O que é gerenciamento de identidade e acesso (IAM)?

Com um sistema de IAM, as empresas podem aplicar as mesmas políticas de segurança em toda a empresa. O uso de ferramentas, como uma solução de NAC, permite que elas restrinjam quais usuários podem acessar recursos e quando. Isso ajuda a reduzir muito a chance de que terceiros não autorizados vejam ou usem de forma indevida, acidental ou intencional os dados confidenciais.

Os métodos de IAM, como o logon único (SSO) e a MFA, também reduzem o risco de que as credenciais do usuário sejam comprometidas ou abusadas, pois os usuários não precisam criar e controlar várias senhas. Como os usuários precisam de autorização baseada em evidências (por exemplo, perguntas de segurança, senhas únicas ou fatores inerentes como impressões digitais) para acessar recursos protegidos, há menos chance de um agente mal-intencionado obter acesso a recursos importantes.

Os sistemas de IAM podem ajudar as empresas a cumprir os requisitos de muitos mandatos de conformidade relacionados à segurança e privacidade de dados. Por exemplo, o IAM pode ajudar na conformidade com a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA), que exige que as empresas que lidam com informações protegidas do setor de saúde implementem um acesso eletrônico seguro para os dados de saúde.

As empresas podem usar métodos de IAM, como SSO, MFA, controle de acesso baseado em função (RBAC) e "privilégios mínimos" (dando aos usuários e entidades, como aplicações de software, a quantidade mínima de acesso necessária para executar uma tarefa) para cumprir o mandato da HIPAA.

O IAM também é útil para instituições de serviços financeiros, que precisam cumprir a Lei Sarbanes-Oxley (SOX). A seção 404 determina que as empresas implementem, testem e documentem controles internos adequados para preparar relatórios financeiros e proteger a integridade dos dados financeiros nesses relatórios. A aplicação das políticas de segregação de tarefas (SoD) é uma das muitas maneiras pelas quais as ferramentas e os sistemas de IAM podem ajudar as empresas a cumprir os requisitos da SOX.

Com medidas de segurança, como SSO, MFA ou RBAC, as empresas podem aumentar a segurança e, ao mesmo tempo, reduzir as barreiras que impedem os funcionários de serem produtivos. Os funcionários têm acesso rápido aos recursos necessários para realizar o trabalho, onde quer que precisem trabalhar. Com o IAM, os funcionários podem se sentir mais confiantes de que estão trabalhando em um ambiente seguro.

Um sistema de IAM que permite o provisionamento automático de usuários também torna mais fácil para os funcionários solicitar e obter acesso autorizado a diferentes recursos quando necessário, sem sobrecarregar a TI ou torná-la um gargalo para a produtividade dos funcionários.

As soluções de IAM podem automatizar e padronizar muitas tarefas relacionadas ao gerenciamento de identidade, autenticação e autorização. Isso significa que os administradores de TI podem dedicar seu tempo a tarefas que agregam mais valor para os negócios. Além disso, muitos serviços de IAM agora são baseados em nuvem, portanto, a necessidade de comprar, implementar e manter a infraestrutura local para IAM pode ser bastante reduzida ou eliminada.

Com a MFA, os usuários são solicitados a fornecer uma combinação de fatores de autenticação para verificar as identidades. Além de nomes de usuário e senhas, as empresas geralmente usam o método de senha única baseada em tempo (TOTP), que exige que os usuários forneçam uma senha temporária enviada por SMS, chamada telefônica ou e-mail. Outros sistemas de MFA exigem que os usuários forneçam a autenticação biométrica da identidade, também conhecida como fatores inerentes, como impressão digital ou leitura de identificação facial.

O SSO é um sistema de identificação comumente usado nas empresas para verificar a identidade dos usuários. Ele permite que um usuário autorizado faça logon com segurança em várias aplicações de SaaS e sites usando apenas um conjunto de credenciais (nome de usuário e senha). O SSO pode ser visto como uma versão automatizada do MFA. Os sistemas de SSO autenticam usuários com a MFA e, em seguida, usando tokens de software, compartilham essa autenticação com várias aplicações. O SSO também pode ser usado para impedir o acesso a recursos ou locais designados, como plataformas e sites externos.

A vantagem de usar a abordagem de SSO para IAM, além de um processo de logon mais simples para usuários finais, é que ela capacita os administradores de TI para definir permissões, regular o acesso do usuário e provisionar e desprovisionar usuários com facilidade.

A federação permite o SSO sem senhas. Usando um protocolo de identidade padrão, como Linguagem de Aumento da Segurança da Declaração (SAML) ou WS-Federation, um servidor de federação apresenta um token (dados de identidade) para um sistema ou uma aplicação com a qual tem uma relação de confiança estabelecida. Por causa dessa confiança, os usuários podem se mover livremente entre os domínios conectados, sem precisar se autenticar novamente.

Muitas empresas de grande porte usam o RBAC, que é um método para restringir o acesso a redes, dados confidenciais e aplicações importantes com base na função e nas responsabilidades de uma pessoa dentro de uma empresa. O RBAC também é conhecido como administração de acesso. As funções definidas no RBAC podem incluir usuários finais, administradores ou empreiteiros terceirizados. Uma função pode ser baseada na autoridade, localização, responsabilidade ou competência para o cargo de um usuário. Às vezes, as funções são agrupadas, por exemplo, Marketing ou Vendas, para que os usuários com responsabilidades semelhantes em uma empresa que colaboram com frequência possam acessar os mesmos recursos.

Ao aplicar uma estrutura de segurança zero-trust como parte do RBAC, onde controles de acesso muito rigorosos são mantidos com todos os usuários que solicitam acesso aos recursos de trabalho, as empresas podem evitar ainda mais o acesso não autorizado, e até mesmo conter violações e reduzir o risco de movimentação lateral de um invasor através da rede.