Usuários com excessivos privilégios e direitos de acesso podem causar problemas na segurança de uma organização. Mas como resolver essa questão? Por onde começar? Saiba mais no texto que preparamos para você:
O gerenciamento usuários e privilégios não é, normalmente, uma atividade que envolva as áreas de negócio, muito menos a gestão da empresa, mas frente ao crescente risco de fraudes e ataques cibernéticos, praticamente todos concordam que deveria envolver.
A justificativa mais comum é desconhecimento dos detalhes técnicos dos sistema de processamento dos dados. Como resultado a TI acaba tomando para si riscos, que na verdade, são riscos empresariais.
Como então conciliar o natural desconhecimento técnico, por parte dos gestores e executivos, com a necessidade de controles eficientes e eficazes?
Usuários e gestores das áreas de negócio normalmente sabem identificar dados de alto valor e transações de alto risco. Eles conhecem os aplicativos e dados que os usuários precisam para realizar suas tarefas. Ou seja, são qualificados para definir controles que minimizem esses riscos.
A equipe técnica, por sua vez, possui o conhecimento e os acessos as interfaces de administração dos sistema, necessários para implementar os controles requeridos pela área de negócio.
A governança de identidade desempenha um papel fundamental para ajudar as organizações a atender aos requisitos de conformidade, além de responder as perguntas críticas: “Quem tem acesso a quê?” e “Quem autorizou”?
Cabe ao sistema de Gestão de Identidades e Governança prover o ferramental que materialize os controles, validados pela equipe técnica e compliance, em um formato adequado à linguagem e conhecimento da área de negócio.
No escopo da governança e gestão de identidades, temos os processos de:
- Inventário de sistemas e perfis de acesso;
- Inventário das identidades;
- Definição de fluxos, papéis e responsabilidades;
- Organização das identidades e categorização de, por exemplo, funcionários, prestadores de serviço, representantes e, até mesmo, clientes;
- Definição dos processos de solicitação, aprovação, revogação e revisão de direitos de acesso;
- Definição de regras de automação para os processos acima,
- Administração das identidades e dos acessos: por exemplo, inclusão de novo sistema e seus perfis no inventário.
Os primeiros passos devem ser na direção de entender as prioridades e equalizar as expectativas. Começar analisando os processos e, em seguida entrevistando profissionais das éreas de negócio, RH, TI auditoria entre outros que se fizerem necessários para construir uma base sólida de conhecimento.
Este conhecimento é então formalizado em um plano de implantação, listando os processos e como estes serão executados. Assim, se complementa a governança com a implantação de uma ferramenta de Gestão de Identidades, configurada de acordo com o plano de implantação, para atender aos requisitos de governança e os objetivos de negócio.
