Você já ouviu falar sobre a importância de usar a autenticação multifator, ou MFA? Entre os requisitos internacionais, as campanhas anuais e as exortações do pessoal de segurança cibernética para usar a MFA, acho que não há nenhuma chance de alguém que trabalhe com tecnologia e não compreender como a AMF é fundamental.
Nós concordamos. No entanto, embora o nosso setor tenha sido excelente em articular a importância da MFA e implementá-la, temos sido apenas medíocres em outros componentes de segurança cibernética que são igualmente importantes. Todos estão tão concentrados em instalar a fechadura na porta da frente que se esqueceram de quem tem as chaves, como as obtiveram e o que elas abrem.
Você precisa de MFA para se manter seguro. Mas você também precisa de governança e administração de identidade (IGA).
É por isso que acho que a Gartner® O relatório IAM Leaders' Guide to Identity Governance and Administration (IGA) é um ativo muito importante. O relatório detalha as principais funções que a IGA deve oferecer, os desafios que as organizações podem encontrar ao implementá-la, como avaliar seu programa de IGA e muito mais.
É importante ressaltar que o relatório é apenas isso: um conselho independente de fornecedor que discute a importância e a função da IGA, em vez de documentar quaisquer soluções específicas.
De acordo com a Gartner® Relatório, IAM Leaders' Guide to Identity Governance and Administration, "A disciplina de IGA existe para garantir que as pessoas certas tenham o acesso certo aos recursos certos, no momento certo e pelos motivos certos".
O Gartner afirma que "a IGA leva a uma maior maturidade do processo de identidade, facilita a conformidade e reduz o risco de acesso não autorizado, além de fornecer controles mais visíveis e eficientes para os processos de administração do ciclo de vida da identidade". Além disso, "a IGA também oferece várias funções auxiliares, geralmente incluindo gerenciamento de senhas, recursos de autoatendimento para gerenciamento de perfis e gerenciamento de casos para auditoria e correção de violações de políticas, como SOD".
Em suma, a IGA pode ajudar as organizações a aumentar a segurança, reduzir os riscos e ser mais produtivas, mas somente se elas fizerem a IGA corretamente.
É mais fácil falar do que fazer a IGA corretamente. Um dos motivos pelos quais a IGA é tão desafiadora é que ela precisa ter visibilidade de todos usuários, incluindo usuários humanos, contas de máquinas, contas de serviços e dispositivos.
É muita coisa para cobrir. E acho que é porque o escopo dos dados pode se tornar tão grande que o relatório enfatiza a importância da análise - de fato, o relatório coloca a análise de identidade "no centro de todas as iniciativas de IGA". O relatório também observa que a análise de identidade "tem ganhado mais força na IGA nos últimos cinco anos para fornecer relatórios de apoio à tomada de decisões humanas, tradicionalmente usados para mineração de funções, por exemplo, ou para calcular uma pontuação de risco que pode ser usada para explicar o que aconteceu e por quê".
Sempre achei que a segurança tem tudo a ver com o contexto, e a integração da análise às soluções IGA pode fornecer esse contexto às equipes de segurança: a análise pode comparar os direitos de uma conta individual com usuários semelhantes em sua organização. Além disso, com mais informações, as soluções IGA podem fornecer alertas e recomendações em tempo real que ajudam a promover melhor segurança e conformidade contínua, apesar do crescimento do patrimônio de TI. É por isso que a RSA incorporou mais análises e visualizações em nosso A mais recente solução IGA.
Quer mais evidências de que os IGA são importantes? Dê uma olhada no relatório da CISA Modelo de maturidade Zero Trust, que observa que as agências "devem garantir e aplicar o acesso de usuários e entidades aos recursos certos, no momento certo e para a finalidade certa, sem conceder acesso excessivo".
O modelo também diz que uma agência alcançou recursos ideais de governança de identidade quando "implementa e automatiza totalmente as políticas de identidade em toda a empresa para todos os usuários e entidades em todos os sistemas".
###
Gartner, IAM Leaders' Guide to Identity Governance and Administration, Brian Guthrie, David Collinson, Rebecca Archambault, Atualizado em 16 de agosto de 2023 | Publicado originalmente em 5 de abril de 2021
GARTNER é uma marca registrada e uma marca de serviço da Gartner, Inc. e/ou de suas afiliadas nos EUA e internacionalmente e é usada neste documento com permissão. Todos os direitos reservados.
