A disciplina de Gestão de Identidades e Acessos (Identity and Access Management - IAM) tem evoluído exponencialmente nos últimos anos, decorrente da clareza que as organizações têm tido sobre o risco associado às credenciais de acesso e as respectivas identidades.
Segundo o Relatório do Identity Management Identity (IMI) de 2022, cerca de 80% de todas as violações de dados ocorreram como resultado de senhas fracas ou roubadas, sendo que uma parte notável está relacionada a ameaças internas que podem ser mitigadas limitando os acessos (usando o princípio de Least Privilege) ou os concedendo sob monitoramento. Além disso, o relatório API Security Report Q1 2023 da Salt Security, destaca que no primeiro semestre de 2023 houve um aumento de 400% de ataques em API, sendo que 80% delas ocorreram por meio de APIs autenticadas.
Diante desse cenário, a Gestão de Identidade e Acessos tem ganhado cada vez mais relevância nas organizações e auditorias, além de ser uma das disciplinas de Segurança que tem sido prioridade no orçamento da alta gestão.
Entretanto, quando passamos a analisar o mercado de soluções de IAM nos deparamos com uma série de soluções distintas e muitas siglas,tal como: IGA, AM, PAM, CIAM, CIEM, DREAM etc. Nesse artigo, iremos aprofundar na solução do IGA, diante do crescimento notável que temos visto na sua adoção.
IGA (Identity Governance and Administration)
O IGA implementa a gestão do ciclo de vida das identidades, buscando automação no gerenciamento de identidades e direitos de acessos, permitindo uma abordagem mais estratégica e simplificada do ciclo de vida da identidade. Com isso, se torna possível fazer a Governança da Identidade e não apenas o gerenciamento. Dentre os recursos do IGA, destacam-se os seguintes:
Gerenciamento do ciclo de vida da identidade e automação do processo JML (Joinner, Mover e Leaver)
Gerenciamento dos direitos de acessos (access rights) e entitlements
Requisição de Acesso
Revisão e Certificação de Acesso
Implementação da Matriz de Segregação de Função (SoD) e RBAC
Gerenciamento de senha
Relatórios
Vale ressaltar que o IGA possui um papel central na gestão de identidades e acesso.
Exemplo: automatizar o fluxo de criação da identidade conectando com a base do RH, quando colaborador for contratado e desativação da identidade automática quando o colaborador for desligado.
Qual a importância de um IGA dentro da Segurança da Informação?
Dentre os diversos itens mencionados acima, podemos resumir que o IGA traz uma séria de benefícios. Dentre eles, destacam-se:
Gestão centralizada da identidade: permite a visibilidade e gerenciamento centralizado da identidade para todo o ambiente, uma vez que o IGA esteja conectado aos sistemas, tornando a gestão mais simples.
Redução de custo operacional: a automação de processos, como o joinner, access request, access review etc, permite que a equipe de IAM, Suporte e TI de modo geral possa ser reduzida e permite uma escalabilidade mais sustentável.
Redução de erros operacionais e de riscos e aumento da segurança: reduz erros operacionais de ações que antes eram manuais, reduzindo a probabilidade de acessos indevidos e esquecidos.
Facilidade para revisão de acesso: com as integrações dos sistemas ao IGA, é possível fazer uma revisão de acesso mais rápida e eficiente, visto que não será preciso realizar todas as etapas de validação com os gestores/owners manualmente.
Facilidade para identificação de conflito de acesso: possibilidade de cadastro de identificação de perfis conflitantes durante a solicitação, reduzindo a chance de concessão de acesso indevido.
Aprimoramento do Desempenho de Conformidade e Auditoria: devido às interações, torna-se mais fácil garantir os controles dos processos e IAM além de facilitar a coleta de evidências
Entrega rápida e eficiente dos acessos: a concessão de acesso torna-se mais rápida e consequentemente traz uma melhor experiência para o usuário e aumento de satisfação.
Conclusão
Com isso, conclui-se que o IGA é um elemento essencial para organizações que buscam aumentar a maturidade da gestão de Identidades e Acessos no ambiente, no qual precisa ser visto como investimento e que agrega valor ao negócio reduzindo riscos, permitindo aumentar a produtividade e escalabilidade dos processos de IAM.
Comments