Gestão de identidades e acessos sem senhas
Um sistema de gerenciamento de identidade costuma envolver sistemas de login, ferramentas de gerenciamento de senhas e diretórios com os dados dos colaboradores. Como as empresas brasileiras evoluem sus processos de IAM para um sistema sem senhas?
Nos últimos anos, temos notado como a sociedade em geral iniciou um processo de digitalização de todos os tipos de serviços, desde o mais simples como o check-in em uma lista de espera, até aos grandes centros financeiros e industriais, incluindo o próprio governo.
Uma das ferramentas mais usadas é a gestão de identidades e acessos –ou Identity and Access Management (IAM)– que é um elemento de segurança da informação comumente utilizado para gerenciar identidades, determinando quais pessoas terão acesso a certos recursos de uma empresa, sejam eles redes, dispositivos ou bancos de dados, por exemplo. Assim, somente pessoas autorizadas recebem a permissão necessária de acesso, seguindo as políticas de segurança da empresa.
O IAM também auxilia na automatização do trabalho da área de tecnologia da informação, sendo responsável por autenticar apropriadamente os funcionários, tornando-a apta a participar de auditorias.
O que faz o IAM?
O IAM tem como principal objetivo facilitar a gestão de identidade dos usuários dentro de uma empresa, garantindo que somente pessoas autorizadas tenham acesso aos recursos adequados para a sua função. Isso envolve ações como:
- Fazer a captura e autenticação de login do usuário, bem como gravar as suas informações;
- Implementar ferramentas de permissão como a assinatura criptografada;
- Configurar serviços de armazenamento;
- Adicionar ou excluir usuários e alterar a sua permissão no acesso aos dados;
- Registrar históricos de acesso aos sistemas da empresa;
- Elaborar relatórios de usos das aplicações;
- Elaborar políticas de acesso aos sistemas da empresa.
Todas essas ações são executadas com base em sólidas políticas internas de gerenciamento de identidade, que determinam coisas como a forma de identificação dos usuários e quais as suas funções dentro de uma organização; quais usuários devem ganhar ou perder acesso a certos sistemas e quais devem ser as áreas sob os cuidados do IAM.
Um sistema de gerenciamento de identidade costuma envolver diversos fluxos, ferramentas e dados. Alguns deles são a integração dos sistemas de login existentes na empresa, ferramentas de gerenciamento de senhas e diretórios com os dados dos colaboradores.
Abaixo, colocamos alguns exemplos de sistemas e ferramentas utilizadas para IAM:
Provedor de identidade (IdP): É um produto ou serviço que auxilia o gerenciamento de identidade, sendo responsável pelo processo de login. Um exemplo é o Single Sign On (SSO), que permite ao usuário acessar múltiplas plataformas com um login único, sem precisar logar com dados diferentes em cada uma das contas.
Identity Analytics: Permitem aos times de segurança a identificação de comportamentos de risco, sendo uma forma de prevenção de fraudes importante para as organizações.
Autenticação de múltiplos fatores (MFA): É um sistema que combina uma série de dados sobre o usuário para autenticá-lo e garantir acesso a determinado recurso, envolvendo informações sobre o que ele é, o que sabe e coisas que tem.
Identity as a Service (IDaaS): Serviço baseado na nuvem, o IDaaS é responsável pela validação de identidade, processo muitas vezes terceirizado pelas organizações para obter mais segurança e atender a compliances específicos de mercados como o financeiro. Ele pode ser uma pequena parte da gestão de identidades e acessos, mas também pode ser responsável por todo o processo.
Gerenciamento de acesso: Esse é o sistema que vai determinar, com base em funções pré-definidas, quais são as pessoas dentro de uma empresa que podem ter acesso a certas plataformas e informações.
Autenticação baseada em risco (RBA): As soluções de RBA consideram o contexto do usuário para estabelecer um score de risco, atribuindo a cada score mais ou menos etapas de autenticação e validação de identidade.
Governança e gerenciamento de identidade (IMG): É uma ferramenta relevante para que as organizações mantenham o compliance com regulamentações de privacidade de dados como a LGPD, providenciando formas de automatizar a governança de identidade.
A maioria das empresas no Brasil já adotaram medidas IAM
Embora tudo isto possa ser evidente, a realidade é que até à chegada da pandemia da COVID-19, as empresas apenas levaram a cabo processos incipientes de gestão da segurança, mas a necessidade de colocar tudo na nuvem, conceder acesso remoto, e tornar o acesso à informação tão fácil quanto possível para clientes e fornecedores, gerou uma nova mentalidade que impulsionou o uso da IAM nas empresas como nunca antes.
Isto é comprovado por pela pesquisa mais recente da empresa Netbr realizada no mês de maio de 2022, que revelou muitos detalhes sobre a situação do gerenciamento da identidade no Brasil em organizações de grande porte. A pesquisa abrange 80 companhias entre as 500 maiores do País, todas com mais de mil funcionários. Entre elas, bancos, operadoras móveis, farmacêuticas, indústria aeronáutica, redes de varejo, seguradoras, hospitais, xTechs e empresas públicas.
Pelos resultados apurados, menos da metade dos executivos consultadas (45%) consideram como “consistente” o nível de maturidade das políticas de IAM de suas empresas.
Enquanto isto, 41% apontam “carência de maturidade” dessas políticas e outros 12% as posicionam como “ainda sem formalização”.
O levantamento mostrou que, mesmo entre essas grandes organizações, só 5% possuem uma área específica para as políticas de identidade, sendo que 72% das empresas atribuem essa disciplina a área de Segurança e 20% á de TI, de forma mais genérica.
Seja como for, há um avanço visível na adoção de plataformas de governança da identidade (IGA). No estudo atual, 42% das empresas já implantaram e outras 35% estão em fase de projeto com estas plataformas.
Zero Trust até 2023
Um número expressivo dos executivos (72%) acha que há mais de 70% de chances de suas empresas implantarem a arquitetura “zero trust” até o final de 2023. Outros 19% afirmam ter 100% de certeza.
Um possível obstáculo para esta implantação é apontado por outro dado do levantamento: 10% dos respondentes assumem que suas empresas não dispõem de visibilidade e documentação do inventário de credenciais e suas respectivas chaves.
Este é um dado preocupante, na visão da Netbr, levando-se em conta a situação de serem empresas do topo da economia, e a muitas delas com milhares de funcionários. Uma parcela de 33% dos executivos afirma possuir plenamente estes requisitos nas empresas, enquanto a maioria (56%) tem visibilidade e documentação parciais.
Mas a adoção de zero trust precisará enfrentar outros desafios. Entre as empresas consultadas, apenas 15% assinalam a pontuação “10” quanto à capacidade de administração de identidades impessoais (robôs, aplicações, dispositivos da rede e coisas da IoT). Por outro lado, 25% pontuam entre 7 e 9 (na escala que vai até 10). Na sequência, 25% das respostas pontuam entre 5 e 7 e 30% do total assinalam abaixo de 5 esta taxa de confiança.
Onboarding digital
O levantamento da Netbr revela ainda que 76% das empresas do universo estuado já adotam, ou estão implantando, alguma solução de onboarding digital, sendo que apenas 12% não têm planos para a área.
No mesmo diapasão, está em franco crescimento a adoção do acesso passwordless ou “sem senha”, hoje presente só em 19% das empresas, mas já em processo de implantação em 44% delas.
Virtudes evidentes
Contar com ferramentas e sistemas de gestão de identidades e acessos permite processos mais transparentes, reforçando a segurança de fluxos de informação em uma empresa e evitando riscos já bem conhecidos dos brasileiros, como as fraudes de identidade, phishings e vazamentos de dados, além dos acessos inapropriados a dados que deveriam ser confidenciais.
O IAM também facilita tarefas como a configuração de contas, reduzindo o trabalho operacional de times de segurança e possibilitando que se dediquem a ações mais estratégicas. A automatização torna as operações ainda mais dinâmicas e escaláveis, fazendo com que tarefas como mudanças no provisionamento de usuários, que envolvem revogações e mudanças em níveis de acesso, se tornem ainda mais fáceis.
Do outro lado, a ausência do IAM pode trazer riscos de segurança e, ainda por cima, multas e outras consequências legais pelo não cumprimento de regras de compliance.