好色先生TV

Tópicos técnicos

O que é Identity Governance e administra??o?

Ilustra??o de itens de TI com foco em um ponto de interroga??o

Vis?o geral

Com as várias ferramentas de governan?a de identidade disponíveis no mercado, n?o é fácil avaliar o que elas oferecem em compara??o com uma arquitetura de administra??o e governan?a de identidade de fun??o completa. Em rea??o a uma diretiva de seguran?a, muitas vezes, as equipes adotam uma abordagem restrita para gerenciar os direitos dos usuários ou cumprir os requisitos de separa??o de tarefas da organiza??o.

A IGA vai além da visibilidade dos direitos, que geralmente é considerada como um instant?neo em qualquer momento. Em vez disso, ela adota uma abordagem holística e integradora para seu gerenciamento. Quando desenvolvida em uma infraestrutura robusta de gerenciamento do ciclo de vida da identidade, a IGA reúne componentes essenciais da infraestrutura de gerenciamento de identidade e acesso de uma organiza??o para garantir que somente as pessoas certas tenham acesso a informa??es confidenciais.

Identity Governance e Administra??o

O que define uma solu??o completa de Identity Governance e administra??o?

Uma solu??o IGA robusta se distingue por oferecer os seguintes benefícios:

  • Oferece uma vis?o abrangente de contas e recursos - a IGA precisa manter as informa??es de identidade, direitos e riscos de cada recurso que está sendo gerenciado, bem como a identidade e a fun??o das pessoas que o acessam.
  • Proteja-se contra aprova??es com carimbo de borracha - com foco na prote??o contra aprova??es n?o verificadas de solicita??es de permiss?o, uma solu??o IGA eficaz inclui fluxos de trabalho projetados especificamente para informar os proprietários de informa??es e negócios, e n?o os administradores de TI. Para elevar o nível de inspe??o da solicita??o, ela precisa oferecer todas as informa??es relevantes sobre o solicitante e o recurso projetado para uma leitura rápida com indicadores eficazes de produtividade e risco.
  • Atestado robusto - oferece relatórios precisos que confirmam a conformidade contínua em vez de apenas relatar instant?neos no tempo. Quando necessário, uma infraestrutura IGA bem projetada pode fornecer análises que confirmam o acesso real por grupos específicos de usuários. O design do relatório deve ser rápido de revisar e simples de gerar e incluir nos relatórios de atestado. Embora esse nível de atestado ofere?a confian?a às equipes de seguran?a, ele exige que a governan?a de acesso tenha integra??es estreitas com o ciclo de vida da identidade e os componentes de gerenciamento de acesso do ambiente abrangente de IGA.

Qual é o valor específico de um ambiente IGA completo em rela??o a outras solu??es?

Embora a governan?a e a administra??o de identidade gerenciem os direitos e forne?am um atestado sólido para os auditores de seguran?a, ela tem o potencial de ser um componente fundamental da infraestrutura de gerenciamento de identidade e acesso de uma organiza??o:

  • O gerenciamento de direitos é o elemento fundamental da estratégia de privilégios mínimos de qualquer organiza??o. A seguran?a de privilégios mínimos ajuda a proteger contra amea?as internas, bem como a limitar os danos quando as credenciais de alguém s?o comprometidas e exploradas. Quando feito corretamente, ele pode ser usado para orientar e invocar a??es do ciclo de vida da identidade, em vez de trabalhar independentemente dele.
  • Uma das etapas da integra??o de recursos em uma plataforma de governan?a é a defini??o do risco e dos critérios de risco. As defini??es adequadas de risco de recursos confidenciais fornecem informa??es precisas aos aprovadores e revisores. Elas também podem ser consumidas pelo servi?o de risco para direcionar as a??es de gerenciamento de acesso adaptativo. Com muita frequência, os critérios usados para controles de acesso baseados em sess?o para possíveis a??es de autentica??o e autoriza??o s?o limitados ao contexto do usuário (geolocaliza??o, intervalo de IP, ID do dispositivo, etc.). Considerar o risco do próprio recurso oferece uma abordagem mais granular e eficaz para o acesso adaptável que pode aumentar a seguran?a e, ao mesmo tempo, otimizar a experiência do usuário. Ao limitar o número de vezes que um usuário é interrompido para autentica??o multifatorial, o atrito é reduzido e a experiência do usuário é otimizada.

O que a NetIQ está fazendo para tornar sua solu??o IGA mais inteligente?

Embora seja muito importante estabelecer uma base sólida de IGA, conforme descrito acima, o site NetIQ está continuamente ampliando os limites para tornar a automa??o da governan?a mais abrangente e eficaz para ajudar os proprietários de informa??es a proteger seus dados. As dire??es de desenvolvimento de governan?a e administra??o de identidade a curto prazo nas infraestruturas de gerenciamento de identidade e acesso incluem:

  • Além de fornecer as melhores informa??es possíveis em um formato que os aprovadores e revisores possam entender rapidamente, a próxima gera??o de IGA reúne práticas recomendadas de privilégios mínimos e políticas organizacionais para automatizar a análise de direitos. A eleva??o automatizada das pontua??es de risco de suas informa??es confidenciais, bem como dos usuários que as acessam, destaca os pontos de preocupa??o para revis?o e possíveis a??es de seguran?a.
  • O cenário de automa??o baseado em inteligência descrito no item anterior é melhor ampliado com a análise comportamental do uso real. Esse tipo de análise pode orientar o foco em identidades e recursos específicos para reavaliar o risco que eles representam para a organiza??o.
  • Embora tradicionalmente a IGA n?o inclua a governan?a do acesso à raiz dos sistemas, é necessária uma abordagem mais formal para proteger o acesso aos dados e executáveis hospedados no servidor. Como os administradores do sistema podem potencialmente contornar vários mecanismos de seguran?a, a import?ncia de proteger os privilégios de root é óbvia. Além da capacidade de delegar e controlar diferentes níveis de administra??o, esses superusuários têm tanto acesso concedido que o monitoramento avan?ado de suas a??es relacionadas ao sistema oferece informa??es forenses valiosas em potencial.

Um ambiente IGA bem construído n?o é fácil de implementar. Conseguir a ades?o em nível executivo e dos vários proprietários de negócios pode ser um processo longo e irregular. Para atrair os proprietários das informa??es e integrar adequadamente seus recursos, é preciso investir, assim como manter contato com eles para verificar se há mudan?as em seu ambiente que exijam atualiza??es. Mas o valor desse tipo de investimento em seguran?a rende enormes dividendos. Ele permite que as organiza??es sejam mais ágeis em suas opera??es de negócios digitais, mantendo o risco baixo.

Por que devo investir no Identity Governance and Administration?

Depois de entender a natureza abrangente do IGA, a pergunta natural é se esse nível de investimento é necessário para o seu ambiente. Embora cada organiza??o possa ter requisitos exclusivos, aqui est?o algumas considera??es comuns que podem orientar a profundidade e a amplitude do gerenciamento:

Embora quase todas as organiza??es precisem proteger suas informa??es financeiras e de RH, elas também podem ou n?o ter outros tipos de dados confidenciais dignos de governan?a:

  • Informa??es de clientes - esse tipo de informa??o varia muito. As organiza??es podem estar sujeitas a várias regulamenta??es estaduais ou federais, mesmo que estejam coletando informa??es de cookies ou identidades sociais para personalizar o conteúdo. Há também outros mandatos mundiais, como o Regulamento Geral de Prote??o de Dados (GDPR). Os requisitos do GDPR merecem um nível de prote??o IGA porque, uma vez que um perfil pessoal ou informa??es financeiras sejam retidos, provavelmente haverá a necessidade de seguran?a com privilégios mínimos. Há também uma coordena??o que precisa ocorrer entre os varejistas e seus provedores de servi?os (PSPs) e parceiros do setor. A menos que essas opera??es sejam pequenas, é difícil imaginá-las cumprindo as exigências de privacidade sem uma solu??o madura de governan?a de identidade.
  • Propriedade intelectual - seja na forma de informa??es de patentes, competências técnicas ou comerciais essenciais ou outros segredos comerciais, uma viola??o desses segredos pode representar um sério risco para a organiza??o. Independentemente de as organiza??es automatizarem ou n?o seus processos de direitos, é provável que seja necessária uma análise cuidadosa dos segredos avaliados antes de desenvolver uma estratégia de governan?a.
  • - a transforma??o digital do setor de saúde for?ou os provedores a automatizar o gerenciamento de direitos e o atestado de suas informa??es regulamentadas. A mudan?a para registros eletr?nicos de saúde (EHR) e outras informa??es de saúde protegidas (ePHI) resultou em prote??es governamentais de privacidade rigorosas, concretas e punitivas. ? um setor atormentado com as viola??es de maior custo em compara??o com qualquer outro. Além da perda monetária, as viola??es de registros de saúde prejudicam a confian?a dos pacientes porque incluem suas informa??es mais confidenciais. Informa??es que abrangem tanto informa??es de saúde quanto financeiras podem ser usadas para realizar fraudes.
  • - como outro setor altamente regulamentado, os servi?os financeiros est?o sujeitos a uma série de regulamenta??es criadas para evitar conluio malicioso e viola??o da privacidade. A privacidade é necessária para proteger contra fraudes ou outros tipos de roubo. ? seguro afirmar que toda institui??o financeira precisa de governan?a automatizada e se beneficiaria muito de uma solu??o que envolvesse diretamente os proprietários dos dados.

Notas de rodapé