search
A mídia que reinventa a empresa
Registrar un software

IAM: como gerenciar identidades e acessos de usuários

IAM: como gerenciar identidades e acessos de usuários

Por François Poulet

Em 28 de outubro de 2024

Há cada vez mais aplicativos em sua empresa: SaaS e On-Premise. As movimentações de pessoal estão se tornando cada vez mais frequentes.

Para orquestrar seu ecossistema de usuários, automatizar e gerenciar o acesso de cada pessoa ao software da empresa, é hora de descobrir o que o software IAM pode fazer por você.

O que é IAM? Definição e princípios básicos

O IAM (Identity and Access Management, gerenciamento de identidade e acesso ) reúne todos os sistemas implementados para gerenciar as autorizações de usuários a fim de controlar o acesso e os direitos a aplicativos.

Se quiséssemos resumir o IAM em uma frase simples (simplista? 🙂 ), poderíamos dizer que o IAM corresponde ao gerenciamento de usuários e suas autorizações.

Nos últimos anos, o IAM se tornou uma questão real no centro dos processos comerciais, mesmo fora da alçada do departamento de TI.

ℹ️ Por que é tão importante gerenciar as autorizações de usuários?

Em uma empresa, os funcionários precisam acessar software ou dados com um determinado número de regras de autorização para realizar seu trabalho.

Quando cada funcionário chega, grande parte do processo de integração consiste na criação de dois grupos de recursos:

  • Recursos pertencentes ao "núcleo comum". Eles incluem ferramentas básicas de escritório, como contas do Active Directory e e-mail (Office 365, GSuite etc.),
  • Recursos "específicos do negócio". Esses recursos correspondem a ferramentas específicas do funcionário ou do departamento ao qual ele pertence.

Também é importante observar que, para o núcleo comum, as configurações de cada recurso são específicas para a função do usuário. Por exemplo, quando a conta do Active Directory é criada, os grupos de segurança correspondentes à função do usuário também devem ser configurados.

Quando um novo funcionário entra na empresa, também é necessário adaptar os direitos de acesso e as ferramentas do usuário à medida que ele evolui na empresa. Quando um usuário muda de cargo, ingressa em um novo departamento ou em uma nova equipe, os direitos de segurança precisam ser removidos ou adicionados, os grupos de distribuição aos quais ele pertence precisam ser alterados, ele precisa receber novos direitos em um novo software e, acima de tudo, ele precisa se lembrar de remover todos os direitos de que não precisa mais.

Todas essas operações podem ser executadas manualmente, seguindo os processos. Você também precisa garantir que os processos evoluam de acordo com as mudanças no SI ou no escopo do SI. Para isso, é necessário manter um inventário atualizado de todas as contas de software, todos os tipos de autorização (às vezes chamados de perfis de autorização) e um repositório de autorização para cada usuário, para que você saiba quem tem acesso a quê.

ℹ️ Por que é tão importante ter esse tipo de repositório?

Porque quando alguém deixa a empresa, você não quer que o acesso dessa pessoa permaneça aberto. A Cisco, por exemplo, foi hackeada por um ex-funcionário que ainda tinha acesso a todas as suas ferramentas vários meses depois de sair.

Além disso, no caso de uma auditoria, você precisa mostrar que tem um controle de acesso refinado: não deixe espaço para aproximações ou criações quando falar sobre autorizações!

Para garantir um gerenciamento rigoroso, e considerando que estamos falando de centenas ou milhares de usuários, acessos e parâmetros de autorização, é necessário usar uma ferramenta que permita a governança e, idealmente, a automação da manutenção desses repositórios.

As 4 etapas da configuração de um IAM

Etapa 1: Conheça seus funcionários

Pode parecer surpreendente, mas sim, é importante manter uma lista de TODOS os seus usuários. Quem tem a lista de usuários da sua empresa? Na verdade, ninguém!

O RH tem parte dela (funcionários com contratos permanentes, contratos a termo, etc.), os departamentos comerciais têm outra parte (equipe temporária, prestadores de serviços, etc.). Portanto, é essencial ter uma visão única de todos esses usuários para poder gerenciar suas autorizações.

Etapa 2: Faça um balanço do seu software

Essa pode ser uma tarefa difícil, mas você precisa listar todos os softwares usados na sua empresa. Corro o risco de ser agressivo com você, mas é realmente necessário listar todos os softwares, mesmo aqueles que não são gerenciados/conhecidos pela TI.

Se você quiser garantir a segurança da sua empresa até o fim, é uma boa ideia, nessa etapa, anotar também todo o hardware fornecido, como crachás de acesso, chaves e equipamentos de TI.

Etapa 3: "Reconciliar" usuários e software

Em contabilidade, isso é conhecido como "lettering": envolve a associação das diferentes contas de todos os aplicativos com os usuários certos. Essa reconciliação define a lista de ferramentas disponíveis para cada usuário.

Quando essa ação de reconciliação é realizada, você encontrará contas "órfãs": são contas do "sistema" ou contas de usuário que não existem ou não existem mais no seu repositório. Essas são as famosas "contas fantasmas". Os usuários saíram, mas as contas ainda estão ativas.

Nosso conselho : execute essas três etapas com a maior frequência possível, pois isso garantirá a segurança do seu sistema de informações.

O software de IAM pode simplificar essas três operações:

Ao conectar a solução de IAM ao HRIS, você obtém a lista de funcionários e, em seguida, conecta a solução ao Active Directory (ou similar) e obtém a lista completa de contas. A solução reconcilia automaticamente os dados e o notifica sobre quaisquer usuários e contas com erro. Isso não exige nenhum esforço de sua parte e você tem todas as informações de que precisa em apenas alguns minutos!

O melhor de uma solução de IAM é que, uma vez configurada, ela pode executar essas ações quase em tempo real.

Etapa 4: gerenciar direitos de acesso

A etapa final é gerenciar os direitos de acesso dos seus usuários. Você acabou de dizer quem tem o direito de usar qual software, mas agora precisa definir o que eles podem fazer com ele.

O erro mais comum é conceder a todos os usuários direitos de administrador. Se você der a todos plenos poderes, é melhor não ter uma política de gerenciamento de direitos!

Quando você conceder acesso de administrador, pense cuidadosamente sobre as responsabilidades da pessoa que receberá esses direitos. Fique atento principalmente a esses acessos, pois, se eles forem invadidos, os danos serão obviamente catastróficos.

Alguns sistemas de IAM permitem monitorar especificamente determinados direitos de acesso confidenciais para que você possa ser informado no caso de uma alteração (por exemplo, um usuário ser nomeado administrador de um recurso).

Você mesmo gerencia as contas dos seus usuários ou escolhe uma solução externa?

Depois de ler as 4 etapas para fazer o seu próprio gerenciamento de identidade e acesso, você pode estar pensando:

  • OK, vou configurar isso OU
  • parece um pouco demorado realizar todas essas ações regularmente e sem a certeza de ser exaustivo.

O que você pensa nesse momento já é um bom indicador de que você precisa ou não de uma solução de IAM completa.

O tamanho da sua empresa e a rotatividade da equipe são outros critérios importantes.

As respostas fáceis: se você tiver 100 funcionários ou mais e/ou se a rotatividade de pessoal for alta, escolha uma plataforma de IAM.

Se você tiver mais de 200 funcionários, não é viável operar sem esse sistema.

Os 3 erros mais comuns a não cometer quando se trata de IAM

Erro nº 1: confundir IAM e SSO

O SSO é um sistema de autenticação, enquanto o IAM é um sistema de gerenciamento de contas.

O IAM e o SSO funcionam muito bem juntos, mas não desempenham as mesmas funções.

Na raiz dessa confusão está a definição da necessidade, que não é necessariamente muito clara: o departamento de TI quer simplificar/centralizar o gerenciamento de senhas para os usuários. Essa solicitação está no cruzamento de IAM, SSO e gerenciadores de senhas.

A implementação de um sistema SSO permite centralizar parte da autenticação do usuário para suas várias contas. Mas as restrições técnicas de implementação, compatibilidade e manutenção significam que o SSO é aplicado apenas parcialmente aos vários aplicativos da empresa.



Se quisermos usar uma metáfora: com o SSO, você decide quem tem o direito de entrar na casa; com o IAM, você decide quem tem o direito de mover móveis, repintar paredes ou simplesmente sentar-se.

O SSO não permite gerenciar corretamente os níveis de autorização, você não tem uma visão geral das ferramentas e do software, porque nem todos são compatíveis, nem tem uma visão geral das pessoas que trabalham na empresa, porque não se conecta ao HRIS.

Erro nº 2: confundir usuários e contas

Quando entro em contato com uma empresa e pergunto se ela tem um repositório que centraliza todos os usuários, geralmente recebo a resposta: "sim, o Active Directory é a referência". Mas esse é exatamente o erro que você não deve cometer: confundir usuários com contas.

Os usuários são pessoas físicas que têm um sobrenome, um nome, uma data de chegada e, possivelmente, uma data de partida.

Esses usuários recebem contas de acesso com base em parâmetros funcionais de RH.

Se você entender essa diferença fundamental, estará no caminho certo para implementar o gerenciamento inteligente de identidade em sua empresa.

Erro nº 3: pensar que, uma vez implantada a ferramenta de IAM, ela funcionará por si só

Você pode fracassar totalmente em seu projeto de IAM se não colocar alguém encarregado de gerenciar a ferramenta. Sim, mesmo a melhor solução de IAM precisa ser cuidada. Os recém-chegados, as criações e suspensões de contas precisam de sua intervenção, e é por meio da manutenção do seu SI que ele permanecerá "limpo" e corretamente sincronizado com as informações de RH.

Por fim, os principais pontos para começar

Escolha uma solução "amigável": você usará a ferramenta regularmente, e a solução escolhida deve ser simples e ergonômica.

Uma solução SaaS: oferece flexibilidade inabalável, sem nenhum software complicado para instalar e manter. Sua solução está sempre atualizada, e o TCO é muito menor no modo hospedado.

Compatibilidade com seus aplicativos: alguns de seus aplicativos são "On premise" e outros são SaaS (Office 365, por exemplo). É importante verificar se é possível integrar seus aplicativos, independentemente da tecnologia, para que você possa cobrir todo o escopo do seu sistema de informações. A principal dificuldade costuma ser a integração de ferramentas proprietárias no local. Por isso, na Youzer, criamos um conector universal para que nossos clientes possam "construir" um conector personalizado para cada um de seus aplicativos.

Atendimento ao cliente ágil : você pode estar se comprometendo com uma solução de IAM por vários anos, portanto, precisa de um atendimento ao cliente ágil para poder responder às suas perguntas e resolver os seus problemas. Se você estiver em uma plataforma enorme, certifique-se de obter um tempo de resposta decente e de que a pessoa com quem você está lidando seja tecnicamente proficiente (para que você não seja enganado antes de obter sua resposta 🙃).

👉 Uma solução que evolui : escolha uma solução que evolua. Atualmente, não é incomum ver plataformas de software que não evoluem há vários anos ou até mesmo há várias décadas. Com a tecnologia e o uso mudando tão rapidamente, é importante escolher uma plataforma que seja flexível e escalável.

Artigo patrocinado. Os colaboradores especialistas são autores independentes da equipe editorial do appvizer. Seus comentários e posições são próprios.

Artigo traduzido do francês