Governança de identidades no ambiente pós-covid
- Atualizado em
- Por Naty Santos
- IAM, PAM - Gerenciamento de Acesso Privilegiado
A pandemia acelerou a transformação digital e habilitou o trabalho remoto de milhares de pessoas; o que foi excelente para as empresas, em termos de produtividade e continuidade dos negócios, mas falho em termos de segurança, no caso da exposição de questões que não haviam sido resolvidas anteriormente ou não tiveram a atenção devida, como os usuários com privilégios excessivos de acesso (e que permaneceram nesta condição com a instituição do teletrabalho).
Usuários com excesso de privilégios: um problema de segurança
Usuários com excesso de privilégios podem causar grandes problemas na segurança de uma Companhia.
Como possuem elevadas permissões de acesso aos dados, podem executar programas e alterar as configurações de hardware e de, praticamente, todos os componentes de TI, sendo muito visados pelos cibercriminosos.
Quando a empresa não consegue controlar o uso de identidades com privilégios elevados, pode apresentar problemas de invasão, perda de dados, interrupção das operações e danos à reputação.
A Gestão de Privilégios deve monitorar a concessão do acesso com base no papel e responsabilidades do usuário na Organização, conferindo apenas os privilégios mínimos para exercer o bom desempenho de sua função.
O que você vai ver neste post
Governança de Identidades e Gestão de Acesso Privilegiado
A Governança de Identidade e Acesso (Identity and Access Governance – IAG) é o processo para requerer, aprovar, certificar e auditar os acessos às aplicações, dados e outros serviços de TI.
Uma das tarefas da IAG é verificar se as concessões de acesso estão dentro das políticas e perfis dos colaboradores.
As práticas de Governança de Identidade devem estar associadas às ferramentas de Gestão de Privilégios de Acesso (PAM).
Relação com a solução de PAM
A gestão de acesso privilegiado controla os acessos dos indivíduos, suas autenticações, autorizações e seus privilégios de acesso aos sistemas de informações, de acordo com as autorizações concedidas pela Organização para o usuário.
Identidade conecta-se a tudo
- Aplicações corporativas e infraestrutura
- Colaboração na nuvem
- SIEM
- Gerenciamento de serviços de TI
O que a abordagem correta de Governança de Identidades garante
- Gestão de acesso e prevenção de acessos não autorizados
- Utilização da cloud computing e IA/ML para estabelecer governança inteligente
- Garantir que as permissões de acesso às informações estão corretas
- Reduzir os esforços de TI e deixá-los mais inteligentes
- Proteger identidades do acesso não autorizado de atacantes
Questões essenciais para Governança de Identidades
A governança de identidade é essencial para ajudar as organizações a atender aos requisitos de conformidade com as leis de proteção de dados, além de responder as perguntas críticas:
- Quem tem acesso?
- Quem deveria ter o acesso?
- Como o acesso está sendo utilizado?
O que deve compor o escopo de Governança e Gestão de Identidades
- Inventário de sistemas e perfis de acesso;
- Inventário das identidades;
- Definição de fluxos, papéis e responsabilidades;
- Organização das identidades e categorização. Exemplo: colaboradores, fornecedores, clientes.
- Definição dos processos de solicitação, aprovação, revogação e revisão de direitos de acesso;
- Definição de regras de automação para os processos de administração de identidades,
- Gerenciamento de credenciais e privilégios de acessos. Exemplo: inclusão de novo sistema e seus perfis no inventário.
O Plano de Governança de Identidades
Todas as definições do escopo de Governança de Identidades são formalizadas em um plano de implantação, listando os processos e como serão executados.
Feito isso, é configurado na ferramenta de Gestão de Acesso Privilegiado.
Audite e governe o acesso do usuário
VaultOne é uma solução poderosa de gerenciamento de acesso privilegiado (PAM), que converge governança e administração de credenciais e acessos em uma única solução.
A plataforma também ajuda a empresa a estar em compliance com diversos padrões, leis e regulamentações, como LGPD, GDPR, ISO 27001, PCI, SOX e FIPS, eliminando as deficiências de pontos de auditoria e gerenciando o acesso, tanto em ambientes on-premises quanto na nuvem, usando o Zero Trust como base.
Fale com nossa equipe e saiba mais sobre a VaultOne.
