Pular para o conteúdo

IAM e IGA: Trata-se de dois conjuntos de recursos de segurança de identidade que desempenham funções diferentes, mas complementares.

  • O IAM tem como foco possibilitar e gerenciar o acesso seguro dos usuários a recursos digitais (aplicativos, sistemas e dados) por meio de autenticação, login único (SSO) e outros recursos relacionados à autenticação e ao acesso.
  • A IGA vai além dos princípios básicos de concessão e gestão de acesso para 1) enfocar a forma como uma organização concede acesso a recursos digitais e 2) garantir que o acesso concedido seja adequado e esteja em conformidade — e tomar medidas caso contrário.

Basicamente, o IAM aborda questões fundamentais como quem faz o login, como faz o login e a que tem direito de acessar após o login, enquanto o IGA se concentra em determinar se o acesso concedido é adequado à função e às atividades atribuídas à pessoa em questão.

O que é IAM?

IAM refere-se às políticas e aos processos associados à autenticação da identidade de um usuário (humano ou máquina) que busca acesso seguro a um ou mais recursos em uma organização. O objetivo da autenticação da identidade do usuário é: 1) confirmar que o usuário está de fato autorizado a ter o acesso solicitado com base em sua função e responsabilidades; e 2) conceder (ou não conceder) o acesso de acordo com isso.

Principais recursos de IAM

O IAM tem como objetivo autenticar usuários e conceder-lhes acesso a recursos de forma a priorizar tanto a segurança da organização quanto a produtividade do usuário. Ele vem evoluindo ao longo de décadas para atender simultaneamente a essas duas áreas de maneiras cada vez mais sofisticadas.

  • Autenticação: Em sua forma mais básica, a autenticação significa que um usuário fornece um conjunto tradicional de credenciais — nome de usuário e senha — para comprovar sua identidade. No entanto, à medida que o ambiente de identidade e o panorama de ameaças crescem em tamanho e complexidade, o problema de as credenciais serem difíceis de lembrar para os usuários e fáceis de roubar por agentes mal-intencionados torna-se mais urgente.
  • Autenticação multifatorial (MFA): Adicionar outro fator de identificação, como um dado biométrico, eleva o nível de exigência para a autenticação, melhorando assim a segurança. Isso é especialmente útil quando o fator adicional não é oneroso. Por exemplo, um reconhecimento facial ou uma impressão digital exigem pouco esforço por parte do usuário, mas tornam muito mais difícil roubar uma credencial.
  • Autenticação única (SSO): À medida que cresce o número de recursos seguros aos quais os usuários precisam acessar, o SSO permite que eles acessem vários aplicativos com autenticação forte a partir de um único ponto de login, agilizando e simplificando o processo. O SSO também minimiza a superfície de ataque, reduzindo as oportunidades para que invasores explorem vulnerabilidades de login associadas a múltiplos logins.
  • Autenticação sem senha: A autenticação sem senha substitui as credenciais tradicionais por dados biométricos, chaves de acesso, aplicativos de autenticação e outras formas de comprovar a identidade que não podem ser facilmente roubadas. Além disso, ela facilita a autenticação legítima, já que os usuários não precisam mais se lembrar de várias credenciais para acessar um número cada vez maior de recursos.

Foco crítico do IAM: Confiança zero

O Zero Trust é um conceito de segurança baseado na ideia de estabelecer confiança antes de conceder acesso aos recursos — e nunca presumir que existe confiança. Isso torna o IAM fundamental para organizações comprometidas com a operação de um ambiente Zero Trust, no qual a identidade deve ser comprovada sempre que alguém ou algo solicitar acesso.

Os ambientes Zero Trust são viabilizados pelos recursos e práticas essenciais do IAM.

  • Autenticação: Verificação de identidade por meio da autenticação multifatorial (MFA) e da autenticação sem senha
  • Acesso: Adoção de políticas condicionais e sensíveis ao contexto para a concessão de acesso
  • Centralização: uso do SSO em diferentes aplicativos e ambientes de acesso
O que é o IGA?

Enquanto o IAM se dedica principalmente a autenticar a identidade de um usuário antes que lhe seja concedido acesso, o IGA se concentra na governança como conceder acesso e a quem, garantindo que ele seja sempre adequado ao usuário e à situação. O objetivo geral do IGA é assegurar que os direitos de acesso estejam em conformidade com as políticas da empresa, atendam aos requisitos de conformidade e sejam consistentes com as melhores práticas de segurança.

Principais recursos do IGA

Enquanto o IAM se preocupa com quem tem acesso a quê, o IGA se concentra em verificar se esse acesso é concedido de forma adequada, com base em fatores como a função do usuário dentro da organização e as políticas e práticas de segurança e conformidade da organização.

  • Solicitações e aprovações de acesso: O provisionamento de acesso baseado em fluxo de trabalho em ambientes IGA combina automação e intervenção humana para avaliar com rapidez e precisão as solicitações de acesso e provisionar usuários.
  • Certificação de acesso: Como as funções e responsabilidades dos usuários estão em constante mudança, a governança de identidades exige uma certificação regular de acesso para validar a adequação dos níveis de acesso. Os esforços manuais não conseguem acompanhar essas mudanças, o que torna a automação fundamental.
  • Gerenciamento de funções: Criar funções para os usuários é essencial para garantir, de forma simples, que eles tenham acesso aos recursos seguros de que precisam para realizar suas tarefas. Um gerenciamento robusto dessas funções é igualmente importante para garantir que eles não acabem tendo privilégios excessivos que possam gerar riscos à segurança.
  • Gerenciamento do ciclo de vida da identidade: as mudanças no acesso fazem parte da trajetória ao longo do ciclo de vida da identidade, que inclui a entrada em uma organização, o desempenho de diferentes funções e, por fim, a saída da mesma. O gerenciamento do ciclo de vida da identidade é essencial para manter o acesso adequado à função atual.
  • Auditoria e relatórios: Avaliar quem tem acesso a quais recursos é fundamental para cumprir os requisitos regulatórios e ter visibilidade sobre os riscos de acesso. A auditoria e os relatórios são essenciais para alcançar ambos os objetivos.

Foco crítico da IGA: Confiança zero

A abordagem “zero trust” parte do pressuposto de que a confiança nunca pode existir por padrão, mas deve ser estabelecida sempre que alguém ou algo solicitar acesso. O IGA oferece os controles e a governança de que uma organização precisa para avaliar continuamente se o acesso é apropriado, com base no nível de confiança no usuário.

Os ambientes Zero Trust são possibilitados especificamente por diversos recursos e práticas essenciais do IGA.

  • Provisionamento baseado em fluxo de trabalho: uso da automação para garantir o controle adequado do acesso
  • Certificação de acesso: validar continuamente o acesso e fazer os ajustes necessários
  • Gerenciamento de funções: como identificar e evitar combinações prejudiciais de acesso
  • Gerenciamento do ciclo de vida das identidades: atualização imediata dos acessos quando as funções mudam ou são encerradas
  • Auditoria e relatórios: Apoiando o princípio do Zero Trust de comprovar as decisões de confiança

Foco crítico da IGA: conformidade regulatória

As normas SOX, HIPAA, GDPR, PCI-DSS, ISO 27001IGA e outras exigem um controle rigoroso de acesso, além da capacidade de comprovar que o controle sobre o acesso atende aos padrões estabelecidos por essas normas. Esse tipo de prestação de contas e auditabilidade é exatamente o que o IGA oferece.

A conformidade regulatória é apoiada especificamente por diversos recursos e práticas essenciais da IGA:

  • Certificação de acesso: Análise do acesso e comprovação dos direitos de acesso
  • Auditoria e elaboração de relatórios: Cumprimento de requisitos regulatórios específicos para comprovação de conformidade
  • Gerenciamento do ciclo de vida das identidades: Manter o alinhamento correto dos acessos com as funções atuais
Como o IGA e o IAM diferem

Tanto a IGA quanto a IAM tratam do acesso seguro aos recursos. Porém, enquanto a IAM permite que os usuários acessem de forma segura e conveniente os recursos aos quais têm direito, a IGA avalia se eles deveriam ter esse direito de acesso. Nesse contexto, as principais diferenças são:

IAM: Ativar acesso
IGA: Gerenciar o acesso
Objetivo/finalidade
Facilitar o acesso seguro e prático aos recursos aos quais o usuário tem direito
Garantir que o acesso do usuário a um recurso seja adequado à sua função e às suas responsabilidades
Principal preocupação
Quem é você e a que você tem/precisa ter acesso?
Quem é você e o que deve aos quais você tem acesso?
Principais recursos
  • Autenticação
  • Autenticação multifatorial (MFA)
  • Federação de Identidades
  • Autenticação sem senha
  • Provisionamento baseado em fluxo de trabalho
  • Certificação de acesso
  • Gerenciamento de funções
  • Gerenciamento do ciclo de vida das identidades
  • Auditoria e prestação de contas
Exemplos de indicadores de sucesso
  • Taxa de sucesso/falha na autenticação
  • Taxa de adoção da autenticação multifatorial (MFA) e da autenticação sem senha
  • Tempo médio para ativação de contas
  • Tempo médio para resolver problemas de autenticação
  • Níveis de disponibilidade e tempo de funcionamento do sistema
  • Tempo médio para aprovar solicitações de acesso
  • Porcentagem de análises de acesso concluídas
  • Foram detectadas violações da separação de funções
  • Número de contas que seguem o princípio do privilégio mínimo
  • Número de constatações de problemas identificadas na auditoria

Objetivo/finalidade

IAM: Ativar acesso

Facilitar o acesso seguro e prático aos recursos aos quais o usuário tem direito

IGA: Gerenciar o acesso

Garantir que o acesso do usuário a um recurso seja adequado à sua função e às suas responsabilidades

Principal preocupação

IAM: Ativar acesso

Quem é você e a que você tem/precisa ter acesso?

IGA: Gerenciar o acesso

Quem é você e o que deve aos quais você tem acesso?

Principais recursos

IAM: Ativar acesso

  • Autenticação
  • Autenticação multifatorial (MFA)
  • Federação de Identidades
  • Autenticação sem senha

IGA: Gerenciar o acesso

  • Provisionamento baseado em fluxo de trabalho
  • Certificação de acesso
  • Gerenciamento de funções
  • Gerenciamento do ciclo de vida das identidades
  • Auditoria e prestação de contas

Exemplos de indicadores de sucesso

IAM: Ativar acesso

  • Taxa de sucesso/falha na autenticação
  • Taxa de adoção da autenticação multifatorial (MFA) e da autenticação sem senha
  • Tempo médio para ativação de contas
  • Tempo médio para resolver problemas de autenticação
  • Níveis de disponibilidade e tempo de funcionamento do sistema

IGA: Gerenciar o acesso

  • Tempo médio para aprovar solicitações de acesso
  • Porcentagem de análises de acesso concluídas
  • Foram detectadas violações da separação de funções
  • Número de contas que seguem o princípio do privilégio mínimo
  • Número de constatações de problemas identificadas na auditoria
IAM e IGA em conjunto: cobertura completa de identidade

Para abordar todo o espectro da segurança de identidade, as organizações precisam, idealmente, de uma combinação de IAM (para permitir que os usuários acessem recursos de forma segura e conveniente) e IGA (para garantir e comprovar que o acesso dos usuários aos recursos seja adequado e não represente risco à segurança). No entanto, diferentes organizações terão diferentes requisitos e níveis de recursos que determinarão como proceder, conforme descrito nos cenários a seguir.

Cenário: Implementar o IAM e o IGA juntos? Sim, sempre que possível.

A implantação conjunta de IAM e IGA é quase sempre a opção ideal, quer a organização esteja planejando uma nova implantação de ambas as soluções, quer esteja substituindo uma implantação existente de IAM e adicionando IGA também. Ao implantar recursos de IGA e IAM do mesmo fornecedor, ao mesmo tempo, a organização garante uma cobertura completa de segurança de identidade em duas áreas complementares e críticas, sem o risco de brechas de segurança desnecessárias, problemas de integração ou outras dificuldades que podem surgir com uma implantação escalonada.

H3 Cenário: Adicionar o IGA à implantação existente do IAM? Talvez.

Para organizações que já possuem uma implantação de IAM que oferece tudo o que é necessário para conceder e gerenciar acessos, pode valer a pena manter essa implantação em funcionamento para preservar o investimento inicial em identidade e, ao mesmo tempo, adicionar o IGA. Isso funciona bem se a solução de IGA for do mesmo fornecedor. Caso contrário, a administração geral da segurança de identidade provavelmente será muito mais complexa; a integração das duas soluções pode ser desafiadora; e pode haver problemas contínuos de solução de falhas associados à operação de sistemas distintos.

Cenário: Continuar usando apenas o IAM? Não é recomendado.

É possível ter o IAM sem o IGA, como algumas organizações consideram fazer devido a restrições orçamentárias ou operacionais. Mas isso não é necessariamente aconselhável. É verdade que, com o IAM em vigor para autenticar usuários, há menos risco de que alguém sem autorização para acessar consiga, de alguma forma, obter esse acesso. Mas isso não leva em conta a questão de saber se o acesso que os usuários têm é o direito acesso. É por isso que as organizações que utilizam apenas o IAM correm o risco de gerar problemas de segurança decorrentes do acúmulo excessivo de privilégios de acesso por parte dos usuários. As organizações sem IGA também carecem de trilhas de auditoria e outras evidências para comprovar a conformidade diante do escrutínio regulatório.

Cenário: Usar apenas o IGA? Não é exatamente uma opção.

Não faz sentido ter IGA sem IAM, já que a aplicação das políticas de segurança pelo IGA depende dos mecanismos subjacentes de autenticação e autorização fornecidos pelo IAM. Em outras palavras, sem o IAM, não há nada sobre o qual o IGA possa se basear. A única escolha a ser feita é entre apenas o IAM ou o IAM e o IGA juntos.

Perguntas frequentes sobre IGA x IAM
O que a segurança de identidade faz?

A segurança de identidade é a prática de proteger identidades digitais por meio da verificação de identidades e da aplicação de controles de acesso, com o objetivo de impedir o acesso não autorizado.

O IAM faz parte da segurança de identidade?

Sim. O IAM combina o gerenciamento de identidades e o gerenciamento de acesso para proteger identidades digitais e impedir o acesso não autorizado a recursos em ambientes digitais.

O que é gerenciamento de identidade e acesso?

O gerenciamento de identidade e acesso, ou IAM, permite o armazenamento seguro de recursos confidenciais e o acesso seguro a eles por meio de métodos como SSO, MFA e sem senha.

Qual é o objetivo do gerenciamento de identidades?

O objetivo do gerenciamento de identidades é reduzir o risco de violações de segurança, garantindo que as pessoas certas — e somente elas — possam acessar recursos protegidos.

Quais são os benefícios do gerenciamento de identidades?

O gerenciamento de identidades permite o acesso seguro aos recursos, contribui para a conformidade regulatória e otimiza a experiência do usuário, tornando o acesso prático e seguro.

Qual é a diferença entre IGA e IAM?

O IAM concentra-se em quem tem acesso, ou seja, na autenticação de usuários e no gerenciamento do acesso dos usuários aos recursos, enquanto o IGA concentra-se em determinar se o acesso de um usuário é adequado à sua função e às suas responsabilidades.

Solicite uma Demonstração

Solicite uma Demonstração