O que é gerenciamento de identidade e acesso (IAM)?

Considera-se IAM quando é executado um processo de identificação e quais competências cabem a um usuário, pode ser comparado a uma lista com nomes determinadas características de um usuário. O contexto computacional de identidade apresenta algumas diferenças da palavra em seu significado literal, não é possível salvar uma identidade de um indivíduo por completo, a identidade digital é caracterizada por um conjunto de propriedades convenientes armazenadas digitalmente. Um sistema computacional deverá considerar essas características convenientes atreladas ao usuário, são mais frequentes os métodos de autenticação:

  • Algo que o usuário sabe;
  • Algo que o usuário possui;
  • Algo que o usuário é;

Vantagens e Recursos importantes:

  • Maior segurança de TI: possibilita aplicar todas as regras de segurança em toda empresa.
  • Conformidade mais sólida: IAM pode ajudar a empresa e cumprir requisitos de muitos mandatórios relacionados à segurança e à privacidade de dados.
  • Redução de custos: as soluções de IAM favorecem a automação e padronização de atividades relacionadas à identidade, à autenticação e à autorização.
  • Permissão ou bloqueio de acesso a ativos: IAM pode definir condições, horário em que o usuário poderá acessar um determinado ativo;
  • Restrição de acesso a plataformas: pode ser usado a solução de IAM para limitar quais plataformas podem ser acessadas, sendo desenvolvimento, preparação, testes e produção;
  • Impedimento a transmissão de dados confidenciais: pode-se definir permissões rigorosas, determinando quais usuários podem criar, editar ou deletar dados e quem pode transmiti-los;

Ferramentas e métodos de IAM:

  • Autenticação multifator (MFA): os usuários são solicitados a fornecer uma combinação de fatores de autenticação para verificar as credenciais. Além dos dados do login inicial, é possível usar métodos como senha única baseada em tempo (TOTP), exigindo o fornecimento de uma senha temporária enviada por SMS, chamada telefônica ou e-mail.
  • Logon único (SSO): podendo ser visto como uma versão automatizada do MFA, o SSO é um sistema que permite o usuário autorizado realizar logon com segurança em várias aplicações de SaaS e sites usando apernas um conjunto de credencial.
  • Federação: permite um SSO sem senhas, através de um protocolo de identidade padrão, podendo ser linguagem de Aumento da Segurança da Declaração (SAML) ou WS-Federation, um servidor de federação fornece um token (dados de identidade) para um sistema ou aplicação com relação de confiança, possibilitando assim o trânsito entre domínios conectados.
  • RBAC e Zero-Trust: o RBAC é um método de controle para restringir acesso a redes, dados confidencias e aplicações importantes, baseado na função e responsabilidade do usuário dentro da empresa. A estrutura de Zero-Trust é baseada em controles rigorosos sob todos os usuários que solicitam acesso a recursos de trabalho. Possibilitando a contenção de acesso não autorizado, contendo violações e reduzindo risco de movimentação lateral de um invasor através da rede.

Métodos de Implantação:

  • Provisionar corretamente recursos atuais e futuros: importante pensar no que a empresa precisa hoje e o que vai precisar amanhã.
  • Compatibilidade e conformidade: é necessário conhecer os sistemas operacionais, as aplicações de terceiros e os servidores da web atuais, listá-los é uma boa forma de manter o controle e para garantir que serão compatíveis com a solução IAM.
  • Gestão de mudanças: implementar uma solução de IAM, afeta tudo e a todos, é importante que a implementação seja gradativa, setorizada.
  • Rastreamento e definição de métricas: mapear a eficácia da solução, determinando se o valor investido gerou retorno.

Base de referências para a IAM dentro da sua empresa:

A Organização Internacional de Normalização (ISO) tem como objetivo promover o desenvolvimento de normas, para fundamentar o IAM dentro da sua empresa:

  • ISO/IEC 29115:2013 Information technology – Security techniques – Entity authentication assurance framework;
  • ISO/IEC 24760-1:2019 IT Security and Privacy – A framework for identity management – Part 1: Terminology and concepts;
  • ISO/IEC 24760-2:2015 Information technology – Security techniques – A framework for identity management – Part 2: Reference architecture and requirements;
  • ISO/IEC 24760-3:2016 Information technology – Security techniques – A framework for identity management — Part 3: Practice;
  • ISO/IEC 29115:2013 Information technology – Security techniques – Entity authentication assurance framework;
  • ISO/IEC 29100:2011 Information technology – Security techniques – Privacy framework;
  • ISO/IEC 29101:2018 Information technology – Security techniques – Privacy architecture framework;
  • ISO/IEC TS 29003:2018 Information technology – Security techniques – Identity proofing;
  • ISO/IEC 29134:2017 Information technology – Security techniques – Guidelines for privacy impact assessment;

Termos Conhecidos da Tecnologia IAM: 

  • Gerência de acesso;
  • Active Directory (AD);
  • Autenticação Biométrica;
  • Controle de acesso à rede baseado em contexto;
  • Credencial;
  • Desprovisionamento;
  • Identidade Visual;
  • Entitlement;
  • Identidade como Serviço (IDaaS);
  • Lightweight Directory Access Protocol (LDAP);
  • Autenticação multifator (MFA);

Qual o motivo para sua organização utilizar IAM?

Técnicas de IAM são apenas o início do processo de tornar a rede coorporativa segura. Dentro dos padrões, as empresas precisam definir suas políticas de acesso, precisando descrever de forma especifica quem tem acesso a quais recursos de dados e aplicações e com preceito de qual condição o acesso a tais informações se faz necessário.  Dessa forma, uso da ferramenta mitiga usuários a realizarem acessos não autorizados, além de reduzir que credenciais sejam comprometidas, uma vez que o gerenciamento de acesso fica centralizado à identidade do seu portador, minimizando o risco de danos e consequências por ter credencias expostas, que podem colocar em risco o negócio e indivíduos vinculados a organização como clientes e colaboradores. Adaptando o acesso à identidade para o usuário de maneira flexível permite que administradores consigam acompanhar os processos, e em caso de falhas na segurança, consigam identificar onde ela surgiu. Sua forma de validação de credenciais pelo método de evidencia de identidade permanece mais ágil e segura do que uma carteira de senhas convencional e adotar um IAM eficiente garante a segurança e um melhor posicionamento no mercado em relação as novas legislações de proteção de dados.