O que é governança e administração de identidade

Como as organizações gerenciam milhares de contas de usuário em sistemas locais, serviços de nuvem e aplicativos de software como serviço (SaaS), o acompanhamento de quem tem acesso ao quê se torna cada vez mais complexo.

Cada identidade digital,seja representando um usuário, dispositivo ou aplicação, é um entrada em potencial para sistemas críticos e dados confidenciais. Sem uma governança adequada, esse ecossistema amplo cria riscos à segurança e desafios de conformidade consideráveis.

De acordo com o relatório do custo das violações de dados da IBM, credenciais roubadas ou comprometidas são o vetor de entrada inicial mais comum, responsável por 16% das violações de dados. Quando os hackers têm acesso a credenciais legítimas, podem movimentar-se livremente pelas redes, acessando dados e sistemas confidenciais.

As soluções de governança e administração de identidade ajudam a proteger contra ataques baseados em identidade e evitam possíveis violações de dados.

As ferramentas de IGA podem automatizar o provisionamento de usuários, implementar políticas de acesso e realizar avaliações regulares de acesso durante todo o ciclo de vida da identidade, desde a integração até o desprovisionamento e o desligamento. Essas funções proporcionam às organizações uma maior supervisão sobre as permissões e atividades dos usuários, o que facilita a detecção —e a interrupção— do uso indevido e abusivo de privilégios.

As soluções IGA também ajudam a garantir a conformidade regulatória contínua com mandatos como o Regulamento Geral de Proteção de Dados (GDPR), a Lei de portabilidade e responsabilidade de planos de saúde (HIPAA) e a Lei Sarbanes-Oxley(SOX). A IGA ajuda a garantir que o acesso a sistemas e dados confidenciais seja atribuído corretamente e avaliado regularmente, ao mesmo tempo em que gera trilhas de auditoria para apoiar auditorias internas e externas.

O IGA e o gerenciamento de acesso e identidade (IAM) são frameworks relacionados, mas distintos, dentro da segurança de identidade. O IAM lida com a maneira como os usuários acessam os recursos digitais, enquanto o IGA ajuda a garantir que as pessoas usem seu acesso corretamente. 

O IAM lida com os aspectos operacionais da segurança de identidade, como gerenciamento de senhas, autenticação, autorização de acesso diário e gerenciamento de contas. O IGA amplia o IAM adicionando recursos de governança, incluindo funções de supervisão, aplicação de políticas e conformidade.

É possível considerar o IAM e o IGA como respostas para um conjunto de perguntas complementares:

• IAM: como os usuários acessam os recursos e o que podem fazer com esses recursos?

• IGA: Os usuários devem ter esse acesso e podemos provar que nossos controles atendem aos requisitos de conformidade?

Na prática, as organizações implementam as ferramentas IAM e IGA juntas. Por exemplo, se um analista financeiro transfere para o marketing, o IAM lida com os aspectos técnicos da alteração dos privilégios de acesso, enquanto o IGA ajuda a garantir que essas alterações estejam alinhadas com as políticas da empresa.

As soluções IGA surgiram para ajudar as organizações a gerenciar a crescente complexidade dos ambientes de TI corporativos, os cenários de ameaças cibernéticas em constante mudança e os requisitos de conformidade em constante evolução.

As redes corporativas agora abrangem sistemas locais, provedores de nuvem privada e nuvem pública, estações de trabalho remotas e inúmeras aplicações SaaS. Essa complexidade torna a governança manual de identidade praticamente impossível e aumenta os riscos de segurança.

As soluções IGA ajudam a lidar com ambientes de TI complexos por meio de visibilidade centralizada, conectores que vinculam sistemas díspares e automação dos fluxos de trabalho principais.

Muitas soluções de governança de identidade disponibilizam dashboards unificados e consoles de gerenciamento que permitem visibilidade centralizada e controle em diversos ambientes.

Por exemplo, as organizações frequentemente usam as ferramentas IGA para ver todas as permissões de usuário em serviços de nuvem, sistemas locais e aplicações de terceiros a partir de uma única interface. Isso ajuda a garantir que as organizações mantenham políticas de acesso consistentes, independentemente de onde as aplicações estejam hospedadas.

As soluções IGA são conectores, interfaces construídas previamente que ligam aplicações e plataformas dentro do stack tecnológico da organização para ajudar a permitir a governança unificada de identidades. Os conectores ajudam a sincronizar dados do usuário, convertem políticas de acesso entre sistemas e mantêm controles consistentes em aplicações anteriormente isoladas.

Por exemplo, uma empresa de serviços financeiros pode usar conectores para integrar seu sistema bancário central, plataforma de gerenciamento de relacionamento com o cliente (CRM) e banco de dados de RH com uma ferramenta IGA central. Essa integração facilita o ajuste dos direitos de acesso em todos os sistemas quando a função de um funcionário muda.

As soluções IGA usam automação para otimizar os fluxos de trabalho de gerenciamento de identidade, eliminar processos manuais demorados e reduzir o número de tickets de help desk que as equipes de TI devem atender. As ferramentas IGA geralmente oferecem compatibilidade com:

• Solicitações de acesso de autoatendimento, possibilitando que os usuários solicitem acesso a dados e sistemas confidenciais por meio de portais intuitivos.
  
  
• Fluxos de trabalho de provisionamento automáticos, eliminando processos manuais para fluxos de trabalho de rotina, como criação de contas, atribuições de permissão e avaliações de acesso.
  
  
• Otimização de funções, sugerindo melhorias nas definições de funções e direitos de acesso padrão com base em como os usuários realmente usam suas permissões.

Sem uma solução de IGA, a equipe de TI deve criar manualmente contas de usuário em vários sistemas integrando novos funcionários. As ferramentas de IGA podem simplificar esse processo, provisionando automaticamente contas em todos os sistemas necessários em tempo real com base na função do usuário.

Os ataques cibernéticos evoluíram, com agentes de ameaças visando cada vez mais identidades em vez de infraestrutura de rede. A segurança tradicional baseada em perímetro não é mais suficiente quando os usuários podem acessar recursos corporativos de qualquer lugar, em qualquer dispositivo.

De acordo com o IBM® X-Force Threat Intelligence Index, o abuso de contas válidas é uma das formas mais comuns de hackers invadirem redes corporativas, representando 30% dos ataques cibernéticos.

As soluções IGA podem ajudar a reduzir a superfície de ataque e limitar os danos, aplicando o princípio do menor privilégio. Ou seja, os usuários têm apenas o acesso necessário para realizar suas funções, nem mais nem menos.

As soluções IGA também podem ajudar a melhorar a postura de segurança de uma organização de outras maneiras:

• Desprovisionamento automático e aplicação de políticas: remoção imediata do acesso quando os usuários deixam a organização ou violam políticas de segurança.
  
  
• Avaliações de acesso regular: identificação e revogação de permissões excessivas, como descobrir que os desenvolvedores ainda têm acesso administrativo aos sistemas de produção após a conclusão do projeto.
  
  
• Implementação zero trust: oferece suporte a arquiteturas zero trust, garantindo que os usuários tenham somente o acesso de que precisam para suas funções.
  
  
• Acesso a dashboards de risco: visualização de possíveis vulnerabilidades de segurança para melhorar a tomada de decisão, como destacar quando um usuário acessa dados financeiros confidenciais fora do horário comercial normal.

Para proteger ainda mais contas privilegiadas de alto risco com direitos de acesso elevados, as organizações frequentemente integram o IGA às ferramentas de gerenciamento de acesso privilegiado (PAM), que se concentram especificamente na proteção de contas privilegiadas, como contas de administrador.

Algumas soluções de IGA também oferecem recursos de detecção e remediação de ameaças em tempo real para ajudar a evitar violações de conformidade e violações de dados.

Requisitos de conformidade, como GDPR, HIPAA, SOX e outros mandatos impõem regras sobre como as organizações lidam com os dados. As penalidades por não conformidade podem ser consideráveis. Por exemplo, as violações do GDPR podem resultar em multas de até US$ 22 milhões ou 4% da receita anual global, o que for maior.

As soluções IGA oferecem controles e documentação que as organizações podem usar para simplificar a conformidade:

• Aplicação automática de políticas: garantindo que as permissões e autorizações de acesso estejam alinhadas aos requisitos regulamentares.
  
  
• Trilhas de auditoria abrangentes: registrando todas as atividades relacionadas ao acesso para obter evidências de conformidade para uso em auditorias.
  
  
• Certificações de acesso regular: avaliação dos direitos de acesso do usuário para garantir que ainda estejam definidos adequadamente para a função e as responsabilidades de cada usuário.
  
  
• Dashboards de conformidade: disponibilização de visibilidade em tempo real do status de conformidade das contas de usuários.

Um prestador de serviços de saúde, por exemplo, pode usar as ferramentas IGA para fazer cumprir a conformidade com a HIPAA, restringindo o acesso aos registros de pacientes com base nas responsabilidades do cargo e mantendo registros detalhados de quem acessa os registros.

As ferramentas e práticas do IGA concentram-se na governança de identidades digitais e permissões de acesso durante todo o ciclo de vida do usuário, da integração até o desligamento.

Os dois principais componentes do IGA são o gerenciamento do ciclo de vida da identidade e a governança de acesso.

O gerenciamento do ciclo de vida da identidade envolve a criação, modificação e desativação de identidades de usuários na medida em que os funcionários entram, migram e saem de uma organização. Ele pode garantir que os novos usuários recebam o acesso apropriado desde o primeiro dia e que o acesso seja prontamente removido durante o desligamento.

Se um funcionário mudar de função, as ferramentas IGA podem revogar automaticamente as permissões desatualizadas e atribuir novas permissões com base nas novas responsabilidades. 

Os principais processos de gerenciamento do ciclo de vida da identidade são:

• Integração: provisionamento de contas de usuário e acesso inicial.
  
  
• Alterações de atributos: atualizar os direitos de acesso quando atributos do usuário como habilitação de segurança, departamento ou atribuição de projeto mudam.
  
  
• Transferência: desprovisionamento do acesso quando os usuários deixam a organização.

A governança de acesso supervisiona quem tem acesso a quais recursos e ajuda a garantir que o acesso permaneça apropriado com o passar do tempo. Ele disponibiliza a camada de supervisão para gerenciamento de identidades, com foco na aplicação de políticas, avaliações de acesso e conformidade.

As principais funções de governança de acesso são:

• Controle de acesso baseado em função (RBAC)
• Aplicação da separação de obrigações (SoD)
• Acesse a certificação e as avaliações
• Gerenciamento de direitos

O controle de acesso baseado em função (RBAC) atribui permissões aos usuários com base em cargos organizacionais em vez de atribuir permissões individuais a cada usuário. Por exemplo, uma função financeira pode autorizar um usuário a fazer compras, enquanto uma função de recursos humanos pode autorizar um usuário a ver arquivos pessoais.

Os recursos de gerenciamento de funções nas soluções IGA ajudam as organizações a definir, gerenciar e manter funções com o passar do tempo.

Com o RBAC, as soluções IGA podem gerenciar o acesso de milhares de usuários sem precisar atribuir permissões individuais uma a uma. Quando um funcionário entra, transfere departamentos ou sai, os administradores podem simplesmente atribuir ou remover funções padronizadas em vez de reconfigurar dezenas de permissões de sistema separadas.

A separação de funções (SoD), também conhecida como segregação de funções, é um princípio de segurança que evita conflitos de interesse, garantindo que nenhuma pessoa tenha privilégios de acesso excessivos.

As soluções IGA ajudam a aplicar o SoD identificando e impedindo combinações de direitos que possam levar à fraude ou ao uso indevido.

Em um processo de aquisição, por exemplo, a mesma pessoa não deve poder adicionar um novo fornecedor ao sistema e aprovar pagamentos para esse fornecedor. Uma solução IGA pode sinalizar esse arranjo como uma violação de SoD e bloqueá-lo totalmente ou exigir aprovações adicionais.

A certificação de acesso envolve a revisão periódica dos direitos de acesso do usuário para garantir que permaneçam apropriados com o passar do tempo. Essas avaliações normalmente envolvem gerentes ou proprietários de recursos para confirmar se os membros da equipe ainda precisam de seus privilégios de acesso atuais.

As soluções IGA podem ajudar a simplificar as avaliações de acesso, iniciando automaticamente avaliações regulares. Direitos de acesso de alto risco, como acesso a sistemas financeiros, podem ser revisados com mais frequência do que permissões de baixo risco.

Algumas soluções IGA também podem fazer recomendações para alterações de acesso com base em padrões de uso, como sinalizar permissões não utilizadas que um usuário pode não precisar.

O gerenciamento de direitos é o componente mais granular da governança de acesso, com foco nas permissões que os usuários têm dentro dos sistemas. Em outras palavras: a governança de acesso supervisiona o que os usuários podem acessar, enquanto o gerenciamento de direitos supervisiona o que os usuários podem fazer com esse acesso.

Por exemplo, em um sistema de contabilidade, o gerenciamento de direitos lidaria com controles refinados, como quais usuários pudessem ver registros financeiros, quais usuários podem editá-los e quais usuários podem excluí-los.

Recursos adicionais de gerenciamento de direitos são:

• Catalogação de direitos: manutenção de um inventário de permissões de usuário.
  
  
• Avaliação de risco de acesso: avaliação do risco associado a direitos específicos, como a capacidade de modificar os limites de crédito do cliente.
  
  
• Controles baseados em políticas: aplicar políticas de segurança durante solicitações de acesso para manter princípios de privilégios mínimos, como exigir aprovação do supervisor para acesso a dados financeiros confidenciais.
  
  
• Análise de dados de acesso: entrega de insights sobre padrões de acesso para ajudar as organizações a lidarem proativamente com possíveis riscos à segurança, como detectar quando usuários têm permissões excessivas em sistemas críticos.

Os avanços na inteligência artificial (IA) estão trazendo novos desafios e novas oportunidades para a IGA.

Os agentes da ameaça estão usando novas ferramentas de IA generativa para atingir fluxos de trabalho e controles de IGA. Por exemplo, utilizando IA para gerar deepfakes e mensagens de phishing convincentes, os invasores podem enganar usuários legítimos para que forneçam suas credenciais. Agentes mais sofisticados podem até usar ferramentas de aprendizado de máquina (ML) para analisar estruturas de permissão e identificar oportunidades de evasão de políticas para contornar os controles de IGA.  

Ao mesmo tempo, os fornecedores estão usando a IA para transformar suas soluções IGA de pontos de verificação de conformidade estáticos em sistemas de gerenciamento de risco adaptáveis. Alguns exemplos de como soluções IGA estão utilizando a IA são:

• Recomendações de acesso inteligente: uso de ferramentas de ML para analisar funções, funções de trabalho e grupos de pares dos usuários para sugerir automaticamente autorizações apropriadas durante a integração e transferências, melhorando os processos tradicionais de RBAC.
  
  
• Detecção de anomalias orientado por IA: definição de padrões básicos de comportamento do usuário por meio de algoritmos de IA para sinalizar automaticamente atividades suspeitas que os controles IGA padrão podem deixar passar.
  
  
• Avaliações de acesso aprimoradas por IA: avaliação e pontuação de direitos com base no nível de privilégio, uso e impacto do SoD, para que os sistemas IGA possam priorizar o acesso de alto risco para revisão manual e automatizar decisões de baixo risco.