O que é Identity Governance e administra??o?

Tópicos técnicos

O que é Identity Governance e administra??o?

Ilustra??o de itens de TI com foco em um ponto de interroga??o

Vis?o geral

Com as várias ferramentas de governan?a de identidade disponíveis no mercado, n?o é fácil avaliar o que elas oferecem em compara??o com uma arquitetura de administra??o e governan?a de identidade de fun??o completa. Em rea??o a uma diretiva de seguran?a, muitas vezes, as equipes adotam uma abordagem restrita para gerenciar os direitos dos usuários ou cumprir os requisitos de separa??o de tarefas da organiza??o.

A IGA vai além da visibilidade dos direitos, que geralmente é considerada como um instant?neo em qualquer momento. Em vez disso, ela adota uma abordagem holística e integradora para seu gerenciamento. Quando desenvolvida em uma infraestrutura robusta de gerenciamento do ciclo de vida da identidade, a IGA reúne componentes essenciais da infraestrutura de gerenciamento de identidade e acesso de uma organiza??o para garantir que somente as pessoas certas tenham acesso a informa??es confidenciais.

Identity Governance e Administra??o

O que define uma solu??o completa de Identity Governance e administra??o?

Uma solu??o IGA robusta se distingue por oferecer os seguintes benefícios:

Oferece uma vis?o abrangente de contas e recursos - a IGA precisa manter as informa??es de identidade, direitos e riscos de cada recurso que está sendo gerenciado, bem como a identidade e a fun??o das pessoas que o acessam.
Proteja-se contra aprova??es com carimbo de borracha - com foco na prote??o contra aprova??es n?o verificadas de solicita??es de permiss?o, uma solu??o IGA eficaz inclui fluxos de trabalho projetados especificamente para informar os proprietários de informa??es e negócios, e n?o os administradores de TI. Para elevar o nível de inspe??o da solicita??o, ela precisa oferecer todas as informa??es relevantes sobre o solicitante e o recurso projetado para uma leitura rápida com indicadores eficazes de produtividade e risco.
Atestado robusto - oferece relatórios precisos que confirmam a conformidade contínua em vez de apenas relatar instant?neos no tempo. Quando necessário, uma infraestrutura IGA bem projetada pode fornecer análises que confirmam o acesso real por grupos específicos de usuários. O design do relatório deve ser rápido de revisar e simples de gerar e incluir nos relatórios de atestado. Embora esse nível de atestado ofere?a confian?a às equipes de seguran?a, ele exige que a governan?a de acesso tenha integra??es estreitas com o ciclo de vida da identidade e os componentes de gerenciamento de acesso do ambiente abrangente de IGA.

Qual é o valor específico de um ambiente IGA completo em rela??o a outras solu??es?

Embora a governan?a e a administra??o de identidade gerenciem os direitos e forne?am um atestado sólido para os auditores de seguran?a, ela tem o potencial de ser um componente fundamental da infraestrutura de gerenciamento de identidade e acesso de uma organiza??o:

O gerenciamento de direitos é o elemento fundamental da estratégia de privilégios mínimos de qualquer organiza??o. A seguran?a de privilégios mínimos ajuda a proteger contra amea?as internas, bem como a limitar os danos quando as credenciais de alguém s?o comprometidas e exploradas. Quando feito corretamente, ele pode ser usado para orientar e invocar a??es do ciclo de vida da identidade, em vez de trabalhar independentemente dele.
Uma das etapas da integra??o de recursos em uma plataforma de governan?a é a defini??o do risco e dos critérios de risco. As defini??es adequadas de risco de recursos confidenciais fornecem informa??es precisas aos aprovadores e revisores. Elas também podem ser consumidas pelo servi?o de risco para direcionar as a??es de gerenciamento de acesso adaptativo. Com muita frequência, os critérios usados para controles de acesso baseados em sess?o para possíveis a??es de autentica??o e autoriza??o s?o limitados ao contexto do usuário (geolocaliza??o, intervalo de IP, ID do dispositivo, etc.). Considerar o risco do próprio recurso oferece uma abordagem mais granular e eficaz para o acesso adaptável que pode aumentar a seguran?a e, ao mesmo tempo, otimizar a experiência do usuário. Ao limitar o número de vezes que um usuário é interrompido para autentica??o multifatorial, o atrito é reduzido e a experiência do usuário é otimizada.

O que a NetIQ está fazendo para tornar sua solu??o IGA mais inteligente?

Embora seja muito importante estabelecer uma base sólida de IGA, conforme descrito acima, o site NetIQ está continuamente ampliando os limites para tornar a automa??o da governan?a mais abrangente e eficaz para ajudar os proprietários de informa??es a proteger seus dados. As dire??es de desenvolvimento de governan?a e administra??o de identidade a curto prazo nas infraestruturas de gerenciamento de identidade e acesso incluem:

Além de fornecer as melhores informa??es possíveis em um formato que os aprovadores e revisores possam entender rapidamente, a próxima gera??o de IGA reúne práticas recomendadas de privilégios mínimos e políticas organizacionais para automatizar a análise de direitos. A eleva??o automatizada das pontua??es de risco de suas informa??es confidenciais, bem como dos usuários que as acessam, destaca os pontos de preocupa??o para revis?o e possíveis a??es de seguran?a.
O cenário de automa??o baseado em inteligência descrito no item anterior é melhor ampliado com a análise comportamental do uso real. Esse tipo de análise pode orientar o foco em identidades e recursos específicos para reavaliar o risco que eles representam para a organiza??o.
Embora tradicionalmente a IGA n?o inclua a governan?a do acesso à raiz dos sistemas, é necessária uma abordagem mais formal para proteger o acesso aos dados e executáveis hospedados no servidor. Como os administradores do sistema podem potencialmente contornar vários mecanismos de seguran?a, a import?ncia de proteger os privilégios de root é óbvia. Além da capacidade de delegar e controlar diferentes níveis de administra??o, esses superusuários têm tanto acesso concedido que o monitoramento avan?ado de suas a??es relacionadas ao sistema oferece informa??es forenses valiosas em potencial.

Um ambiente IGA bem construído n?o é fácil de implementar. Conseguir a ades?o em nível executivo e dos vários proprietários de negócios pode ser um processo longo e irregular. Para atrair os proprietários das informa??es e integrar adequadamente seus recursos, é preciso investir, assim como manter contato com eles para verificar se há mudan?as em seu ambiente que exijam atualiza??es. Mas o valor desse tipo de investimento em seguran?a rende enormes dividendos. Ele permite que as organiza??es sejam mais ágeis em suas opera??es de negócios digitais, mantendo o risco baixo.

Por que devo investir no Identity Governance and Administration?

Depois de entender a natureza abrangente do IGA, a pergunta natural é se esse nível de investimento é necessário para o seu ambiente. Embora cada organiza??o possa ter requisitos exclusivos, aqui est?o algumas considera??es comuns que podem orientar a profundidade e a amplitude do gerenciamento:

Embora quase todas as organiza??es precisem proteger suas informa??es financeiras e de RH, elas também podem ou n?o ter outros tipos de dados confidenciais dignos de governan?a:

Informa??es de clientes - esse tipo de informa??o varia muito. As organiza??es podem estar sujeitas a várias regulamenta??es estaduais ou federais, mesmo que estejam coletando informa??es de cookies ou identidades sociais para personalizar o conteúdo. Há também outros mandatos mundiais, como o Regulamento Geral de Prote??o de Dados (GDPR). Os requisitos do GDPR merecem um nível de prote??o IGA porque, uma vez que um perfil pessoal ou informa??es financeiras sejam retidos, provavelmente haverá a necessidade de seguran?a com privilégios mínimos. Há também uma coordena??o que precisa ocorrer entre os varejistas e seus provedores de servi?os (PSPs) e parceiros do setor. A menos que essas opera??es sejam pequenas, é difícil imaginá-las cumprindo as exigências de privacidade sem uma solu??o madura de governan?a de identidade.
Propriedade intelectual - seja na forma de informa??es de patentes, competências técnicas ou comerciais essenciais ou outros segredos comerciais, uma viola??o desses segredos pode representar um sério risco para a organiza??o. Independentemente de as organiza??es automatizarem ou n?o seus processos de direitos, é provável que seja necessária uma análise cuidadosa dos segredos avaliados antes de desenvolver uma estratégia de governan?a.
- a transforma??o digital do setor de saúde for?ou os provedores a automatizar o gerenciamento de direitos e o atestado de suas informa??es regulamentadas. A mudan?a para registros eletr?nicos de saúde (EHR) e outras informa??es de saúde protegidas (ePHI) resultou em prote??es governamentais de privacidade rigorosas, concretas e punitivas. ? um setor atormentado com as viola??es de maior custo em compara??o com qualquer outro. Além da perda monetária, as viola??es de registros de saúde prejudicam a confian?a dos pacientes porque incluem suas informa??es mais confidenciais. Informa??es que abrangem tanto informa??es de saúde quanto financeiras podem ser usadas para realizar fraudes.
- como outro setor altamente regulamentado, os servi?os financeiros est?o sujeitos a uma série de regulamenta??es criadas para evitar conluio malicioso e viola??o da privacidade. A privacidade é necessária para proteger contra fraudes ou outros tipos de roubo. ? seguro afirmar que toda institui??o financeira precisa de governan?a automatizada e se beneficiaria muito de uma solu??o que envolvesse diretamente os proprietários dos dados.

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Banco de dados analíticoBanco de dados analítico

Análise de dados n?o estruturadosAnálise de dados n?o estruturados

Inteligência de negócios e relatóriosInteligência de negócios e relatórios

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Pesquisa empresarialPesquisa empresarial

Aviator Pesquisa

Business Network CloudBusiness Network Cloud

Integra??o da cadeia de suprimentosIntegra??o da cadeia de suprimentos

Servi?os de integra??o B2BServi?os de integra??o B2B

Colabora??o do ecossistemaColabora??o do ecossistema

Rede de negócios Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Integra??es de negóciosIntegra??es de negócios

Captura e processamento inteligente de documentosCaptura e processamento inteligente de documentos

Information ArchivingInformation Archiving

Automa??o de processosAutoma??o de processos

Governan?a da informa??oGovernan?a da informa??o

Conteúdo Aviator

Cybersecurity CloudCybersecurity Cloud

Seguran?a de aplicativosSeguran?a de aplicativos

Identity and Access ManagementIdentity and Access Management

Privacidade e prote??o de dadosPrivacidade e prote??o de dados

Investiga??es e perícias digitaisInvestiga??es e perícias digitais

Inteligência sobre amea?as

Detec??o e resposta a amea?asDetec??o e resposta a amea?as

Seguran?a cibernética Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Teste funcionalTeste funcional

Engenharia de desempenhoEngenharia de desempenho

DevOps Aviator

Experience CloudExperience Cloud

Experiências de marca e na WebExperiências de marca e na Web

MensagensMensagens

Jornada do cliente e dadosJornada do cliente e dados

Media ManagementMedia Management

Análise do centro de contatoAnálise do centro de contato

Experiência Aviator

IT Operations CloudIT Operations Cloud

Gerenciamento de servi?osGerenciamento de servi?os

FinOpsFinOps

AIOps e observabilidadeAIOps e observabilidade

Automa??oAutoma??o

Gerenciamento de redeGerenciamento de rede

Opera??es de TI Aviator

好色先生TV Impulso好色先生TV Impulso

Developer Cloud documenta??o técnica

Aviator Impulso

PortfolioPortfolio

Prote??o de dados e backup de endpointsProte??o de dados e backup de endpoints

Gerenciamento de endpoints e seguran?a móvelGerenciamento de endpoints e seguran?a móvel

Trabalho híbrido, e-mail e colabora??o em equipeTrabalho híbrido, e-mail e colabora??o em equipe

Arquivamento, eDiscovery e seguran?a de dadosArquivamento, eDiscovery e seguran?a de dados

Informa??es reimaginadas

Inteligência ArtificialInteligência Artificial

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Servi?os de sucesso do clienteServi?os de sucesso do cliente

Servi?os de consultoria e estratégiaServi?os de consultoria e estratégia

Servi?os de consultoriaServi?os de consultoria

Servi?os de aprendizadoServi?os de aprendizado

Servi?os gerenciadosServi?os gerenciados

Encontre um parceiro 好色先生TVEncontre um parceiro 好色先生TV

Encontre uma solu??o de parceiroEncontre uma solu??o de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Blogs

EventosEventos

Comunidades

Em destaque

Analytics Cloud

Banco de dados analítico

Análise de dados n?o estruturados

Inteligência de negócios e relatórios

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Pesquisa empresarial

Business Network Cloud

Integra??o da cadeia de suprimentos

Servi?os de integra??o B2B

Colabora??o do ecossistema

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Integra??es de negócios

Captura e processamento inteligente de documentos

Information Archiving

Automa??o de processos

Governan?a da informa??o

Cybersecurity Cloud

Seguran?a de aplicativos

Identity and Access Management

Privacidade e prote??o de dados

Investiga??es e perícias digitais

Detec??o e resposta a amea?as

DevOps Cloud

Plataforma DevOps

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Teste funcional

Engenharia de desempenho

Experience Cloud

Experiências de marca e na Web

Mensagens

Jornada do cliente e dados

Media Management

Análise do centro de contato

IT Operations Cloud

Gerenciamento de servi?os

FinOps

AIOps e observabilidade

Automa??o

Gerenciamento de rede

好色先生TV Impulso

Portfolio

Prote??o de dados e backup de endpoints

Gerenciamento de endpoints e seguran?a móvel

Trabalho híbrido, e-mail e colabora??o em equipe

Arquivamento, eDiscovery e seguran?a de dados

Inteligência Artificial

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Servi?os de sucesso do cliente

Servi?os de consultoria e estratégia

Servi?os de consultoria

Servi?os de aprendizado

Servi?os gerenciados

Encontre um parceiro 好色先生TV

Encontre uma solu??o de parceiro

Crescer como parceiro

Biblioteca de ativos

Eventos

Histórias de clientes

好色先生TV Navigator