Com o crescimento do modo de trabalho híbrido e da modalidade home office, novos desafios em acesso aos recursos da empresa, como aplicativos, arquivos e dados de forma segura vem sendo enfrentados pelas organizações.
É necessário controle total de acesso in loco ou remotamente, de forma a proteger dados e que as funções confidenciais permaneçam restritas a apenas funcionários que precisam desse acesso.
É em meio a essa necessidade que as tecnologias de IAM são implementadas. Mas o que isso significa? Explicamos melhor a seguir.
O que é IAM (Identity and Access Management)?
IAM é a sigla em inglês para Identity and Access Management, ou gerenciamento de identidade e acesso em tradução livre.
Essencialmente, IAM é como chamamos o conjunto de tecnologias, processos e políticas implementadas a fim de garantir acesso apenas ao contingente estritamente necessário de funcionários aos recursos tecnológicos e dados essenciais para a execução do trabalho.
O IAM funciona como uma espécie de “porteiro” digital, gerenciando quem pode entrar e quais ambientes é possível acessar uma vez dentro do sistema.
Como funciona o sistema de gestão de identidade e acesso?
Componentes principais
Um sistema IAM é composto por:
- Diário de identidades – Arquivo central que armazena identidades dos usuários;
- Módulo de autenticação – Verificador da identidade dos usuários;
- Módulo de autorização – Executor das políticas de acesso para recursos específicos;
- Gerenciamento de provisionamento – Responsável pela criação, modificação e exclusão de perfis e contas de usuários;
- Controle de acesso – Gerencia permissões a partir de mecanismos como RBAC, ABAC, etc.;
- Auditoria e relatórios – Coleta e armazenamento de logs de acesso e registro de atividades;
- Single Sign-On (SSO) – Autenticação única que permite acesso a múltiplos aplicativos sem necessidade de login novamente.
Fluxo de funcionamento de um IAM na prática
O fluxo de funcionamento de um IAM na prática começa com o cadastro do funcionário no sistema IAM no RH, criando uma identidade digital no diretório de identidades. No primeiro acesso ao e-mail, o funcionário é redirecionado para a página de login, onde insere suas credenciais criadas no cadastro. O módulo de autenticação faz a verificação e, em seguida, a autenticação do acesso.
Uma vez autenticado, o sistema IAM faz a verificação das políticas de acesso baseadas no cargo ocupado, ou seja, estabelece a quais ambientes digitais aquele funcionário pode ter acesso. Assim, é possível acessar os sistemas e recursos autorizados sem necessidade de re-logar no sistema.
As tentativas de login, acesso e ações do funcionário são todas registradas pelo módulo de auditoria para verificação de comportamentos suspeitos e que gerem relatórios diretamente para a conformidade.
Quais são os modelos e tipos de IAM?
IAM tradicional
O IAM tradicional permite controle total sobre hardware, software e dados do sistema IAM, possui infraestrutura própria, permite alto grau de personalização e total responsabilidade pela segurança e conformidade do sistema.
Identity as a Service (IDaaS)
Modelo IAM baseado em nuvem, eliminando a necessidade de infraestrutura local significativa. Possui alta escalabilidade, menor custo inicial, é gerenciada pelo provedor e promove acesso de qualquer lugar, sendo uma excelente opção para empresas com modo de trabalho híbrido ou remoto.
IAM baseado em função (RBAC)
Controle de acesso com permissões atribuídas a funções específicas. Facilita gestão de permissões em larga escala, simplifica a atribuição e revogação de acesso, alinha o acesso aos recursos com a estrutura organizacional e gerência a escalabilidade de forma simplificada.
IAM adaptativo e baseado em risco
Mais dinâmico, o IAM adaptativo avalia o risco de cada tentativa de acesso em tempo real baseado em fatores contextuais. Responde a comportamentos incomuns ou de alto risco de forma imediata, permite experiência fluída para acessos de baixo risco, toma decisões inteligentes na análise do contexto e utiliza inteligência artificial para avaliar riscos.
Tecnologias e práticas integradas ao IAM
Single Sign-On (SSO)
O SSO permite aos usuários autenticação única com acesso a múltiplos aplicativos e serviços sem necessidade de login individual em cada um.
Autenticação Multifator (MFA)
O MFA, sigla para a autenticação multifator, demanda duas ou mais evidências para verificação segura da identidade antes de permitir o acesso, baseado em algo que você é (biometria, reconhecimento facial), algo que você tem (token de segurança, código enviado para o celular) e/ou algo que você sabe (PIN, senha).
Zero Trust Security
Não é uma tecnologia específica, mas uma filosofia de segurança baseada no princípio de nunca confiar e sempre fazer a verificação, assumindo que qualquer usuário ou dispositivo pode ser uma ameaça potencial.
Gerenciamento de acesso privilegiado (PAM)
PAM é como chamamos o conjunto de tecnologias e estratégias utilizadas para proteção e monitoramento de contas com privilégios elevados. Estas contas possuem capacidade de realizar tarefas críticas e acessar informações confidenciais, por isso a necessidade de checagem mais segura – são alvos atraentes para ataques.
Quais são os riscos de não utilizar IAM ou de uma má implementação?
Acessos indevidos e vazamento de dados
Sem sistema IAM, é muito mais difícil controlar acesso aos recursos, facilitando acessos não autorizados, mantendo contas de ex-funcionários que podem permanecer ativas e ser portas de entrada para invasões, além de maior dificuldade em rastrear atividades sem os logs centralizados com controle de acesso.
Um sistema IAM mal implementado, com configuração inadequada pode levar a permissões excessivas, aumentando o risco de violação do princípio do menor privilégio. Além disso, pode causar falhas na autenticação, gerenciamento inadequado de contas privilegiadas e desprovisionamento ineficiente.
Compliance e penalidades
Os órgãos regulatórios e a LGPD, lei máxima sobre proteção de dados no país, exigem a implementação de controles de acesso robustos para garantir a conformidade. A ausência de um IAM pode dificultar muito a compliance com as adequações previstas, podendo gerar penalidades financeiras e ações legais bastante incisivas, conforme o grau de não conformidade.
Impacto na experiência do usuário e produtividade
Sem um sistema IAM, os processos tornam-se manuais e descentralizados, ou seja, mais passíveis de erros e desacordos, com maiores vulnerabilidades que podem ser exploradas por criminosos cibernéticos. Múltiplos logins, dificuldade de acesso a recursos e suporte de TI sobrecarregado são apenas algumas das possibilidades de risco de sua não utilização.
Como escolher uma solução de IAM para sua empresa?
Avaliação de requisitos
Para escolher uma solução de IAM adequada para sua empresa, avalie requisitos importantes como:
- nível de sensibilidade dos dados utilizados;
- quantidade de usuários que precisam ser gerenciados;
- necessidade de integração de sistemas e aplicações;
- lista de funcionalidades essenciais e outros fatores relevantes.
Comparativo entre soluções (open source, comerciais, em nuvem)
Com os requisitos necessários estabelecidos, avalie diferentes tipos de soluções:
- Open Source: Alta flexibilidade e personalização, grande comunidade de suporte, custo inicial menor. Pode exigir conhecimento técnico para implementação e manutenção e a responsabilidade pela segurança é inteiramente da equipe que a utiliza.
- On-Premise ou híbridas: Suporte profissional, funcionalidades abrangentes, interfaces simplificadas. Custos de licenciamento mais elevados e depende de serviços providos pelo fornecedor.
- IDaaS: Menor necessidade de infraestrutura local, escalabilidade, facilidade na implementação e utilização. Menor controle sobre a infraestrutura subjacente e necessidade de averiguação de provedor e localização de servidores.
Dicas para uma implementação eficaz
Para uma implementação eficaz, procure definir claramente os objetivos da implementação, o escopo, os cronogramas e responsáveis, inicie a implementação por fases – sempre testando e refinando a configuração antes de expandir para toda a empresa -, defina políticas claras e bem documentadas, promova integração cuidadosa e invista continuamente em treinamento de usuários.
A Clavis oferece serviços especializados em consultoria, implantação e gestão de soluções IAM, alinhadas às melhores práticas de segurança e às necessidades específicas de cada organização. Conheça os serviços e viva a melhor experiência em segurança da informação para sua empresa!
Darlin Fernandes, autor desse artigo, é especialista em CSIRT, em Blue Team e possui o cargo de Diretor de Serviços na Clavis. Tem o objetivo de estar sempre um passo à frente das ameaças, unindo estratégia, tecnologia e prevenção para garantir operações seguras.
