Para governos e órgãos federais e estaduais, a identidade é o cerne de uma implementação robusta de segurança. Numerosos indivíduos divulgam dados pessoais confidenciais a entidades comerciais e públicas diariamente, exigindo que o governo mantenha medidas de segurança rigorosas para proteger seus ativos.
Essa necessidade de segurança robusta enfatizada pela Ordem Executiva 14028, publicada em maio de 2021, exige o aprimoramento da postura de cibersegurança do país. A ordem executiva destaca a importância de proteger os recursos digitais e mitigar as ameaças cibernéticas, enfatizando a modernização dos sistemas de gerenciamento de acesso e identidade (IAM). Ao mesmo tempo, o programa Federal Identity, Credential, and Access Management (FICAM) tem sido fundamental na formação da abordagem do governo para proteger a identidade e o acesso.
Este artigo se aprofunda nesses princípios, elucida as vantagens da implementação de sistemas FICAM e fornece insights sobre as melhores práticas de implementação.
O Federal Identity, Credential, and Access Management (FICAM) é um framework abrangente de protocolos de segurança projetados para ajudar as organizações federais a gerenciar, monitorar e garantir o acesso a seus recursos. O FICAM garante que somente indivíduos autorizados possam acessar recursos sancionados por motivos legítimos, protegendo as organizações contra tentativas de acesso não autorizadas.
O FICAM (Federal Identity, Credential and Access Management) é uma extensão dos protocolos, metodologias e sistemas do ICAM para entidades federais. Isso permite que eles regulamentem o acesso a recursos protegidos, como arquivos, redes, servidores e locais físicos.
A segurança do ICAM é desenvolvida com base em três pilares fundamentais: identidade, credenciais e acesso. Nas seções a seguir, descrevemos cada conceito e demonstramos como o FICAM os implementa
Identidade refere-se a um conjunto de atributos que definem um indivíduo. Em um contexto federal, isso normalmente abrange informações pessoais ou biométricas coletadas pelos órgãos. O gerenciamento de identidade é a orquestração de políticas que permitem às organizações estabelecer, manter e excluir identidades de usuários, cruciais para verificar identidades, gerenciar contas de usuários e manter registros precisos de contas.
Uma parte fundamental do gerenciamento de identidade é a governança, que orienta as funções e atividades do ICAM, incluindo análise de dados para identificar riscos de segurança e não conformidade.
Gerenciamento de credenciais. As credenciais, em essência, fundamentam a identidade de um indivíduo. O gerenciamento de credenciais permite que as organizações emitam, monitorem, renovem e revoguem credenciais de acesso, vinculando identidades por meio de lógica específica, essencial para registro de contas, manutenção de informações e emissão de recursos.
O gerenciamento de acesso permite que apenas indivíduos autorizados acessem recursos ou executem ações específicas sobre eles. Além disso, os princípios de gerenciamento de acesso abrangem um componente operacional da federação que permite que os órgãos aceitem identidades, atributos e credenciais emitidos por outros. Isso aprimora a interoperabilidade e facilita as decisões de acesso inteligentes. É fundamental para definir políticas e regras de acesso e determinar permissões, autenticação e autorização de usuários.
O FICAM descreve cinco objetivos estratégicos destinados a aprimorar a segurança e a eficácia das experiências de tecnologia do governo. Essas metas também são projetadas para facilitar a conformidade com as leis federais, simplificar o acesso aos serviços digitais do governo, fortalecer a segurança e promover um ambiente confiável, interoperável e econômico.
A arquitetura de segmentos do ICAM delineia como as organizações devem identificar, autenticar e autorizar indivíduos de diferentes segmentos, possibilitando processos confiáveis e
e interoperável dos recursos. Ele ajuda a melhorar a postura de segurança e a eficiência, reduzindo riscos de roubo de identidade e violações de dados, além de fortalecer a proteção da informação de identificação pessoal (PII).
Em sua essência, o FICAM é um framework abrangente para órgãos com foco em práticas de identidade corporativa, políticas e disciplinas de segurança da informação . Ele fornece um framework comum para sistemas, aplicativos e redes de TI e informa os leitores sobre as normas e políticas que moldam o FICAM.
Várias leis, políticas e normas federais regem os princípios arquitetônicos por trás do projeto dos programas FICAM, incluindo Circular OMB A-108, OMB 19-17, Ordem Executiva 13883 e NIST SP 800-63-3. Uma lista completa de normas pode ser encontrada aqui.
Ao aproveitar a tecnologia IBM, você pode implementar o exemplo arquitetônico fornecido para facilitar a implementação do FICAM:
A figura fornecida é uma arquitetura de referência para destacar peças necessárias sobre a implementação do FICAM. Aconselha-se a implementação de uma política única e um ponto de decisão único para a consistência e padronização das decisões de acesso. As decisões de segurança podem então ser aprimoradas aproveitando os componentes OOTB de um provedor ou integrando-se a uma solução existente presente no órgão. Esses componentes podem aumentar a arquitetura FICAM, fornecendo recursos como autenticação multifator, análise de dispositivos de endpoint e feeds de ameaças de ferramentas SIEM.
Para cumprir as políticas e normas e implementar o ICAM com sucesso, considere estas diretrizes:
Escolha um fornecedor como o IBM Security Verify SaaS, cujas soluções são baseadas em padrões abertos e podem ser integradas a inúmeros parceiros, permitindo interoperabilidade com extensas integrações para um gerenciamento de acesso e identidade robusto.
A autenticação multifator mitiga o risco de violações de acesso e aumenta a confiança na identidade de cada usuário. Melhore sua postura de segurança implementando métodos resistentes a phishing, como chaves de acesso entregues pela FIDO Alliance e produtos certificados, como o Verify SaaS.
O acesso adaptativo, quando combinado com feeds de inteligência de ameaças, fornece uma defesa robusta contra ataques de autenticação. Essa integração aprimora a análise contextual relacionada aos logins dos usuários e recomenda decisões de acesso informadas com base em pontuações de risco calculadas.
Ao avaliar qualquer provedor "adaptativo", anote a qualidade da recomendação gerada pelo sistema. Não basta reunir o contexto "estático", como tipo de agente do usuário, geolocalização, risco de endereços IP e assim por diante. Considere estender o contexto avaliando o contexto biométrico, como velocidade de digitação, movimentos do mouse e outros. A maioria dos fornecedores oferece contexto estático, enquanto poucos oferecem recursos para detectar alterações biométricas ou mesmo detectar a presença de máquinas virtuais VM em um endpoint.
Esse modelo de controle de acesso define privilégios de acesso com base em atributos, permitindo flexibilidade aos administradores sobre as políticas de acesso e preenchendo efetivamente quaisquer lacunas com segurança, privacidade de dados e conformidade. Considere a possibilidade de combinar isso com uma ferramenta de gerenciamento de acesso privilegiado para proteger ainda mais as informações de autenticação mais confidenciais.
Para aumentar a interoperabilidade, implemente padrões abertos de recursos de ICAM, como OAuth2. Considere implementar o gerenciamento de acesso à API para proteger esses recursos e fortalecer a autenticação.
Ao aderir a essas diretrizes e aproveitar o IBM Security Verify SaaS, as organizações podem aprimorar sua postura de segurança, manter a conformidade e proteger informações confidenciais de forma eficaz.
A implementação do FICAM permite que os órgãos federais lidem com desafios importantes relacionados à segurança. Ele oferece um framework para mitigar os riscos de roubo de identidade e violação de dados, facilitar a conformidade e conectar órgãos federais por meio de federação e compatibilidade de credenciais para aumentar a segurança.
Aproveitar a tecnologia da IBM de gerenciamento de acesso e identidade é fundamental para órgãos do governo ou federais que implementam um programa Federal Identity, Credential, and Access Management (FICAM). As soluções da IBM são meticulosamente projetadas para se integrarem sem dificuldades às infraestruturas existentes, permitindo que os órgãos melhorem a segurança sem a necessidade de modificações extensas em seus sistemas atuais. Essa interoperabilidade é crucial, pois permite o aprimoramento das medidas de segurança sem interrupções, especialmente em ambientes governamentais, onde uma variedade de sistemas legados estão frequentemente em operação. Além disso, a tecnologia da IBM é hábil na compatibilidade com protocolos modernos, como OAuth e FIDO2, ajudando os órgãos a manter um acesso seguro e simples de usar e a defender a integridade e a confidencialidade dos dados em ambientes digitais diversos e em evolução.
Além disso, as soluções da IBM oferecem ampla compatibilidade com ambientes legados, uma funcionalidade inestimável para órgãos que ainda dependem de tecnologias mais antigas. Isso permite que os órgãos continuem usar seus sistemas existentes e, ao mesmo tempo, se beneficiem de funcionalidades avançadas de segurança e conformidade, permitindo uma abordagem equilibrada e adaptável à segurança. Além disso, a compatibilidade abrangente com as credenciais de verificação de identidade pessoal (PIV) e cartão de acesso comum (CAC) oferecida pela tecnologia da IBM desempenha um papel crucial no espaço federal. Ela facilita o acesso seguro e confiável a informações e sistemas confidenciais e proporciona aos órgãos um controle meticuloso sobre o acesso, protegendo, assim, contra acessos não autorizados e possíveis violações de segurança.
Em essência, a tecnologia de gerenciamento de acesso e identidade da IBM oferece uma abordagem multifacetada e adaptável à segurança. Ela permite que os órgãos do governo fortaleçam suas posturas de segurança, protejam os ativos, cumpram as normas de segurança em evolução e mantenham a eficiência operacional e a conveniência do usuário, dentro dos diversos cenários das operações do governo.
