de tecnologia da informação (TI). Para ser eficaz, deve garantir que a criação de contas e o acesso a softwares e dados sejam consistentes e simples de administrar.

Nos complexos ambientes de TI de hoje, o provisionamento de usuários tornou-se um problema crítico para empresas que buscam reduzir os encargos administrativos do gerenciamento de contas, reduzir riscos e  custos.

O movimento de empresa digital, migrando para a nuvem agrega novos sistemas e funcionalidades. Mas como manter tudo isto funcionando? Se por um lado temos um grande alívio na parte de administração de infraestrutura, por outro aumenta a complexidade na gestão de usuários e administração de senhas.

Não é à toa que empresas digitais competitivas adotam desce o início soluções de gestão de identidades, qual o motivo? Redução de custo e risco!

Empresas que nascem digitais, como o Agibank por exemplo, já aproveitam logo de inícios estes benefícios, e se tornam, muito mais competitiva.

Então, chega o momento em que você percebe que é hora de investir em tecnologia de aprovisionamento de usuários aprimorada como parte de sua estratégia de Gerenciamento de Identidades (IDM), mas como você mede o retorno sobre o investimento (ROI)?

Aqui estão cinco (5) maneiras de medir o ROI e construir um business case:

  1. Determine os custos associados às atividades atuais de gerenciamento e provisionamento de usuários e estime a economia com base em uma nova abordagem automatizada. Por exemplo:
  • Quantos chamados mensais de criação e revogação de usuários?
  • Quantos chamados para reset de senha?
  • Quanto tempo o usuário médio espera até que os chamados acima sejam executados?

 

  1. Veja os custos associados ao treinamento de equipes de administração técnica. Já se foi o tempo em que a empresa rodava com alguns servidores Unix e Windows. Atualmente qualquer projeto piloto de migração para nuvem exige conhecimento na administração em AWS, AZURE, Office365 entre outros. Uma tecnologia de provisionamento de usuários automatizada e eficiente permite a administração rápida de recursos não técnicos, permitindo que os especialistas no assunto se concentrem nas prioridades como, por exemplo, a segurança e a disponibilidade.
  1. Revise os custos associados aos relatórios e auditorias de conformidade. Ferramentas automatizadas reduzem os esforços de relatórios e agilizam as auditorias. É comum  encontrar empresas onde a equipe é altamente competente e comprometida, mas não possui fermentas para gerar e armazenar as evidências deste bom trabalho. Ou seja, o custo não é só financeiro, mas também na imagem dos profissionais. Como você quer ser lembrado?

 

  1. Calcule a probabilidade de violações de segurança e estime o risco potencial do dano financeiro. É importante observar que o custo dos danos causados por um incidente normalmente é muito maior do que o investimento em proteção. E não estou nem mencionando a nova legislação de proteção de dado, a LGPD. Quando a legislação entrar em vigor, uma simples multa pode alcançar milhões de reais. E sim, a legislação vai entrar em vigor e vamos novamente assistir: Algumas empresas se preparam, outras não. Entre as que não se preparam algumas tem muita sorte e nenhum incidente grave acontece. E a sua empresa coloca “sorte” como um fator de proteção contra-ataques e fraudes?

 

  1. Calcule a economia de produtividade dos funcionários caso fosse possível conceder os direitos automaticamente, se fosse possível alterar a senha via Whatsapp, ou via um botão no desktop do Windows. Se as equipes de TI pudessem se dedicar a melhoria dos processos ao invés de perder horas  organizando direitos de acesso. Quanto economizaria para a empresa, se os gestores pudessem revisar esses acessos de forma ágil,  sem as planilhas e relatórios herméticos.

 

E, por fim, o benefício de facilitar a vida dos usuários, sejam eles gestores ou equipe de TI. A melhoria das condições de trabalho é um dos pilares da transformação digital, por uma simples razão, reduz risco e custo!

Quer saber como implementar melhorias na sua empresa? Fale com um Especialista E-TRUST.

 

Gestão de Identidades – Um aliado na adequação à LGPD e outras leis de privacidade

Gestão de Identidades – Um aliado na adequação à LGPD e outras leis de privacidade

A LGPD e outras leis de privacidade, como a lei europeia GDPR, determinam uma série de requisições para as empresas protegerem de forma eficaz os dados sensíveis e privados sob a sua responsabilidade.

Pensando em tecnologia, que é apenas uma parte de todo o projeto de adequação a qualquer lei de privacidade e parte importante na manutenção posterior da automatização dos processos de privacidade implementados, temos o possível fluxo de implantação de tecnologias:

A implementação de um sistema de Gestão das Identidades e Acessos é um dos principais passos da trilha tecnológica de um projeto de adequação às leis de privacidade, pois proverá toda a governança e administração das identidades e seus respectivos direitos de acesso aos dados sensíveis armazenados nos ativos da empresa.

Ou seja, é fundamental que todo o ciclo de vida dos usuários e seus acessos aos dados sensíveis sejam gerenciados através de Workflows aderentes aos padrões regulatórios e melhores práticas de auditoria, para a garantia de que os dados sensíveis sejam acessíveis exclusivamente por quem tenha a autorização exigida e pelo período necessário para tal acesso, de acordo com as regras de negócio.

Um sistema de Gestão de Identidades e Acessos deve consolidar os dados das identidades e dos acessos, fornecendo uma visão única e gerenciável, possuir fluxos de governança para apoiar os processos de conformidade da organização e automatizar o provisionamento nos ativos para dar agilidade e reduzir custo dos processos do dia a dia.

Quer saber mais sobre o processo ou quer implementar esse processo em seu negócio? Fale com um especialista da E-TRUST.

Estratégia de implantação na Gestão de Identidades e Acessos

Estratégia de implantação na Gestão de Identidades e Acessos

Imagine uma organização com um sistema de gestão de identidade implantado e com fluxos, chamados de obrigatórios, em pleno funcionamento.

Após a implantação a empresa deu início à revisão dos perfis, tendo como resultado uma tabela, listando aos novos perfis e os direitos que os compões. Se foi seguido o modelo híbrido, que é o recomendado, temos também os usuários que, segundo a revisão, estão habilitados a receber estes direitos.

Não nos apresentaremos como portadores da solução pronta, pois no caso de tratamento de perfis de direitos, seria impossível e falso. A grande certeza é que a implantação das melhorias deve ser cuidadosamente planejada e homologada. Poucos incidentes causam mais dano à credibilidade ao GIA que a confusão nos direitos e o consequente impacto nos atendimentos a clientes.

Assim, vamos listar as recomendações dos itens que devem ser levados em conta, no momento do planejamento e implantação das melhorias.

Piora antes de melhorar

Ou seja, no primeiro momento, a recomendação é conceder os novos perfis, para os usuários que já possuem os perfis em uso. Esta ação vai causar um aumento no número de perfis atribuído aos usuários, e se não for corretamente registrada e autorizada, pode causar transtornos com a auditoria. Mas como um dos critérios é a garantia de que os serviços prestados aos clientes não serão afetados, este cuidado é necessário. Com esta ação podemos garantir que os usuários não perderão direitos, por uma eventual falha no mapeamento de perfis.

Ao final da ação, os usuários terão recebido os novos perfis, mantendo os anteriores, a diferença deve ser registrada em relatórios de acompanhamento.

Revogação dos excedentes

Neste ponto já é possível iniciar a revogação dos perfis originais, já provavelmente chamados de antigos, ou velhos. Lembre-se que precisamos evitar uma parada nos serviços. Um projeto de melhoria de perfis, seja criação ou reorganização, não deve, pelo menos em tese, ocasionar uma retirada de direitos dos usuários. A retirada de direitos deve ser levada a cabo com a revogação de perfis, ordenada pelo responsável pelo perfil.

Novamente a tecnologia deve apoiar o processo, gerando relatórios indicando se ao revogar um perfil, os usuários perderão algum direito. Caso esta situação seja identificada, é sinal de alerta. Uma pausa na implantação, seguida de uma revisão dos direitos do perfil original e dos novos. A equipe de implantação deve avaliar se é necessário que seja feita uma nova homologação.

Após esta ação os usuários estarão sob a nova estrutura de perfis, e se tudo correu como planejado sem parada de serviços.

Revisão

Pode ter soado estranho, no capítulo anterior quando mencionamos que a primeira etapa do projeto não deve retirar direitos dos usuários. Mas é isto mesmo. O projeto reorganizou os perfis, e por ter seguido a abordagem híbrida, um direito que o gestor de alguma forma retirou dos perfis padrão RBAC, é transferido para outro perfil. Este perfil, seja granular ou agrupando outros direitos, é vinculado ao usuário, justamente para que ele não perca direitos.

Campanha de revisão de direitos

Uma campanha de revisão de direitos é normalmente a melhor forma de tratar a situação. Em uma campanha, os gestores serão convidados, a revisar se as pessoas devem ou não continuar com os perfis que atualmente estão atribuídos a elas.

A campanha deve ser precedida de divulgação e treinamento, para garantir que os responsáveis pela revisão tenham a clareza dos objetivos da tarefa.

Revisão por alteração cadastral

Um complemento à campanha é a revisão de direitos com base em alteração dos dados cadastrais. Ou seja, caso os funcionários troquem de cargo, é disparada uma tarefa de revisão, para que o responsável pelo perfil decida por sua manutenção ou revogação. Esta tarefa é mais uma das atividades do processo de melhoria continuada.

Ainda tem dúvidas sobre a implementação da GIA? Converse com um especialista E-TRUST.

Pontos de Atenção na Gestão de Identidade e Acessos

Pontos de Atenção na Gestão de Identidade e Acessos

Na implementação de um projeto de Gestão de Identidade e Acessos existem algumas dificuldades práticas para a execução das atividades sugeridas pela metodologia, em especial se a empresa busca um modelo rigidamente acoplado ao RBAC. Nesta situação as pessoas recebem um perfil de negócio, vinculado ao seu papel na organização.

O alto número de perfis necessários para modelar direitos em uma empresa grande e complexa, combinado com a necessidade de atualizar frequentemente os componentes para refletir os requisitos de negócios em constante mudança, pode tornar a gestão de perfis de negócio em escala corporativa cara e demorada. Como resultado, muitos projetos que cometeram o erro de aceitar um escopo muito abrangente ou ambicioso, falham ou só finalizam após custosas e desgastantes revisões de orçamento e prazo.

Diversidade de usuários

Na prática, grandes organizações podem ter muitos usuários com necessidades de acesso exclusivas. Isso dificulta a construção de um modelo que cubra todos, já que cada usuário requer acessos específicos e únicos. Requisitos únicos de acesso do usuário podem ser devidos a funcionários ou contratados cujas responsabilidades evoluíram ao longo do tempo ou simplesmente cuja função é única na organização.

Para evitar esses problemas, é importante concentrar os esforços na criação e uso de perfis de negócio, onde:

  • o número de usuários é grande;
  • as necessidades de acesso do usuário são idênticas dentro do grupo;
  • as necessidades de acesso do usuário são estáticas ao longo do tempo;
  • na inclusão do usuário no grupo o efeito nos demais é previsível por meio do tratamento padrão automatizado pelo GIA.

Mudança de responsabilidades

Outro problema com uma abordagem puramente baseada em perfis de negócio é que tanto as definições de papéis quanto a classificação do usuário precisam evoluir, às vezes rapidamente. Eventos de negócios de rotina, como a alteração das responsabilidades de um único funcionário ou departamento, exigem ajustes no modelo. A frequência e o tamanho dessas mudanças podem exigir uma equipe permanente de administradores de funções.

Uma abordagem frequentemente proposta para esse problema é delegar o gerenciamento dos perfis para as áreas de negócio. Na prática, os usuários que não são de TI não têm nem as habilidades nem a inclinação para gastar tempo mantendo um modelo técnico de direitos de usuário. Como resultado, nas organizações em que o modelo de sistemas e estruturas de funções seja mutável, devem ser previstas equipes técnicas de Gestão de Identidades dedicadas à manutenção dos perfis de negócio – RBAC.

Reorganização de negócios

Eventos de negócios menos frequentes, porém mais abrangentes, como fusões e aquisiçõe, prejudicam os modelos. Esses eventos podem levar as necessidades de acesso de muitos usuários a mudar de maneira significativa e podem exigir que uma equipe muito maior, durante a adaptação à mudança.

TCO versus ROI

O custo total de propriedade (TCO) de um sistema inclui o tempo e o esforço necessários para implantá-lo inicialmente e  sustentá-lo ao longo do tempo. O retorno do investimento (ROI) de um sistema é o tempo e o esforço evitados através da automação do processo.

Onde há poucos papéis e esses atendem às necessidades de muitos usuários, o ROI pode ser muito maior do que o TCO – o RBAC pode ser um bom investimento. Por outro lado, para modelar as necessidades de acesso de poucos usuários (ou um usuário) por função, o TCO pode ser maior do que o ROI.

Quer saber mais sobre o assunto? Cadastra-se para receber em primeira mão nossos artigos e eventos: