Vídeo: Branding e o terceiro setor: a importância do branding como modelo de gestão - o case BP (Novembro 2024)
O roubo de identidade é um grande problema para todos, mas especialmente para aqueles em segurança de TI. Para combater esse problema, as empresas precisam de uma abordagem forte, porém cuidadosamente gerenciada e controlada, para a governança de identidade. Isso é especialmente difícil porque envolve gerenciar com cuidado quem tem acesso a aplicativos e serviços e garantir que as informações sejam adequadamente registradas e prontamente acessíveis àqueles que precisam. Se alguém não autorizado comprometer o gateway de rede virtual privada (VPN) que sua empresa usa para acesso remoto, será necessário iniciar a correção sabendo exatamente quem tem acesso ao gateway e exatamente quais direitos cada um desses usuários controla.
A governança de identidade também envolve manter a conformidade com os regulamentos que regem a privacidade dos dados, incluindo a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) para dados de assistência médica e o Regulamento Geral de Proteção de Dados da UE (GDPR). O GDPR exige que as identidades sejam verificadas e a autenticação multifatorial (MFA) seja instituída para qualquer pessoa que acesse qualquer informação de identificação pessoal (PII). Uma forte governança de identidade também significa adotar uma abordagem híbrida para gerenciamento de identidade (IDM) na nuvem e no local. Essa abordagem híbrida de governança exige o uso de um processo unificado, de acordo com Darren Mar-Elia, chefe de produto do fornecedor de IDM corporativo Semperis. Na recente Conferência de Proteção de Identidade Híbrida na cidade de Nova York, a PCMag conversou com Mar-Elia para entender suas melhores práticas em governança de identidade.
PCMag (PCM): O que implica o IDM híbrido?
Darren Mar-Elia (DME): um sistema híbrido de IDM é apenas um sistema de identidade que foi estendido do local para a nuvem e, geralmente, é para dar acesso a aplicativos baseados na nuvem.
DME: Muitas empresas administram o AD e o administram há anos. É onde seus nomes de usuário e senhas são mantidos, e é onde são mantidos os membros de seu grupo. Todo esse material pode chegar à nuvem ou você pode criar contas do zero na nuvem e ainda ter o AD local. Agora você tem um sistema de identidade baseado em nuvem que concede acesso a aplicativos em nuvem e é apenas uma maneira de fornecer identidade. Em outras palavras, quem sou eu e o que tenho acesso em um ambiente em nuvem, seja o Microsoft Azure ou Amazon, ou o que quer que seja.
PCM: Onde o painel de software real é usado para gerenciar esse tipo de governança?
DME: a Microsoft, é claro, fornece um portal de gerenciamento para gerenciar identidades na nuvem. Há também uma peça local que permite fazer essa sincronização até o Microsoft Azure Active Directory; então você controla essa peça. Esse é um software que você pode executar e gerenciar, verifique se está funcionando e tudo mais. Dependendo da flexibilidade necessária, você pode fazer o máximo com o portal deles. Obviamente, ele está sendo executado na nuvem da Microsoft e oferece uma visão do seu inquilino. Então você tem um inquilino que define todos os seus usuários e todo o seu acesso aos aplicativos.
PCM: Para quais tipos de aplicativos você precisa para gerenciar o acesso?
DME: no caso da Microsoft, você pode gerenciar o acesso a aplicativos do Office como Exchange, SharePoint e OneDrive. Esses são os aplicativos que você normalmente gerencia nesse ambiente. E gerenciar significa dar acesso, digamos, à caixa de correio de alguém para poder enviar em nome de outro usuário ou poder gerar relatórios. Por exemplo, você pode ver quantas mensagens foram enviadas através do meu sistema e para onde foram enviadas. No caso do SharePoint, pode estar configurando sites através dos quais as pessoas podem colaborar ou especificando quem pode conceder acesso a essas informações.
PCM: Quais são os principais desafios ao lidar com o IDM na nuvem versus no local?
DME: Acho que o grande desafio é conseguir fazer isso de forma consistente na nuvem e no local. Então, eu tenho o acesso certo no local e na nuvem? Tenho muito acesso na nuvem versus o que tenho no local? Portanto, é importante acompanhar esse tipo de disparidade entre o que posso fazer no local e o que posso fazer na nuvem.
PCM: Qual é a melhor maneira de encontrar o equilíbrio entre o IDM local e o que faço na nuvem?
DME: seja provisionamento, gerenciamento de acesso ou certificação, todas essas coisas precisam levar em consideração o fato de que você pode estar em várias identidades de nuvem, além das instalações locais. Portanto, se estou fazendo uma análise de acesso, não deve ser apenas o material ao qual tenho acesso local. Também deve ser, a que eu tenho acesso na nuvem se estiver realizando um evento de provisionamento? Se eu estiver na função de trabalho de recursos humanos (RH), terei acesso a aplicativos no local e na nuvem. Quando for provisionado para essa função, devo ter todo esse acesso concedido a mim. Quando altero as funções da tarefa, devo remover todo o acesso dessa função, local e na nuvem. Esse é o desafio.
PCM: Qual o papel do aprendizado de máquina (ML) no IDM ou na identidade híbrida?
DME: os provedores de identidade em nuvem têm visibilidade sobre quem está efetuando login, de onde está efetuando login e com que frequência está efetuando login. Eles estão usando ML nesses grandes conjuntos de dados para poder inferir padrões entre os diferentes inquilinos. Por exemplo, existem logins suspeitos em andamento no seu inquilino; o usuário está efetuando login de Nova York e cinco minutos depois de Berlim? Esse é um problema de ML essencialmente. Você está gerando muitos dados de auditoria sempre que alguém faz login e usa modelos de máquina para basicamente correlacionar padrões que podem ser suspeitos. No futuro, acho que o ML será aplicado a processos como revisões de acesso para poder inferir o contexto de uma revisão de acesso, em vez de apenas me fornecer uma lista de grupos em que estou inserida e dizer "sim, eu deveria estar neste grupo "ou" não, eu não deveria estar nesse grupo. " Acho que é um problema de ordem superior que provavelmente será resolvido eventualmente, mas é uma área em que acho que o ML ajudará.
PCM: Quanto à ML ajudando no IDM híbrido, isso significa que está ajudando tanto no local quanto na nuvem?
DME: Até certo ponto, isso é verdade. Existem produtos de tecnologia específicos que coletam, por exemplo, dados de interação de auditoria ou AD entre o AD local e também dados de identidade na nuvem, e podem mostrar isso com o mesmo tipo de lista de riscos em que logins suspeitos são locais AD ou na nuvem. Não acho que seja perfeito hoje. Você deseja pintar uma imagem que mostre uma mudança contextual contínua. Se eu for um usuário em um AD local, é provável que, se eu estiver comprometido, possa estar comprometido no local e no Azure AD. Não sei se esse problema foi resolvido completamente ainda.
PCM: Você falou sobre "provisionamento de direitos de primogenitura". O que é isso e qual papel isso desempenha no IDM híbrido?
DME: o provisionamento pela primogenitura é simplesmente o acesso que os novos funcionários obtêm quando ingressam na empresa. Eles são provisionados com uma conta e que acesso obtêm e onde são provisionados. Voltando ao meu exemplo anterior, se eu sou uma pessoa de RH ingressando na empresa, recebo um anúncio criado. Provavelmente vou obter um Azure AD, talvez por meio da sincronização, mas talvez não, e terei acesso a um conjunto de coisas para fazer meu trabalho. Eles podem ser aplicativos, compartilhamentos de arquivos, sites do SharePoint ou caixas de correio do Exchange. Todo esse provisionamento e concessão de acesso devem ocorrer quando eu ingresso. Isso é essencialmente o provisionamento de primogenitura.
PCM: Você também falou sobre um conceito chamado "carimbo de borracha". Como isso funciona?
DME: Os regulamentos de muitas empresas de capital aberto dizem que precisam revisar o acesso a sistemas críticos que contêm coisas como informações pessoais, dados de clientes e informações confidenciais. Portanto, você deve revisar o acesso periodicamente. Geralmente é trimestral, mas depende do regulamento. Mas, normalmente, da maneira que funciona, você tem um aplicativo que gera essas avaliações de acesso, envia uma lista de usuários em um grupo específico para um gerente responsável por esse grupo ou aplicativo e, em seguida, essa pessoa precisa certificar que todos esses usuários ainda pertencer a esse grupo. Se você está gerando muitas delas e um gerente está sobrecarregado, é um processo imperfeito. Você não sabe que eles estão revisando. Eles estão revisando-o tão completamente quanto precisam? Será que essas pessoas ainda precisam de acesso? E é isso que carimbo de borracha. Portanto, se você realmente não está prestando atenção, costuma ser apenas uma verificação indicando "Sim, eu fiz a revisão, já fiz, tirei do meu cabelo", em vez de realmente entender se o acesso é ainda é necessário.
PCM: O acesso ao carimbo de borracha revisa um problema ou é apenas uma questão de eficiência?
DME: Eu acho que são os dois. As pessoas estão sobrecarregadas. Eles jogam um monte de coisas jogados contra eles, e eu suspeito que seja um processo difícil de acompanhar, além do que qualquer outra coisa está fazendo. Então, acho que é feito por razões regulatórias, com as quais concordo totalmente e entendo. Mas não sei se é necessariamente a melhor abordagem ou o melhor método mecânico para fazer análises de acesso.
PCM: Como as empresas estão lidando com a descoberta de funções?
DME: Gerenciamento de acesso baseado em função é essa ideia que você atribui ao acesso com base na função de um usuário na organização. Talvez seja a função comercial do indivíduo ou o trabalho da pessoa. Poderia ser baseado no título do indivíduo. A descoberta de função é o processo de tentar descobrir quais funções podem existir naturalmente na organização com base em como o acesso à identidade é concedido hoje. Por exemplo, posso dizer que essa pessoa de RH é um membro desses grupos; portanto, a função de pessoa de RH deve ter acesso a esses grupos. Existem ferramentas que podem ajudar nisso, basicamente criando funções com base no acesso existente concedido no ambiente. E esse é o processo de descoberta de função pelo qual passamos quando você está tentando criar um sistema de gerenciamento de acesso baseado em função.
PCM: Você tem alguma dica que você pode fornecer para pequenas e médias empresas (PMEs) sobre como abordar o IDM híbrido?
DME: Se você é uma SMB, acho que o objetivo é não estar vivendo em um mundo de identidade híbrida. O objetivo é obter uma identidade apenas na nuvem e tentar chegar lá o mais rápido possível. Para uma SMB, as complexidades de gerenciar a identidade híbrida não são um negócio em que elas desejam participar. É um esporte para empresas realmente grandes que precisam fazê-lo porque têm muito material local. Em um mundo para pequenas e médias empresas, acho que o objetivo deve ser "Como chego a um sistema de identidade em nuvem mais cedo ou mais tarde? Como saio dos negócios locais mais cedo ou mais tarde?" Essa é provavelmente a abordagem mais prática.
PCM: Quando as empresas usariam híbrido versus apenas local ou apenas nuvem?
DME: Eu acho que a maior razão pela qual o híbrido existe é porque temos organizações maiores com muita tecnologia herdada em sistemas de identidade locais. Se uma empresa estava começando do zero hoje… não está implantando o AD como uma nova empresa; eles estão desenvolvendo o Google AD com o Google G Suite e agora vivem inteiramente na nuvem. Eles não têm nenhuma infraestrutura local. Para muitas organizações maiores com tecnologia que existe há anos, isso simplesmente não é prático. Então eles têm que viver neste mundo híbrido. Se eles chegarão apenas à nuvem, provavelmente depende de seu modelo de negócios e de qual é a prioridade para eles e de quais problemas eles estão tentando resolver. Tudo o que entra nele. Mas acho que, para essas organizações, elas estarão em um mundo híbrido por um longo tempo.
PCM: Qual seria um requisito comercial que os levaria à nuvem?
DME: um típico é como um aplicativo de negócios na nuvem, um aplicativo SaaS como Salesforce, Workday ou Concur. E esses aplicativos esperam provisionar uma identidade na nuvem para poder dar acesso a eles. Você precisa ter essa identidade da nuvem em algum lugar, e é assim que geralmente acontece. A Microsoft é um exemplo perfeito. Se você deseja usar o Office 365, precisará fornecer identidades no Azure AD. Não há escolha sobre isso. Portanto, isso leva as pessoas a obterem o Azure AD e, quando estiverem lá, talvez decidam que desejam fazer logon único em outros aplicativos da Web, outros aplicativos SaaS na nuvem e agora estão na nuvem.
- 10 etapas essenciais para proteger sua identidade on-line 10 etapas essenciais para proteger sua identidade on-line
- As melhores soluções de gerenciamento de identidades para 2019 As melhores soluções de gerenciamento de identidades para 2019
- 7 etapas para minimizar a fraude do CEO e a falsificação de identidade 7 etapas para minimizar a fraude do CEO e a falsificação de identidade
PCM: Alguma grande previsão para o futuro do IDM ou da governança?
DME: As pessoas ainda não estão pensando na governança de identidade híbrida ou no IDM híbrido como uma coisa única. Eu acho que isso tem que acontecer, sejam eles empurrados para lá pelas regulamentações ou pelos fornecedores, e forneça essa solução completa de governança de identidade para esses mundos híbridos. Eu acho que qualquer um deles inevitavelmente terá que acontecer, e as pessoas terão que resolver problemas como a separação de tarefas na identidade híbrida e no gerenciamento de acesso. Acho que esse é provavelmente o resultado mais inevitável que acontecerá mais cedo ou mais tarde.