Gestão de Identidade na Nuvem: Quem é responsável?

Gestão de Identidade na Nuvem gera maior segurança?

Grande parte das empresas são motivadas por redução de custos, mitigação de riscos e escalabilidade. E, para isso, contar com gestão de identidade na nuvem é um movimento estratégico.

Aliás, empresas e organizações dos mais variados segmentos e portes estão cada dependentes dos serviços e sistemas fornecidos em nuvem.

Mas a dúvida que fica para muitos é: provedores de nuvem oferecem uma infraestrutura incrivelmente segura?

A segurança por trás da gestão de informação e acesso em nuvem

Pode ficar tranquilo: os sistemas fornecem, sim, segurança para sua gestão de identidade na nuvem.

E não apenas isso, como também entregam uma infraestrutura muito mais segura do que a maioria das organizações seria capaz de construir e manter.

Então minha empresa está 100% segura com os dados em nuvem?

Nem por um momento acredite que seu negócio está totalmente seguro por estar na nuvem.

Contraditório com o que falei acima? Pode parecer, mas não é.

Segundo estudos do ISC2 (Information System Security Certification Consortium), quando uma empresa faz migração para nuvem as principais ameaças são:

Acesso não-autorizado (53%),
Roubo de contas ou personificação (44%).

Mas quem é responsável pelas invasões e acessos indevidos aos meus dados em nuvem?

Em ambos os casos acima, a mitigação mais eficiente e eficaz é a implantação de um processo de Gestão de Acessos e Identidades.

Você pode questionar: “Mas como isso pode acontecer se os provedores de nuvem oferecem uma estrutura segura?“.

Bem, vamos aos detalhes: ver quem é responsável por proteger a sua organização dos principais riscos (acesso não-autorizado e invasão).

Segundo o modelo de responsabilidade da Amazon e da Microsoft (Azure), você é o responsável. Isso mesmo: a organização e não o provedor deve responder pela proteção contra as maiores ameaças.

Mas e a AWS, não assume responsabilidades sobre esses riscos?

A infraestrutura básica é protegia e mantida pela AWS (Amazon Web Services). Porém, a responsabilidade pelo o que você faz de migração para nuvem recai sobre você.

A AWS assume “a parte inferior da pilha”. Afinal, a responsabilidade por implantar e manter um processo de Gestão de Identidade na Nuvem é do cliente (no caso, sua).

Como você administra os acessos à nuvem?

Veja abaixo o modelo Amazon. A parte em azul é a responsabilidade do cliente.

Ficam, então, as seguintes perguntas:

Como a sua empresa trata a Gestão de Identidade e Controle de Acesso?
Como são executadas as tarefas de concessão, revisão e revogação?

Se as respostas te remetem para atividades manuais, o risco é alto.

É hora de rever isso.

Ter um especialista em Gestão de Acessos em nuvem é arriscado!

Lembre-se de que o acesso a sistemas na nuvem não é feito apenas de dentro da sua empresa.

O modelo tradicional com tarefas executadas por um especialista/técnico, com poderes de administrador, já não atende. Já não garante total segurança.

Isso porque não há mais espaço para erros e atrasos.

A melhoria na competitividade e agilidade no atendimento aos clientes, bem como a segurança das informações críticas, exigem automatização.

Elas necessitam de automatização das tarefas de concessão e, principalmente, das de controle. Como revogação na demissão e alerta de acessos não-autorizados.

Como a Microsoft e Azure garantem a segurança da informação em nuvem?

Como estas gigantes tratam a segurança e protegem sua empresa dos maiores riscos de acessos indevidos?

A coluna mais à esquerda da imagem mostra as responsabilidades que as organizações devem considerar.

Por exemplo: Quem responde pela Gestão de Identidade e Gerenciamento de Acesso ao usar o Azure Active Directory Services?

Resposta: o cliente. Ou, em um melhor cenário, a responsabilidade será compartilhada.

Responsabilidade do cliente (você): Configuração de serviços – como autenticação, autorização e controles de acesso.

Responsabilidade do Microsoft Azure: manter sistema rodando – não garante que acessos são devidamente controlados e legítimos.

A Responsabilidade Compartilhada garante segurança?

Agora que você entende este modelo de Responsabilidade Compartilhada… Fica fácil compreender que os provedores de nuvem oferecem muitos benefícios e recursos de segurança e conformidade.

Porém, a maioria não responde pela Gestão de Identidade e Acessos.

ATENÇÃO: Como estas responsabilidades estão claramente documentadas, informando o papel de cada uma das partes, não há o que contestar com o provedor. Especialmente em casos de:

Acesso indevido;
Vazamento de informações;
Falhas na segregação de funções,
Usuários que deveriam ter seus direitos revogados; mas, por alguma razão, continuam com acesso aos sistemas.

Como ter total tranquilidade e segurança de dados em nuvem?

A boa notícia é que a E-TRUST fornece uma solução de Gestão de Identidade e Governça que acompanha o cliente para a transição à nuvem.

O sistema Horacius foi projetado para gerenciar os direitos de usuários no datacenter local ou na nuvem.

Todos os acessos são registrados e controlados através de interface Web. A concessão, revisão e revogação de direitos é automatizada.

Os usuários são criados e os direitos, corretamente concedidos tanto nas aplicações corporativas, como Servidor de Arquivos e SAP, quanto na nuvem, como o Office365.

Entre os controles mais necessários estão: alertas em caso de usuários não-autorizados e revogação de acessos em caso de saída da empresa.

O sistema oferece um portal de serviços. Ali, o usuário tem uma experiência agradável para solicitar direitos, trocar senha, acompanhar suas solicitações, entre outras interações.

Não fique para trás diante da tendência de migração para nuvem

O movimento para a computação em nuvem é irreversível, em maior ou menor grau. As empresas fazem e farão uso deste recurso, que entrega agilidade e poder computacional.

Mas, como toda nova tecnologia… É preciso estar preparado e contar com o apoio de ferramentas adequadas e serviços prestados por profissionais altamente experientes e certificados, junto a um software automatizado.