Na segurança cibernética, a identidade é fundamental. E, com a identidade, você deve ser capaz de responder às perguntas mais importantes: quem está acessando seus sistemas, o que eles podem acessar e se esse acesso é apropriado.
As equipes de segurança têm trabalhado para obter respostas confiáveis há décadas. Isso era mais fácil quando todos trabalhavam no mesmo local ou, pelo menos, atrás do mesmo firewall. Hoje, porém, os usuários podem estar trabalhando em praticamente qualquer lugar e podem precisar de acesso a aplicativos e recursos na nuvem, em várias nuvens ou em um data center.
Tentar proteger, governar e gerenciar usuários nesses ambientes pode ser complicado. Nas seções a seguir, abordaremos as perguntas sobre identidade e acesso que as equipes de segurança devem fazer e explicaremos como a governança de identidade ajuda a transformar essas respostas em controles mais fortes, riscos reduzidos e evidências de conformidade mais claras.
Governança de identidade é importante porque ajuda a controlar e provar quem tem acesso a quê, por que tem e como esse acesso muda com o tempo. Em ambientes híbridos, essa é a diferença entre assumir o privilégio mínimo e aplicá-lo de fato.
Sem governança, a dispersão de acesso cresce silenciosamente à medida que os usuários mudam de função, surgem novos aplicativos e as exceções se tornam permanentes. Isso aumenta o impacto das violações, retarda as investigações e dificulta as auditorias.
Antes de reduzir o risco de identidade, você precisa de respostas confiáveis sobre a confiança no login e a visibilidade do acesso. Comece separando a verificação da identidade da compreensão do acesso existente em sistemas e ambientes.
Os usuários são quem eles dizem ser?
O gerenciamento de identidade e acesso (IAM) verifica a identidade de um usuário no momento do login e decide se ele deve ter permissão para entrar em um sistema. Na prática, isso significa autenticar o usuário e, em seguida, autorizar o acesso aos recursos certos, geralmente usando a autenticação multifator (MFA).
O IAM é essencial, mas é apenas a primeira etapa. Depois que um usuário entra, as equipes de segurança ainda precisam ter visibilidade do que esse usuário pode acessar em aplicativos SaaS, infraestrutura multinuvem, dispositivos IoT e sistemas de terceiros. Sem essa visibilidade, é mais difícil identificar acessos arriscados, priorizar ameaças à identidade e atender aos requisitos de segurança e privacidade.
Quem está no sistema e o que pode ser acessado?
A governança e a administração de identidades (IGA) oferecem visibilidade e controle sobre quem tem acesso a quê, em ambientes na nuvem e no local. Ela ajuda as equipes a determinar qual acesso existe, se é apropriado e como ele deve mudar ao longo do tempo.
A maioria dos programas IGA se concentra em quatro recursos principais:
- Governança de identidade: Entenda e analise quem tem acesso a quê, incluindo usuários, funções e aplicativos de alto risco.
- Ciclo de vida da identidade: Automatize os processos de entrada, mudança e saída, incluindo solicitações, aprovações, provisionamento e aplicação de políticas.
- Governança de acesso a dados: Identifique quem pode acessar dados não estruturados, detecte acessos problemáticos e corrija-os rapidamente.
- Gerenciamento de funções de negócios: Defina funções e políticas, reduza a dispersão de funções e automatize a certificação de funções.
Quando a identidade é mal utilizada ou comprometida, o acesso excessivo ou pouco claro aumenta o impacto. Uma visão centralizada do acesso ajuda as equipes a detectar problemas mais cedo, atender às necessidades de conformidade (incluindo SOX, HIPAA e GDPR) e reduzir o trabalho manual vinculado a certificações, solicitações e provisionamento.
Saber quem tem acesso é apenas parte do problema. A próxima etapa é garantir que o acesso seja justificado, apropriado para a função e limitado por políticas e riscos.
Por que os usuários precisam de acesso a recursos específicos?
Os usuários precisam ter acesso aos recursos para desempenhar responsabilidades de trabalho definidas, e não porque têm uma conta ou pertencem a um departamento. A governança de identidade ajuda você a vincular o acesso a uma justificativa comercial clara, a uma função e a uma política aprovada pelo proprietário.
Do ponto de vista tático, isso geralmente significa definir modelos de acesso baseados em funções ou políticas, exigir uma finalidade declarada para as exceções e designar proprietários de aplicativos e dados que possam aprovar o acesso com base no risco e na necessidade. Com o tempo, a governança reduz o “desvio de acesso”, revalidando se o acesso ainda é necessário à medida que os usuários mudam de função ou de projeto.
O que os usuários farão com determinado acesso?
O acesso não é apenas uma decisão de sim ou não. Ele determina as ações que um usuário pode realizar, os dados que ele pode acessar e os danos que uma conta comprometida pode causar.
A governança de identidade ajuda as equipes a avaliar o acesso com base no risco, incluindo ações privilegiadas, exposição a dados confidenciais e combinações tóxicas de acesso que nunca deveriam existir juntas. Na prática, é aqui que você introduz o privilégio mínimo, a separação de tarefas, as certificações de acesso e os fluxos de trabalho de correção direcionados para direitos de alto risco. É também aqui que os recursos de garantia de acesso contínuo, como os do Governança e ciclo de vida da RSA, A tecnologia de detecção e correção é mais rápida.
Como você define o privilégio mínimo na prática?
O privilégio mínimo significa que os usuários têm apenas o acesso de que precisam para fazer seu trabalho, pelo tempo que precisam, e nada mais. Não se trata de uma decisão única. É uma disciplina contínua.
As equipes definem o acesso baseado em funções e os pacotes de acesso “padrão” e, em seguida, tratam qualquer coisa fora do padrão como uma exceção que precisa de justificativa e aprovação. As revisões contínuas de acesso, as verificações de separação de tarefas e a limpeza direcionada de direitos de alto risco evitam o aumento de privilégios à medida que o ambiente muda.
O acesso muda constantemente à medida que as pessoas entram, mudam de função e saem. Uma governança sólida mantém os direitos precisos por meio de fluxos de trabalho repetíveis, atualizações oportunas e revisões que levam a uma correção real.
Como os processos de entrada, mudança e saída reduzem o risco?
Os processos de entrada, mudança e saída reduzem o risco ao alinhar o acesso com o status do emprego e as mudanças de função, para que o acesso não permaneça depois de não ser mais necessário. Quando esses fluxos de trabalho são interrompidos, as contas órfãs e as permissões desatualizadas tornam-se caminhos fáceis para o uso indevido.
O objetivo prático é a consistência e a velocidade. Um bom processo de ciclo de vida automatiza solicitações, aprovações, provisionamento e desprovisionamento em todos os sistemas, além de registrar o que mudou e por quê. Isso reduz a dispersão do acesso, limita o impacto das violações e facilita muito as investigações e auditorias.
Como as revisões de acesso e as certificações realmente funcionam?
As revisões e certificações de acesso funcionam fazendo com que os revisores certos confirmem se o acesso de um usuário ainda é apropriado, com base na função, na política e no risco. O resultado é um conjunto de decisões, como aprovar, revogar ou ajustar, que deve resultar em uma correção real.
Se bem feitas, as revisões têm escopo de acesso significativo, são encaminhadas a proprietários responsáveis e priorizadas em relação a direitos de alto risco. Elas também produzem evidências prontas para auditoria, rastreando quem revisou o quê, o que foi decidido, quando foi decidido e se as alterações foram concluídas e verificadas.
A governança de identidade deve fazer parte de toda estratégia de risco cibernético porque as decisões de risco mais significativas são decisões de acesso. Se você não puder explicar com segurança quem tem acesso, por que o tem e se é apropriado, não poderá reduzir consistentemente o risco, responder rapidamente ou produzir evidências prontas para auditoria.
A governança operacionaliza a estratégia de risco, tornando o acesso mensurável e aplicável. Ela ajuda as equipes a priorizar a correção com base no impacto, reduzir o excesso de titularidade e evitar o acesso órfão por meio da automação de entrada, movimentação e saída. Muitas equipes também mudam seu programa para além da conformidade com caixas de seleção, aplicando uma lente de risco às decisões de acesso, conforme descrito na perspectiva da RSA sobre por que a governança precisa de uma lente de risco.
Uma forte segurança de identidade requer tanto a verificação no momento do login quanto a governança após a concessão do acesso. RSA soluções e produtos oferecem suporte a essa visão completa, desde a autenticação até a garantia de acesso contínuo em ambientes híbridos.
Para saber mais, explore Governança e ciclo de vida da RSA para garantia de acesso contínuo, e os recursos de autenticação da RSA, incluindo autenticação multifatorial (MFA) e autenticação sem senha.
O gerenciamento de identidade e acesso (IAM) verifica a identidade de um usuário no momento do login e determina se ele deve ter permissão para entrar em um sistema. Ele autentica o usuário e autoriza o acesso aos recursos certos, geralmente usando a autenticação multifator (MFA). O IAM é essencial, mas é apenas a primeira etapa. Depois que um usuário entra, as equipes de segurança ainda precisam ter visibilidade do que esse usuário pode acessar em aplicativos SaaS, infraestrutura multinuvem, dispositivos IoT e sistemas de terceiros.
A governança e a administração de identidades (IGA) oferecem visibilidade e controle sobre quem tem acesso a quê em ambientes na nuvem e no local. Ela ajuda as equipes a determinar qual acesso existe, se é apropriado e como ele deve mudar ao longo do tempo. A maioria dos programas de IGA concentra-se na governança da identidade, no ciclo de vida da identidade, na governança do acesso aos dados e no gerenciamento de funções de negócios. Uma visão centralizada do acesso ajuda as equipes a detectar problemas mais cedo, atender às necessidades de conformidade e reduzir o trabalho manual vinculado a certificações, solicitações e provisionamento.
Os usuários precisam ter acesso aos recursos para desempenhar responsabilidades de trabalho definidas, e não porque têm uma conta ou pertencem a um departamento. A governança de identidade vincula o acesso a uma justificativa comercial clara, a uma função e a uma política aprovada pelo proprietário. Na prática, isso significa usar modelos de acesso baseados em funções ou políticas, exigir uma finalidade declarada para as exceções e designar proprietários de aplicativos e dados que possam aprovar o acesso com base no risco e na necessidade.
O acesso não é apenas uma decisão de sim ou não. Ele determina as ações que um usuário pode realizar, os dados que ele pode acessar e os danos que uma conta comprometida pode causar. A governança de identidade ajuda as equipes a avaliar o acesso com base no risco, incluindo ações privilegiadas, exposição a dados confidenciais e combinações tóxicas de acesso que nunca deveriam existir juntas. Ela oferece suporte a privilégios mínimos, separação de tarefas, certificações de acesso e fluxos de trabalho de correção para direitos de alto risco.
O privilégio mínimo significa que os usuários têm apenas o acesso de que precisam para fazer seu trabalho, pelo tempo que precisam, e nada mais. As equipes definem o acesso baseado em funções e os pacotes de acesso padrão e, em seguida, tratam qualquer coisa fora do padrão como uma exceção que precisa de justificativa e aprovação. Revisões contínuas de acesso, verificações de separação de tarefas e limpeza direcionada de direitos de alto risco evitam o aumento de privilégios à medida que o ambiente muda.
Os processos de entrada, mudança e saída reduzem o risco ao alinhar o acesso com o status de emprego e as mudanças de função, para que o acesso não permaneça depois de não ser mais necessário. Um bom processo de ciclo de vida automatiza as solicitações, as aprovações, o provisionamento e o desprovisionamento nos sistemas e registra o que mudou e por quê. Isso reduz a dispersão do acesso, limita o impacto da violação e facilita as investigações e auditorias.
As revisões e certificações de acesso funcionam fazendo com que os revisores certos confirmem se o acesso de um usuário ainda é apropriado com base na função, na política e no risco. Os revisores aprovam, revogam ou ajustam o acesso, e as decisões devem resultar em uma correção real. Se bem feitas, as revisões têm o escopo de um acesso significativo, são encaminhadas para proprietários responsáveis, priorizadas em relação a direitos de alto risco e rastreadas como evidência pronta para auditoria.
