O que é IAM? Definições, recursos e ferramentas explicados

Publicados: 2019-11-23

Contribuição do convidado por John Wilkinson

Identity and Access Management (IAM) é o termo abrangente para as estruturas e processos dentro de qualquer organização que administra e gerencia o acesso de seus funcionários aos recursos. É importante notar que o IAM, estritamente falando, é uma disciplina conceitual. As soluções de IAM são as implementações de software que realmente impõem a estratégia e as políticas de IAM de uma organização. Para os propósitos deste artigo, vamos nos aprofundar no IAM e nas soluções relacionadas aos recursos de TI.

Em sua forma mais destilada, as soluções IAM centralizam, conectam e controlam o acesso aos seus sistemas, dados e recursos. Pense neles como os cérebros que supervisionam o ambiente de TI de uma organização. A centralização de informações de identidade para cada indivíduo preserva suas permissões e segurança associadas para conduzir e facilitar processos automatizados. Padronizar e sincronizar o IAM da sua organização estabelece a criação de um banco de dados preciso e de fácil gerenciamento, facilitando o acesso seguro e adequado para todos os usuários.

As soluções de IAM ajudam a calibrar o ponto ideal perfeito entre acesso muito aberto e segurança muito rígida para a função específica de cada usuário no ambiente e nas operações exclusivas de sua organização. Uma implementação bem-sucedida fornece ferramentas de gerenciamento para recursos de TI e processos de negócios. Isso garante que os usuários certos tenham o acesso certo aos recursos certos, na ponta dos dedos, independentemente de onde sua função os leve.

Por que o IAM é importante? - Contexto histórico

Entendendo o “Por quê?” de algo serve como uma parte crucial da compreensão do “O quê?”. Então, por que as soluções de IAM são importantes? Para isso, recorremos ao contexto histórico dos processos de negócios e da tecnologia.

A tecnologia empresarial tradicional operava de forma independente porque não tinha a interconectividade que nos é oferecida hoje. Isso criou silos de dados díspares que existiam exclusivamente em sistemas específicos. Esqueça a transferência de informações de máquina para máquina, muitas vezes confinada a sistemas individuais e aplicativos de software. Os processos de negócios tradicionais contornavam essas limitações, exigindo esforço excessivo e rastros em papel para melhor garantir a conclusão adequada e a manutenção de registros.

“Siloing” refere-se ao ato de isolar algo (por exemplo, dados) dentro de estruturas ou sistemas independentes, seqüestrando-o de todo o ambiente – pense em silos de grãos em uma fazenda.

Quando as organizações dependem de recursos e dados em silos, a resultante falta de interconectividade restringe o uso dentro dos limites de um limite explícito. Por exemplo, a utilidade dos dados de RH seria limitada exclusivamente ao sistema de RH. Além disso, o silo muitas vezes força a criação de processos de negócios e de acesso ineficientes como soluções alternativas. Essas soluções formais ou ad hoc não são um remédio, mas bandagens superficiais para ossos estruturais quebrados.

Muitas dessas soluções alternativas podem ter parecido sensatas como esforços pré-digitais e legados – como formulários em papel que exigem cinco estágios de aprovação. No entanto, o surgimento interminável de novas tecnologias regularmente as torna redundantes ou restritivas.

IAM manual – você tem usado o tempo todo

Você pode não perceber, mas sua organização já aplica várias políticas e procedimentos do IAM – eles podem não ser automatizados ou digitalizados. Abaixo estão alguns exemplos que demonstram processos de IAM manuais ou baseados em papel que controlam e monitoram o acesso aos recursos:

  • Sair de um carro da empresa gravando seu nome, a data e a quilometragem inicial e final em uma prancheta perto das chaves
  • Inserir códigos de segurança atribuídos individualmente em uma fechadura de combinação para obter acesso ao edifício
  • Envio de formulários de solicitação em papel para aprovações de despesas de um funcionário

IAM hoje

Independentemente do setor, tamanho ou localização, as organizações modernas exigem recursos de TI para concluir as funções diárias: seu departamento de RH usa um sistema de RH para obter informações sobre os funcionários; seu departamento de contabilidade usa software de folha de pagamento; vendas usam sistemas CRM (Customer Relationship Management); marketing usa sistemas de gerenciamento de conteúdo (CMS); todos acessam armazenamento local ou em nuvem para compartilhamento de arquivos e dados; e assim por diante.

A utilização desses recursos requer contas de usuário associadas a indivíduos. Para acessar uma conta de usuário, um funcionário deve autenticar sua identidade – geralmente inserindo credenciais de nome de usuário e senha. As contas de usuário devem ser criadas, mantidas e desativadas ao longo de seu ciclo de vida, o que geralmente se correlaciona com a duração do emprego desse usuário.

O aproveitamento eficaz dos recursos de TI em meio às expectativas atuais de imediatismo requer acesso instantâneo a aplicativos, arquivos e dados a qualquer momento, de qualquer dispositivo, em qualquer local. Além de tudo isso, o ataque sem fim de entidades digitais maliciosas em um mundo mais conectado do que nunca complica os processos e o acesso tradicionais.

O sucesso no mundo dos negócios de hoje depende de operações, dados e segurança otimizados. Processos ineficientes se somam rapidamente para atrasá-lo. Gerenciar manualmente a criação e o provisionamento de contas de usuário, solicitações ad hoc, autenticação, revisões de acesso, esforços de segurança e muito mais sobrecarrega não apenas sua equipe de TI, mas todos os funcionários que utilizam recursos de TI. Combinando esses desafios com conformidade regulatória cada vez mais exigente (por exemplo, HIPAA, SOX, FERPA) e riscos de violação, cada empresa atualmente enfrenta o ambiente mais rigoroso de todos os tempos.

Além disso, que tipo de contas são usadas nas operações diárias? Quando funções com permissões elevadas (por exemplo, diretores, gerentes, funções especializadas) realizam operações por meio de suas contas privilegiadas o tempo todo, há uma probabilidade muito maior de que essas contas se tornem inseguras e atividades excessivas possam ser realizadas sem aviso prévio. O gerenciamento de acesso privilegiado é fundamental para manter seu ambiente seguro. Se não for necessário usar uma conta privilegiada, não use . É simples assim. No extremo oposto, contas genéricas compartilhadas por vários usuários eliminam o insight. O uso excessivo de contas privilegiadas e genéricas facilita o gerenciamento, pois não existe nenhuma e tudo é catastroficamente menos seguro.

Deixar de adotar processos, políticas e medidas de segurança estritos cria o caos. Sem isso, os direitos de acesso de sua equipe podem sair rapidamente do controle e, por sua vez, complicar a compreensão de todos sobre as funções e responsabilidades. Essa desorganização cria riscos de segurança, descuidos e negligência com potencial para sérias ramificações.

Uma solução IAM é a melhor plataforma que você pode oferecer para preparar sua organização para o sucesso. Automatizar seus processos de gerenciamento de back-end garante a execução adequada de tarefas críticas e domésticas, fornece acesso seguro e recupera a capacidade de priorizar seu pessoal com tarefas mais importantes.

Confira o infográfico abaixo para mais algumas estatísticas sobre Gerenciamento de Identidade e Acesso:

Soluções IAM definidas

As soluções IAM são tecnologias dinâmicas que gerenciam, integram e combinam identidades de usuários, ciclos de vida de contas, permissões de usuários e atividades. Em linguagem mais clara – as soluções IAM gerenciam quem, o quê, onde, quando, por que e como se relacionam com os usuários que operam nos “ambientes tecnológicos cada vez mais heterogêneos” de qualquer organização (Gartner).

A implementação de tal plataforma permite que usuários verificados acessem os recursos necessários, profissionais de TI se concentrem no trabalho produtivo em vez de tarefas administrativas subalternas e que a organização como um todo opere com mais eficiência. O IAM oferece a uma organização a capacidade de direcionar a energia para operações impactantes, focadas em ROI e benéficas, em vez de ser restringida pelo gerenciamento de seus sistemas.

Componentes da solução IAM

Existem quatro componentes principais de qualquer solução IAM:

1. Gerenciamento de autenticação

O Gerenciamento de Autenticação verifica as identidades e, consequentemente, concede ou nega o acesso inicial aos sistemas. Este é o lado “Identidade” do IAM e garante que cada usuário seja quem diz ser.

A verificação de identidade tradicional requer credenciais de nome de usuário e senha, mas a autenticação multifator (MFA) mais recente oferece suporte ao uso de senhas descartáveis ​​(OTP), tokens, cartões inteligentes e muito mais. Um dos métodos de autenticação atuais mais comuns é entrar no Active Directory (AD) da Microsoft quando os funcionários fazem login pela primeira vez em seus computadores.

2. Gerenciamento de Autorização

O Gerenciamento de Autorização garante que um usuário autenticado possa acessar apenas os aplicativos e recursos necessários para sua determinada função. Este é o lado de “Gerenciamento de acesso” do IAM e pode incorporar elementos adicionais, como os modelos de função Single Sign-On e Access Governance (AG), que consistem em uma matriz que impõe o controle de acesso baseado em função (RBAC).

Modelos de papéis podem ser pensados ​​como gráficos digitais que descrevem estruturas hierárquicas de funcionários relacionadas ao acesso. O Single Sign-On (SSO) disponibiliza todos os recursos de TI dos usuários após a conclusão de um único login para eliminar tentativas de autenticação repetitivas e segurança de senha ruim ao acessar vários sistemas e aplicativos.

3. Administração

Administração da automação dos ciclos de vida da conta de usuário: criação, modificação, desativação e exclusão de contas de usuário para sistemas e aplicativos. Enquanto o Gerenciamento de Autenticação e Autorização supervisiona a segurança de acesso, a Administração supervisiona o provisionamento de recursos. Vinculando sistemas de origem (por exemplo, sistemas de RH, como UltiPro ou WorkDay) a sistemas de destino (por exemplo, AD, O365, G Suite, SalesForce, Adobe), as soluções IAM permitem automatizar tarefas manuais para provisionamento completo e completo.

A administração coincide com o ciclo de vida da conta do usuário, desde a configuração no primeiro dia de um funcionário até a desativação após sua saída. À medida que as funções dos funcionários mudam (por exemplo, promoções, reorganizações), as soluções IAM reprovisionam e atualizam automaticamente os recursos e acessam adequadamente. Alterações ad hoc para coisas como projetos pontuais podem ser tratadas pela funcionalidade de autoatendimento, permitindo que os usuários solicitem acesso diretamente de seu gerente ou do “proprietário” do recurso. Como as soluções IAM fornecem interfaces administrativas, o conhecimento técnico não é mais necessário para provisionar usuários. Os gerentes podem simplesmente aprovar uma mudança e deixar que a solução processe o resto.

4. Monitoramento e Auditoria

Esses recursos suportam o gerenciamento interno e ativo e a revisão das operações e processos de uma organização por meio de logs de atividades abrangentes. Os logs de atividades podem ser usados ​​para compilar relatórios de inteligência de negócios e trilhas de auditoria, realizar revisões de acesso, garantir funções corretas e corrigir quaisquer processos ou problemas ineficientes do IAM.

Execução do IAM

As soluções de IAM são executadas em “dados autorizados”, que é o conjunto mais preciso e completo que contém as informações de identidade de seu funcionário. As organizações devem fornecer dados oficiais para uma solução de IAM. Os dados oficiais devem ser limpos e inseridos em um formato consistente ou a automação terá problemas. A maioria dos dados de identidade é armazenada em “sistemas de origem”, como um sistema de RH que contém informações pessoais/de contato, datas de início e término, função/função, departamento, local etc.

Pense em sistemas de origem e dados como uma bateria de carro – você pode conectar todos os tipos de funções e recursos elétricos, mas como fonte, a bateria deve fornecer corrente elétrica limpa suficiente para que funcionem. Os processos do IAM só podem ser executados com entradas de dados limpas, consistentes e completas. Usando conectores padrão entre sistemas, as soluções IAM podem agregar dados de muitos sistemas de origem diferentes antes de enviá-los para os destinos conectados.

As organizações devem determinar, em detalhes, quais recursos um determinado indivíduo recebe por sua função e incorporá-los em seu modelo de AG. As soluções de IAM contam com acionadores e processos configuráveis ​​para obter esses dados oficiais e sincronizá-los em todo o seu ambiente de TI. Uma variedade de campos e valores são monitorados para alterações. Quando ocorrem alterações nos valores de origem, o monitoramento do gatilho do IAM inicia um processo associado para sincronizar os dados de acordo com a lógica configurada.

Os indivíduos em uma organização podem ter identidades diferentes, que geralmente são armazenadas separadamente em uma solução de IAM. Com base nessas identidades, o IAM pode criar e gerenciar diferentes contas de usuário para diferentes tipos de funcionários e responsabilidades de função. Se um usuário precisar realizar tarefas que exijam privilégios elevados (por exemplo, acessar informações da folha de pagamento), ele deverá usar uma conta privilegiada. Para verificar seus e-mails ou criar um documento, eles devem usar sua conta de usuário geral sem privilégios elevados. O gerenciamento de acesso privilegiado permite que os funcionários operem com a conta de usuário que se adapta à situação.

Os sistemas de origem ainda fornecem todas as informações dessas identidades, mas não auxiliam no gerenciamento adequado. Uma solução IAM atua nos dados oficiais e é o que possibilita todos esses vínculos complexos entre identidades e usuários.

Segurança do IAM

Os riscos de segurança começam quando um funcionário é contratado com a entrega de contas e credenciais recém-criadas até o dia em que o funcionário sai. Ao longo de seu emprego, as necessidades de recursos de um usuário provavelmente mudarão. Promoções, reorganizações, mudanças de funções e projetos ad hoc contribuem para mudar as necessidades de acesso. Com o tempo, grande parte desse acesso pode se tornar desnecessário ou até mesmo um risco de conformidade, o que se traduz em preocupações de segurança. É especialmente preocupante se o acesso em questão ameaçar informações confidenciais, como Informações Pessoais Identificáveis ​​(PII), números de cartão de crédito ou de previdência social, etc. Esse acúmulo de acesso é conhecido como “expansão de permissão”. As soluções de IAM neutralizam o “aumento de permissões” restringindo o acesso às necessidades do funcionário, dependendo de sua função aqui e agora.

Esses riscos não terminam mesmo depois que o funcionário sai, a menos que você tenha um processo de desprovisionamento abrangente e automatizado. Um processo de desprovisionamento lida com a limpeza das contas e acesso dos funcionários que estão saindo. Sem uma solução de IAM, o rastreamento seguro de todas as contas, credenciais e acesso (físico ou digital) de um determinado usuário – quanto mais removê-los em tempo hábil – torna-se impossível.

Quando um usuário sai de uma organização, todas as contas associadas devem ser desativadas e desprovisionadas. Caso contrário, o usuário original ainda poderá fazer login com as mesmas credenciais, mesmo que tenha saído da sua organização. Um ex-funcionário mal-intencionado pode obter dados confidenciais (por exemplo, informações do cliente, propriedade intelectual, credenciais de conta) ou danificar seu ambiente nos piores cenários. Ex-funcionários podem acessar seus recursos de TI até a desativação. Isso pode levar dias, semanas, meses ou até anos. A falha na limpeza de contas e acesso expõe o armazenamento em nuvem, dados de clientes, projetos futuros, materiais de marketing e muito mais. A desativação paralisada é especialmente perigosa para recursos hospedados na nuvem que qualquer pessoa pode acessar de seus dispositivos pessoais.

“Contas órfãs”

A outra razão principal para aderir a um processo de desativação padrão é evitar o acúmulo de “contas órfãs”. Contas órfãs são aquelas que não estão mais associadas a um usuário ativo e permanecem em seu ambiente. Esses detritos digitais atrapalham sua capacidade de avaliar com precisão seu ambiente, ao mesmo tempo em que ocupam espaço de armazenamento. Um dos processos mais importantes de uma solução IAM é limpá-los.

Olhando para o futuro: IAM e a nuvem

Hoje, a maioria das empresas divide seu ambiente de TI incorporando aplicativos em nuvem para reduzir os custos de manutenção, implementação mais rápida e flexibilidade de acesso. No entanto, esses ambientes híbridos apresentam sérios desafios às operações de negócios tradicionais e ao “IAM manual”. O uso de aplicativos em nuvem não gerenciados convida a riscos de segurança por meio das inúmeras novas aberturas em seu ambiente de TI – sem mencionar que pode frustrar os usuários com logins repetitivos. Questões como essas são o motivo pelo qual a funcionalidade de SSO na nuvem ou na Web é tão importante.

As soluções de IAM com funcionalidade Single Sign-On (SSO) baseada em nuvem/web ajudam a preencher a lacuna em ambientes híbridos. O portal de login central de um SSO protege todos os recursos de TI dos usuários por trás de um único login com protocolos de segurança rígidos e políticas de acesso configuráveis. Uma vez autenticado, um usuário tem todo o acesso de que precisa para sua função em um portal que minimiza as aberturas na rede e os riscos de violação associados. Para segurança extra, o MFA pode ser adicionado à autenticação SSO.

Sem algum banco de dados central e autoritário operando como intermediário entre seus usuários e seus recursos, eles terão que fazer login repetidamente em suas contas separadas em sua infraestrutura local e na nuvem. Gerenciar todas essas contas diferentes complica o uso diário, bem como a administração. Os usuários precisam fazer malabarismos com URLs, complexidades de credenciais, expiração de senhas, saídas automáticas e outras medidas que – ao mesmo tempo em que fornecem segurança – impedem o acesso fácil e reduzem a produtividade.

Para desenvolver uma organização de sucesso, seu pessoal deve ser capaz de ser bem-sucedido como indivíduos ou equipes. Isso requer acesso aos meios e recursos para cumprir as tarefas diárias (por exemplo, aplicativos, compartilhamentos, ferramentas de gestão, espaços colaborativos) e flexibilidade para agir de forma decisiva quando o momento exigir. Requisitos de acesso complicados e processos de negócios inchados não fazem nada além de prejudicar a produtividade de sua equipe, sua motivação e o impulso de todos.

As soluções de IAM sempre garantiram acesso, conformidade e segurança adequados, mas agora estão começando a colher maiores benefícios de novos dados, interoperabilidade diversificada de aplicativos e inteligência de negócios. Como um contribuinte ativo para o crescimento organizacional, as soluções IAM fornecem funcionalidades abrangentes que capacitam os usuários em todos os níveis.

Ligando tudo junto

Apesar de todos os avanços tecnológicos inovadores e disruptivos do setor, o uso de dados continua sendo a constante mais significativa em todos os seus recursos de TI.

Ao implementar identidades verificáveis, processos automatizados, governança de acesso e recursos de autoatendimento, uma solução de IAM utiliza os dados de sua organização para construir sua estrutura. Essa estrutura controla e monitora todos os desafios mencionados acima em relação aos processos de negócios, acesso e segurança.

As soluções de IAM eliminam o dilema da sua organização de escolher entre acesso e segurança por meio de políticas de governança que permitem a produtividade do usuário e simplificam as operações. Uma implementação bem-sucedida promoverá a eficiência organizacional e manterá registros de auditoria detalhados para revisar o acesso e a atividade de um usuário.

Sem uma mudança significativa de insumos (por exemplo, funcionários, fluxo de caixa, oferta/demanda), a única maneira possível de aumentar os resultados é através da eficiência organizacional. As soluções IAM fornecem as ferramentas de gerenciamento para buscar esse aumento de produção – seja para alcançar uma organização mais flexível, implementações tecnológicas mais ambiciosas, reforçar a segurança, empreendimentos empresariais elevados ou quaisquer objetivos e visão que você tenha.

Para recapitular, as soluções IAM:

  • Garanta que os usuários possam acessar os recursos de que precisam.
  • Restringir o acesso desnecessário ou irregular para aplicação de segurança
  • Fornecer gerenciamento e TI com as ferramentas e insights para executar tarefas administrativas complexas e otimização de processos
  • Automatize processos e tarefas domésticas, dando à sua organização a flexibilidade de priorizar as pessoas com um trabalho mais impactante
  • Reforce a segurança em todo o ciclo de vida da conta do usuário – desde o provisionamento e entrega segura de contas e credenciais até a desativação rápida após as saídas
  • Auxiliar na preparação da auditoria por meio de relatórios sofisticados e logs de atividades

Alguns provedores de soluções IAM:

  • Tools4ever
  • Okta
  • IBM
  • Microsoft Azure
  • Centrificar
  • Identidade PING
  • Automação de identidade
  • SailPoint

O resultado final, as soluções IAM beneficiam todos em sua organização.

Essa mentalidade holística e orientada para a organização é fundamental para a implementação bem-sucedida de uma solução de IAM. Desde o início, considere as soluções de IAM como facilitadoras para o que elas realizam, em vez de apenas uma série de implementações técnicas “definir e esquecer” lançadas no departamento de TI para ativar. Embora os processos sejam automatizados, as soluções de IAM exigem gerenciamento e configuração ativos para alcançar os resultados desejados – elas executam o que você manda. Para melhor integração com as necessidades e operações de sua organização, a configuração de sua solução deve refleti-los para ser eficaz.

Uma solução de IAM é, portanto, uma das decisões mais inteligentes e financeiramente responsáveis ​​que qualquer empresa moderna pode tomar. Um plano de tecnologia abrangente atua como uma alavanca organizacional, permitindo mais realizações com menos. Se essa premissa for verdadeira, então o Gerenciamento de Identidade e Acesso é o fulcro com o qual essa multiplicação alcança o maior benefício.