Quando pensamos na disciplina de IAM, por muitas vezes não fica claro a separação entre o ambiente interno e o ambiente de clientes. Por isso, tem sido cada vez mais comum a segmentação de IAM em dois pilares: WIAM e CIAM.
O termo CIAM é bem comum e difundido no mercado, sendo a disciplina de IAM voltada para Clientes (Customer Identity and Access Management). Já o termo WIAM não é tão popular, mas aos poucos vem ganhando força na sua utilização, que nada mais é do que Workforce Identity and Access Management (muitas vezes chamado apenas de Workforce). Ou seja, a estrutura de IAM que atua nos fluxos e processos internos da organização. É importante ter a clareza dessa segmentação, pois ambos requerem processos, tecnologias e estratégias diferentes na maioria dos casos.
O CIAM tem o foco voltado na segurança e experiência do cliente sem atrito, atuando em processos de autenticação, autorização, auto atendimento até a gestão de consentimento dos usuários clientes. se quiser saber sobre CIAM, leia meu artigo anterior. O time que atua no CIAM, possui dentre suas responsabilidades as tarefas de:
Definir e implementar estratégias de CIAM
Manter, otimizar e monitorar a tecnologia de CIAM e a interação dos clientes com a ferramenta
Analisar experiência dos clientes em IAM
Documentação procedimento de IAM para clientes
Já o WIAM tem o foco no ambiente interno, sendo assim atua diretamente na identidade e acessos dos colaboradores dentro da organização e nele há toda a estrutura de processos de JML, Enforcement, Access Review, Reconciliation e Access Request & Approval — se quiser saber mais desses processos, leia meu artigo anterior.
Além desses processos, há toda uma estrutura que é importante ser definida dentro do WIAM, tal como:
Operação de acessos
Arquitetura de Acessos
Governança de acessos
Projetos, Automações e Integrações de Acessos
A depender da estrutura de time que exista na sua empresa, estas segmentações podem ser squads ou times diferentes, com definição clara de papéis e responsabilidades.
Operação de Acessos
O time de Operação de Acessos é o time responsável por:
Atendimento de tickets de Acessos para sistemas não integrados com os sistemas de AM (Access Managament) e IGA (Identity Governance and Adminsitration), atuando assim no processo de Access Request and Approval
Execução dos processo de JML (Joinner, Mover e Leaver)
Possuir estratégia de plantonista para atuação em situações de crises e emergências
Realizar a implementação, operação e salvaguarda de credenciais
Documentação de procedimentos e manuais da operação
Governança de Acessos
O time de Governança de Acessos é o time responsável por:
Definir e manter a as Políticas Corporativas relacionadas a IAM
Definir e criar de novos perfis de acessos
Atender auditorias Internas e Externas
Definir, implementar e gerenciar de matrizes de Perfis de Acesso e as Matrizes de Segregação de Função, ou Segregation of Duties — SoD.
Definir e manter do processo de JML (Joinner, Mover e Leaver)
Definir e criar campanhas de conscientização de IAM
Definir e criar campanhas de de revisão/certificação de acessos
Definir e manter dashboards de monitoramento e gerenciamento de IAM
Apoiar na governança do CIAM
Documentar processos
Arquitetura de Acessos
Esse time, fica responsável por:
Implementar e administrar as soluções de IAM
Gerenciar projetos de IAM
Definir formas de autenticação e autorização dos sistemas da organização
Automatizar processos de IAM
Integrar sistemas com o os sistemas de IAM, tal como o AM e IGA
Documentar a arquitetura e automações
Conclusão
Dessa forma, podemos ver a importância de segmentar os ambientes entre interno e clientes quando se trata de IAM, a fim de implementar estratégias adequadas para cada segmento, garantindo uma segurança experiência mais adequada.
Comments