Gestão de identidades e acessos sem senhas

O que faz o IAM?

O IAM tem como principal objetivo facilitar a gestão de identidade dos usuários dentro de uma empresa, garantindo que somente pessoas autorizadas tenham acesso aos recursos adequados para a sua função. Isso envolve ações como:

• Fazer a captura e autenticação de login do usuário, bem como gravar as suas informações;
• Implementar ferramentas de permissão como a assinatura criptografada;
• Configurar serviços de armazenamento;
• Adicionar ou excluir usuários e alterar a sua permissão no acesso aos dados;
• Registrar históricos de acesso aos sistemas da empresa;
• Elaborar relatórios de usos das aplicações;
• Elaborar políticas de acesso aos sistemas da empresa.

Todas essas ações são executadas com base em sólidas políticas internas de gerenciamento de identidade, que determinam coisas como a forma de identificação dos usuários e quais as suas funções dentro de uma organização; quais usuários devem ganhar ou perder acesso a certos sistemas e quais devem ser as áreas sob os cuidados do IAM.

Um sistema de gerenciamento de identidade costuma envolver diversos fluxos, ferramentas e dados. Alguns deles são a integração dos sistemas de login existentes na empresa, ferramentas de gerenciamento de senhas e diretórios com os dados dos colaboradores.

Abaixo, colocamos alguns exemplos de sistemas e ferramentas utilizadas para IAM:

Provedor de identidade (IdP): É um produto ou serviço que auxilia o gerenciamento de identidade, sendo responsável pelo processo de login. Um exemplo é o Single Sign On (SSO), que permite ao usuário acessar múltiplas plataformas com um login único, sem precisar logar com dados diferentes em cada uma das contas.

Identity Analytics: Permitem aos times de segurança a identificação de comportamentos de risco, sendo uma forma de prevenção de fraudes importante para as organizações.

Autenticação de múltiplos fatores (MFA): É um sistema que combina uma série de dados sobre o usuário para autenticá-lo e garantir acesso a determinado recurso, envolvendo informações sobre o que ele é, o que sabe e coisas que tem.

Identity as a Service (IDaaS): Serviço baseado na nuvem, o IDaaS é responsável pela validação de identidade, processo muitas vezes terceirizado pelas organizações para obter mais segurança e atender a compliances específicos de mercados como o financeiro. Ele pode ser uma pequena parte da gestão de identidades e acessos, mas também pode ser responsável por todo o processo.

Gerenciamento de acesso: Esse é o sistema que vai determinar, com base em funções pré-definidas, quais são as pessoas dentro de uma empresa que podem ter acesso a certas plataformas e informações.

Autenticação baseada em risco (RBA): As soluções de RBA consideram o contexto do usuário para estabelecer um score de risco, atribuindo a cada score mais ou menos etapas de autenticação e validação de identidade.

Governança e gerenciamento de identidade (IMG): É uma ferramenta relevante para que as organizações mantenham o compliance com regulamentações de privacidade de dados como a LGPD, providenciando formas de automatizar a governança de identidade. 

A maioria das empresas no Brasil já adotaram medidas IAM

Embora tudo isto possa ser evidente, a realidade é que até à chegada da pandemia da COVID-19, as empresas apenas levaram a cabo processos incipientes de gestão da segurança, mas a necessidade de colocar tudo na nuvem, conceder acesso remoto, e tornar o acesso à informação tão fácil quanto possível para clientes e fornecedores, gerou uma nova mentalidade que impulsionou o uso da IAM nas empresas como nunca antes.

Isto é comprovado por pela pesquisa mais recente da empresa Netbr realizada no mês de maio de 2022, que revelou muitos detalhes sobre a situação do gerenciamento da identidade no Brasil em organizações de grande porte. A pesquisa abrange 80 companhias entre as 500 maiores do País, todas com mais de mil funcionários. Entre elas, bancos, operadoras móveis, farmacêuticas, indústria aeronáutica, redes de varejo, seguradoras, hospitais, xTechs e empresas públicas.

Pelos resultados apurados, menos da metade dos executivos consultadas (45%) consideram como “consistente” o nível de maturidade das políticas de IAM de suas empresas.

Enquanto isto, 41% apontam “carência de maturidade” dessas políticas e outros 12% as posicionam como “ainda sem formalização”.

O levantamento mostrou que, mesmo entre essas grandes organizações, só 5% possuem uma área específica para as políticas de identidade, sendo que 72% das empresas atribuem essa disciplina a área de Segurança e 20% á de TI, de forma mais genérica.

Seja como for, há um avanço visível na adoção de plataformas de governança da identidade (IGA). No estudo atual, 42% das empresas já implantaram e outras 35% estão em fase de projeto com estas plataformas.

Zero Trust até 2023

Um número expressivo dos executivos (72%) acha que há mais de 70% de chances de suas empresas implantarem a arquitetura “zero trust” até o final de 2023. Outros 19% afirmam ter 100% de certeza.

Um possível obstáculo para esta implantação é apontado por outro dado do levantamento: 10% dos respondentes assumem que suas empresas não dispõem de visibilidade e documentação do inventário de credenciais e suas respectivas chaves.

Este é um dado preocupante, na visão da Netbr, levando-se em conta a situação de serem empresas do topo da economia, e a muitas delas com milhares de funcionários. Uma parcela de 33% dos executivos afirma possuir plenamente estes requisitos nas empresas, enquanto a maioria (56%) tem visibilidade e documentação parciais.

Mas a adoção de zero trust precisará enfrentar outros desafios. Entre as empresas consultadas, apenas 15% assinalam a pontuação “10” quanto à capacidade de administração de identidades impessoais (robôs, aplicações, dispositivos da rede e coisas da IoT). Por outro lado, 25% pontuam entre 7 e 9 (na escala que vai até 10). Na sequência, 25% das respostas pontuam entre 5 e 7 e 30% do total assinalam abaixo de 5 esta taxa de confiança.

Onboarding digital

O levantamento da Netbr revela ainda que 76% das empresas do universo estuado já adotam, ou estão implantando, alguma solução de onboarding digital, sendo que apenas 12% não têm planos para a área.

No mesmo diapasão, está em franco crescimento a adoção do acesso passwordless ou “sem senha”, hoje presente só em 19% das empresas, mas já em processo de implantação em 44% delas.

Virtudes evidentes

Contar com ferramentas e sistemas de gestão de identidades e acessos permite processos mais transparentes, reforçando a segurança de fluxos de informação em uma empresa e evitando riscos já bem conhecidos dos brasileiros, como as fraudes de identidade, phishings e vazamentos de dados, além dos acessos inapropriados a dados que deveriam ser confidenciais.

O IAM também facilita tarefas como a configuração de contas, reduzindo o trabalho operacional de times de segurança e possibilitando que se dediquem a ações mais estratégicas. A automatização torna as operações ainda mais dinâmicas e escaláveis, fazendo com que tarefas como mudanças no provisionamento de usuários, que envolvem revogações e mudanças em níveis de acesso, se tornem ainda mais fáceis.

Do outro lado, a ausência do IAM pode trazer riscos de segurança e, ainda por cima, multas e outras consequências legais pelo não cumprimento de regras de compliance.