Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
Nos últimos anos, muito tem sido escrito sobre a segurança da identidade, acesso e atividades permitidas para cada usuário em cada ativo empresarial, seja ele uma aplicação, dispositivo móvel, rede, infra-estrutura local ou em nuvem, bancos de dados, roteadores, etc.
O conceito de Gerenciamento da Identidade tornou-se confuso com o surgimento de uma pletora de soluções de diferentes fornecedores para remediar numerosos aspectos da identidade e/ou acesso.
A disseminação e o uso de siglas como IAM, IDaaS, SaaS, PIM, PAM, MFA, 2FA, SSO, ZT, AI e muitas outras, que são usadas para definir conceitos relacionados, mas não equivalentes, a diferentes domínios da Gestão da Identidade acrescentam dificuldades na compreensão do assunto.
Nesta nota tentaremos colocar alguma ordem nos diferentes conceitos relacionados à Gestão de Identidade e Acesso, e em notas futuras aprofundaremos cada um desses conceitos, ferramentas e processos, procedimentos e como eles são integrados ao objetivo principal, que é a proteção dos ativos de TI de cada organização.
I.A.M. é a sigla para Gerenciamento de Identidade e Acesso e de uma maneira simples pode ser dito que se refere ao gerenciamento e conexão segura dos usuários com os diferentes ativos da organização.
Os cibercriminosos procuram encontrar e aproveitar a fraca autenticação, autorização e mecanismos de acesso aos ativos da organização.
Estas vulnerabilidades são a principal razão para a implementação de um sistema I.A.M.
Pode-se dizer que para cada um dos mecanismos listados acima, existe um grande número de soluções integradas ou não integradas dentro de uma mesma plataforma para lidar com cada vulnerabilidade.
Ao analisar os tipos de sistemas I.A.M. adequados para cada organização, duas categorias principais devem ser consideradas, dependendo da infra-estrutura instalada:
As principais funções de uma estrutura de sistema I.A.M. são:
Estas funções, quando implementadas de forma integrada e correta, permitirão aos usuários acessar somente os dados e a infra-estrutura de que necessitam para desempenhar suas funções, mas nem sempre é fácil implementá-las corretamente.
Para cada uma dessas funções, existem diferentes tecnologias e plataformas para implementá-las:
Pequenas, médias e grandes organizações são alvos de ameaças externas que podem tentar assumir o controle, roubar ou extorquir, assumindo o controle da identidade de diferentes usuários.
O principal objetivo da implementação de um sistema I.A.M. é permitir a gestão de identidade e acesso para prevenir e proteger contra violações de segurança.
Selecionar, adquirir, implementar e manter um sistema IAM pode ser caro em tempo, pessoas e dinheiro, dependendo do tamanho da organização.
Para minimizar as atividades de interrupção para os funcionários e a empresa, as organizações estão procurando envolver empresas com experiência na implementação de soluções de segurança de TI.
Na BASE4 Security temos especialistas certificados nas principais ferramentas e plataformas, prontos para ajudar as organizações a definir as melhores soluções para suas necessidades, e prevenir possíveis e dispendiosas violações de segurança.