A gestão de identidades e acessos é basicamente o gerenciamento das identificações do usuário — como endereços de email — e seu nível de acesso às aplicações ou dados da empresa. A sigla IAM (ou IDam) vem de Identity Management and Access Management - em português, Gestão de Identidades e Acessos - sendo uma forma de proteger os dados da sua empresa, tanto de fontes internas como externas. Pense no IAM como um cartão de membro de uma companhia aérea. Apenas comprar uma passagem com a companhia não dá direito a benefícios como o acesso à sala VIP do aeroporto, que são reservados exclusivamente aos membros do clube da companhia. Da mesma forma, nem todos os funcionários de uma empresa têm acesso a todos os dados que a empresa possui. Ter uma política de IAM estabelecida oferece uma solução elegante para o problema da segurança de dados na empresa.

Quais problemas o protocolo de IAM ajuda a prevenir?

• Identificar os usuários com um ID único, definido pela política da sua empresa
• Ajudar a garantir o acesso seguro aos recursos da sua empresa
• Reduzir os custos da gestão de identidades
• Fornecer à equipe de TI uma forma de rastrear e monitorar as atividades dos usuários, garantindo a segurança dos dados
• Auxiliar no cumprimento dos padrões mais recentes de segurança e políticas corporativas

1. Pesquise sua implementação de IAM atual

Uma auditoria das suas políticas de dados existentes e sua implementação deverá trazer uma noção de qual é a solução ideal para sua empresa. O primeiro passo é fazer um balanço do inventário existente de seus ativos de TI (tanto para aplicativos locais quanto baseados em nuvem). Sua conta também deve refletir os aplicativos considerados "Shadow IT", ou seja, os aplicativos que podem ser instalados sem nenhum controle do administrador. Além disso, revise suas políticas atuais para estabelecer acesso ao usuário durante os processos de onboarding ou desligamento. Esta pesquisa detalhada deve ser útil para identificar as brechas na sua armadura de TI.

2. Defina metas e expectativas para sua nova política de IAM

Antes de começar a implementar sua estratégia de IAM, entenda como isso vai impactar o trabalho que você faz atualmente. É uma boa ideia alinhar suas expectativas para a nova implementação. Por exemplo, você pode dar uma olhada em como sua segurança e outras políticas corporativas precisam mudar com base no seu plano. Isso pode dar uma ideia de como será essa tarefa, e também do trabalho que será necessário realizar. Além disso, tenha em mente o fator custo-benefício. Sua implementação não pode ser tão complicada e cara a ponto de que todo o seu esforço seja em vão.

3. Prepare uma estratégia de implementação de IAM

A próxima etapa lógica é preparar o roadmap para o seu plano de implementação. Este roadmap deve ser definido em conjunto com todos os stakeholders importantes para o processo. Avalie seus requisitos e verifique também as dependências. Nesta etapa, é indicado que você defina suas métricas de sucesso e a timeline do processo de implementação. Outra parte importante da sua estratégia deve ser a avaliação dos melhores fornecedores de IAM e suas boas práticas. Por fim, garanta que seu plano de IAM esteja em compliance com os padrões de segurança e outros benchmarks da indústria que costumam ser seguidos pela sua empresa.

4. Mensure o seu progresso

Assim que o framework correto de IAM estiver instalado, revise suas métricas periodicamente para garantir que elas atendem às metas estabelecidas na etapa anterior. Uma auditoria minuciosa feita mensal ou trimestralmente é um jeito eficiente de avaliar sua implementação. Isso dá a você a oportunidade de corrigir eventuais erros e implementar as boas práticas de IAM recomendadas. Uma boa maneira de garantir o sucesso do seu plano de IAM é impulsionar a adoção pela empresa. Isso pode ser feito com o agendamento de webinars internos para explicar como o processo funciona, ou enviando emails como um lembrete frequente para todos os seus funcionários.

Ao longo da última década, as tecnologias de IAM observaram um crescimento fenomenal, tanto em termos de funcionalidades como de adoção. Ao tentar encontrar a melhor solução para identificação do usuário e gerenciamento de dados, é importante que você escolha as ferramentas corretas para seu plano de IAM. Isso ajuda a reduzir os custos fixos — como manutenção, por exemplo — ao mesmo tempo em que minimiza erros na sua implementação. Embora sua ferramenta de IAM deva ser robusta e rica em funcionalidades, ela também deve ser customizável até certo ponto, pois cada empresa tem suas particularidades. Nesta seção, vamos detalhar algumas das tecnologias disponíveis na indústria de IAM atualmente. Apesar de não citarmos os nomes das ferramentas, este guia deve dar a você uma ideia geral do que esperar do seu fornecedor de IAM.

IDam SSO

A sigla SSO significa Single Sign-on - em português, autenticação única. É possivelmente a forma mais fácil de implementar o protocolo de IAM na sua empresa. Com o SSO, o usuário só precisa lembrar seu login e senha para uma aplicação específica. Esta tecnologia integra as credenciais do usuário a todas as suas aplicações conectadas de maneira automática. Sendo assim, quando seu usuário fizer login em uma das aplicações, ele não precisará repetir o processo de autenticação quando acessar outra aplicação interna que foi vinculada usando o SSO. Até mesmo do ponto de vista do usuário final esta é uma forma eficiente de garantir a gestão de acesso.

Autenticação Multifator (MFA)

Enquanto o SSO é uma solução elegante para o problema do IAM, as empresas estão sempre à procura de implementações melhores de segurança. É aqui que o MFA entra em cena. Esta tecnologia pode suplementar suas capacidades de SSO e elevar o seu IAM a outro patamar. Dentro do MFA, as empresas estão constantemente alternando entre os métodos 2FA e 3FA - duplo e triplo fator de autenticação, respectivamente. O 3FA é baseado em três parâmetros que, quando colocados juntos, podem identificar de forma exclusiva um usuário específico. Isso inclui algo que o usuário sabe (como uma senha), algo que o usuário possui (como um smartphone) e algo que seja único ao usuário (como uma impressão digital). Todos os três fatores combinados proporcionam um método robusto de garantir a segurança da identidade do usuário e da gestão de acessos.

Integração baseada em nuvem

À medida que as empresas evoluem de aplicações locais para aplicações baseadas em nuvem, o seu plano de IAM deve acompanhar. Devido à crescente força de trabalho remota, faz muito mais sentido não apenas por reduzir custos de implementação mas também ajudar a cobrir uma ampla distribuição da sua rede de funcionários. Soluções sofisticadas de IAM em nuvem ajudam a detectar todo tipo de hacking em seus dispositivos e agir como um botão de desligar bloqueando imediatamente o hacker.

Uma nota sobre os riscos associados à implementação do IAM

Embora as ferramentas e tecnologias de IAM sejam imensamente úteis em oferecer uma cobertura de segurança para seus dados, elas não são livres de riscos. Ao implementar um plano de IAM, você está essencialmente confiando em uma companhia terceirizada para segurar o acesso às suas aplicações e também gerindo os dados da sua empresa. Se esta companhia terceirizada for hackeada, todos os seus esforços foram em vão? Não se você tomar as devidas precauções. Na fase de planejamento, decida o tipo de dado que você quer que seja coberto pelo IAM e crie backups para eles. Além disso, realizar auditorias frequentes como mencionado anteriormente ajuda a identificar contas de usuários inativos em sua base de dados. Saber como seu fornecedor de IAM segura e armazena seus dados (quais criptografias ele usa, quão anônimos são seus dados, etc) pode ajudar a acalmar sua mente.