Governança de identidades no ambiente pós-covid

A pandemia acelerou a transformação digital e habilitou o trabalho remoto de milhares de pessoas; o que foi excelente para as empresas, em termos de produtividade e continuidade dos negócios, mas falho em termos de segurança, no caso da exposição de questões que não haviam sido resolvidas anteriormente ou não tiveram a atenção devida, como os usuários com privilégios excessivos de acesso (e que permaneceram nesta condição com a instituição do teletrabalho).

Usuários com excesso de privilégios: um problema de segurança

Usuários com excesso de privilégios podem causar grandes problemas na segurança de uma Companhia.

Como possuem elevadas permissões de acesso aos dados, podem executar programas e alterar as configurações de hardware e de, praticamente, todos os componentes de TI, sendo muito visados pelos cibercriminosos.

Quando a empresa não consegue controlar o uso de identidades com privilégios elevados, pode apresentar problemas de invasão, perda de dados, interrupção das operações e danos à reputação.

A Gestão de Privilégios deve monitorar a concessão do acesso com base no papel e responsabilidades do usuário na Organização, conferindo apenas os privilégios mínimos para exercer o bom desempenho de sua função.

O que você vai ver neste post

Governança de Identidades e Gestão de Acesso Privilegiado

A Governança de Identidade e Acesso (Identity and Access Governance – IAG) é o processo para requerer, aprovar, certificar e auditar os acessos às aplicações, dados e outros serviços de TI.

Uma das tarefas da IAG é verificar se as concessões de acesso estão dentro das políticas e perfis dos colaboradores.

As práticas de Governança de Identidade devem estar associadas às ferramentas de Gestão de Privilégios de Acesso (PAM).

Relação com a solução de PAM

A gestão de acesso privilegiado controla os acessos dos indivíduos, suas autenticações, autorizações e seus privilégios de acesso aos sistemas de informações, de acordo com as autorizações concedidas pela Organização para o usuário.

Identidade conecta-se a tudo

  • Aplicações corporativas e infraestrutura
  • Colaboração na nuvem
  • SIEM
  • Gerenciamento de serviços de TI

O que a abordagem correta de Governança de Identidades garante

  • Gestão de acesso e prevenção de acessos não autorizados
  • Utilização da cloud computing e IA/ML para estabelecer governança inteligente
  • Garantir que as permissões de acesso às informações estão corretas
  • Reduzir os esforços de TI e deixá-los mais inteligentes
  • Proteger identidades do acesso não autorizado de atacantes

Questões essenciais para Governança de Identidades

A governança de identidade é essencial para ajudar as organizações a atender aos requisitos de conformidade com as leis de proteção de dados, além de responder as perguntas críticas: 

  1. Quem tem acesso?
  2. Quem deveria ter o acesso?
  3. Como o acesso está sendo utilizado?

O que deve compor o escopo de Governança e Gestão de Identidades

  • Inventário de sistemas e perfis de acesso;
  • Inventário das identidades;
  • Definição de fluxos, papéis e responsabilidades;
  • Organização das identidades e categorização. Exemplo: colaboradores, fornecedores, clientes.
  • Definição dos processos de solicitação, aprovação, revogação e revisão de direitos de acesso;
  • Definição de regras de automação para os processos de administração de identidades,
  • Gerenciamento de credenciais e privilégios de acessos. Exemplo: inclusão de novo sistema e seus perfis no inventário.

O Plano de Governança de Identidades

Todas as definições do escopo de Governança de Identidades são formalizadas em um plano de implantação, listando os processos e como serão executados.

Feito isso, é configurado na ferramenta de Gestão de Acesso Privilegiado.

Audite e governe o acesso do usuário

VaultOne é uma solução poderosa de gerenciamento de acesso privilegiado (PAM), que converge governança e administração de credenciais e acessos em uma única solução.

A plataforma também ajuda a empresa a estar em compliance com diversos padrões, leis e regulamentações, como LGPD, GDPR, ISO 27001, PCI, SOX e FIPS, eliminando as deficiências de pontos de auditoria e gerenciando o acesso, tanto em ambientes on-premises quanto na nuvem, usando o Zero Trust como base.

Fale com nossa equipe e saiba mais sobre a VaultOne.