Governança de Identidade e Acesso (IAG)

Usuários com excessivos privilégios e direitos de acesso podem causar um enorme estrago na segurança de uma organização. A gestão de identidade e soluções de governança de identidade devem fornecem recursos para gerenciar as identidades dos usuários e o que cada usuários pode acessar com base no seu papel e responsabilidades dentro da organização. Dentro do conceito de “needs to know”, ou seja, ter acesso apenas aos dados que são necessários para o bom desempenho de sua função.

A Governança de Identidade e Acesso (Identity and acess governance, IAG) é definido com um processo para requerer, aprovar, certificar e auditar os acessos às aplicações, dados e outros serviços de TI. Também, como um processo de segurança e inteligência de negócios (BI) de como as identificações são criadas, certificadas e gerenciadas dentro das políticas e perfil dos funcionários. As ferramentas de software e serviços de IAG devem estar integradas com as ferramentas de administração e provisionamento de acessos (IAM, Identity and Access Management).

figura-identity-and-access-governance

A figura acima mostra a plataforma de governança de acesso (IAG) e a plataforma de administração e provisionamento (IAM). Para assegurar o compliance é importante que as duas solução sejam integradas e os processos de efetivação de acesso e controle sejam automáticos.

No gerenciamento de identidade (IdM), dentro da plataforma de administração e provisionamento, inclui-se a gestão dos acessos dos indivíduos, suas autenticações, autorizações e seus privilégios de acesso aos sistemas de informações dentro dos limites definidos pela organização. Fazem parte do IdM as tecnologias e serviços relacionados ao gerenciamento do Active Directory, prestadores de serviços, provedores de identidade, Web Services, controle de acesso, Identidades Digitais, gerenciamento de senhas, single sign-on, tokens de segurança, serviços de token de segurança (STS), Workflows, OpenID, WS-Security, WS-Trust, SAML 2.0, OAuth e RBAC.

O mercado de IAG evoluiu bastante entre 2004 e 2006 em resposta as necessidade das empresas na área de regulação, principalmente para atender exigências da SoX (Lei americana Sarbanes-Oxley). Questões graves de compliance eram a segregação de funções e o processo de solicitação, aprovação e certificação dos acessos às aplicações, dados e serviços de TI. A complexidade para a gestão de uma grande quantidade de atributos de segurança exigia ferramentas robustas de governança.

Com a evolução desse mercado novas facilidades foram incorporadas aos produtos. Novos métodos de oferta de IAG, incluindo a modalidade de software como serviço (SaaS), começam a ser testadas. Começam a ser explorados recursos de controle de acessos para smartphones e tablets.

Produtos de gestão de acesso e inteligência (IAI, Identity and Access Intelligence) oferecem avançadas funções de design, análise de comportamento, análise forense, relatórios e outras funções analíticas. A coleta de dados de identidade e acessos para a análise e correlação de dados têm se expandido para incluir a entrada de informações sobre segurança e gerenciamento de eventos (SIEM, security information and event management), prevenção de perdas (DLP, data loss prevention) e outras ferramentas de segurança.

O que observamos é a convergência da governança e administração para uma única solução. Desta forma, as empresas que estiverem buscando uma solução de IAG devem considerar um fornecedor que tenha a habilidade de integrar todas as facilidades requeridas pelas modernas práticas de governança e administração de identidade e acesso. Isso inclui a demanda de controle para aplicações que estão hospedadas em ambientes Cloud Computing, novas práticas de negócios que requerem uso intensivo de contratados e acúmulos de funções do pessoal interno.

Uma solução completa deve reduzir os custos de compliance, eliminar as deficiências de pontos de auditoria, acelerar a liberação de acesso às informações de negócios, gerenciar os acessos em ambiente Cloud Computing.

Como todas as soluções de segurança, um projeto de identidade e governança de acesso não é barato. Os preços são definidos por usuários ou por processadores (PVU, Processor Value Unit). Entretanto, a justificativa para um projeto de IAG deve considerar a avalição de risco de acessos não autorizados e perda de informações. Essas análises devem oferecer a justificativa para a aprovação de um projeto de IAG.