O Identity Lifecycle Management (ILM, Gerenciamento do Ciclo de Vida de Identidade) é a evolução de identidades , da criação à desativação. Ele abrange identidades para todos os tipos de usuários, como funcionários, colaboradores terceirizados, clientes e parceiros, bem como para aplicativos, recursos e sistemas locais e baseados na nuvem. Todas as funções relativas ao gerenciamento de uma identidade durante seu ciclo de vida estão incluídas, desde a atribuição inicial de privilégios de acesso até o rastreamento e a implementação de alterações nos requisitos de acesso, a auditoria de usuários e o uso, e a geração de relatórios.
A importância do Identity Lifecycle Management
Todas as organizações devem ter algum tipo de sistema de gerenciamento do ciclo de vida de identidades em vigor. O ILM desempenha um papel crucial na postura geral de segurança das organizações, sendo vital para o cumprimento dos requisitos de conformidade necessários para a maioria das organizações.
Embora algumas organizações continuem a depender de processos manuais para o gerenciamento do ciclo de vida de identidades, essa prática costuma ser ineficiente e propensa a erros. O gerenciamento automatizado do ciclo de vida de identidades tornou-se essencial para a maioria das organizações.
A automatização do identity lifecycle management ajuda organizações a otimizar os diversos processos associados, desde a geração de identidades, a realização de atualizações e sua desativação quando não são mais necessárias. Isso é importante por diversos motivos:
- Auditorias e comunicação: Os sistemas e processos de gerenciamento do ciclo de vida de identidades garantem que as organizações mantenham e possam acessar prontamente informações sobre quais usuários têm acesso a quais recursos.
- Conformidade: A maioria das organizações está sujeita a regras e regulamentos, que incluem requisitos para o gerenciamento e a proteção de ativos digitais. Os sistemas de ILM garantem que as proteções adequadas estejam em vigor e possam ser usadas a fim de comprovar como as identidades digitais e o acesso são gerenciados e controlados.
- Redução de custos: Com sistemas automatizados, as organizações podem reduzir bastante os custos, eliminando tarefas demoradas e propensas a erros. Isso reduz os custos associados ao tempo gasto nessas tarefas e minimiza as despesas relacionadas à correção e multas por falhas de conformidade.
- Mitigação de ameaças internas: Os sistemas e os processos de gerenciamento do ciclo de vida de identidades ajudam a minimizar possíveis riscos de ameaças internas, garantindo que aos usuários seja concedido apenas o direito ao acesso mínimo necessário à execução de suas funções (ou seja, com base no princípio do privilégio mínimo). Esses sistemas e processos também monitoram mudanças nas necessidades de acesso e ajustam os direitos para que sejam mantidos os direitos mínimos necessários.
- Postura geral de segurança: O emprego do identity lifecycle management em complemento a outras medidas de segurança preenche uma falha crítica. Os sistemas e processos do ILM protegem os recursos contra acesso não autorizado, implementando e aplicando controles críticos que ajudam a reduzir ao mínimo a exposição e restringir a superfície de ataque.
Overview das etapas do Identity Lifecycle Management
O gerenciamento do ciclo de vida de identidades divide-se em três etapas principais que abrangem aspectos essenciais do gerenciamento de identidades e da alteração de privilégios de acesso, da criação à desativação.
Provisioning (onboarding): Quando um novo usuário é integrado, uma identidade digital deve ser criada e o acesso aos recursos deve ser provisionado com base em suas funções e responsabilidades. Os principais elementos desta etapa incluem:
Criação, verificação e integração da identidade.
Documentação de funções e atributos e mapeamento posterior.
Configuração de permissões de acesso aos recursos.
Automatização da importação de usuários externos em caso de processo de integração em massa.
Gerenciamento de identidade: Esta é uma parte fundamental do ILM que garante a manutenção e a atualização dos privilégios de acesso ideais em tempo hábil. Esta etapa envolve a colaboração com os chefes de departamento para acompanhar as mudanças das necessidades.
Desprovisionamento (desligamento): A etapa final do gerenciamento do ciclo de vida de identidades é a desativação das contas dos usuários quando não são mais necessárias ou quando o usuário não faz mais parte da organização. Esta é uma etapa crucial, pois garante que contas órfãs não estejam abertas e acessíveis, pois elas podem ser usadas como backdoors ou exploradas por ameaças internas.
4 componentes do Identity Lifecycle Management
O identity lifecycle management possui quatro componentes principais, que trabalham em conjunto na concessão aos usuários do acesso necessário, enquanto protege recursos.
1. Autenticação
Antes que um usuário possa acessar um recurso, sua identidade deve ser verificada, confirmando que ele é um usuário legítimo. As identidades são verificadas por meio de um ou mais métodos de autenticação, como senhas, tokens, e biometria (por exemplo, reconhecimento facial, leitura de íris e impressões digitais).
Após a autenticação, concede-se ao usuário acesso aos recursos com base em suas autorizações. A autorização pode ser restrita, ou seja, expirar após um período específico ou após o usuário concluir uma tarefa.
2. Autorização
A autorização define os privilégios de acesso dos usuários. Após a autenticação, o usuário recebe acesso aos recursos com base em seus níveis de autorização.
3. Administração
O componente de administração do gerenciamento do ciclo de vida de identidades concentra-se na governança de acesso. A administração abrange as especificidades relacionadas à criação de contas de usuários, atribuições de funções e configurações de permissões.
Este deve ser um processo contínuo, que compreende o estabelecimento e a aplicação de políticas por meio de regras. O acesso pode ser controlado por meio de regras que o concedem com base em funções ou tarefas, bem como em dispositivos, locais e comportamentos.
4. Auditoria e comunicação
Todas as atividades ao longo do ILM devem ser monitoradas e registradas. Esse processo não apenas atende aos requisitos de conformidade (por exemplo, à Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, Health Insurance Portability and Accountability Act), à Lei de Direitos de Privacidade da Califórnia, (CPRA, California Privacy Rights Act), ao Regulamento Geral sobre a Proteção de Dados (RGPD) e ao Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS, Payment Card Industry Data Security Standard)) e auditorias, mas também garante que os sistemas de identidade e acesso estejam funcionando conforme o esperado.
Além disso, o monitoramento ajuda a detectar atividades anômalas que podem ser um sinal de ataque ou de violação de segurança.
Desafios do Gerenciamento do Ciclo de Vida de Identidades
Embora ofereça muitos benefícios, o gerenciamento do ciclo de vida de identidades também apresenta desafios. Constituem seus pontos problemáticos comuns:
- Revisão e recertificação de acesso: Uma vez criadas, as identidades exigem revisões regulares e também devem ser recertificadas periodicamente. Configurar as regras de controle desse processo pode ser complexo e demorado.
- Ajuste do acesso dos usuários: Conforme mudam as necessidades dos usuários, os direitos de acesso também devem ser ajustados a fim de evitar superexposição e perda de privilégios. Fazer essas alterações em tempo hábil e garantir que os privilégios sejam alocados de forma correta é um desafio. Do mesmo modo, o encerramento do acesso quando um usuário deixa uma organização ou quando seu trabalho nela é concluído.
- Conciliando a experiência do usuário e a segurança: As equipes de TI e segurança empenham-se em encontrar o equilíbrio exato entre segurança e experiência do usuário. Embora ajude a atender aos requisitos de segurança, a exigência de autenticação em níveis pode criar gargalos e gerar frustrações nos usuários.
- Monitoramento contínuo: O monitoramento contínuo das atividades e dos padrões de acesso dos usuários é fundamental para a identificação de comportamentos incomuns que possam indicar um problema de segurança. No entanto, recursos especiais são necessários à detecção e resposta, a fim de controlar identidades e seus privilégios relacionados de forma eficaz.
- Sobrecarga de TI: O gerenciamento de identidades pode ser demorado, pois as equipes precisam configurar novos usuários, ajustar as configurações de usuários existentes e desativar usuários. Além disso, elas devem lidar com a solução de problemas relacionados a identidades, como redefinição de senhas e verificação de solicitações de acesso.
- Gerenciamento de grupos de usuários diversos: Identidades são atribuídas a pessoas e máquinas. Pessoas vão desde funcionários e colaboradores terceirizados a parceiros e clientes, cada um com diferentes níveis de autorização. O mesmo vale para as máquinas, mas elas normalmente exigem integrações que garantem a aplicação dos controles de acesso de acordo com políticas.
- Integração de novos recursos e atribuição de acesso: Quanto maior e mais complexa for uma organização, mais difícil pode ser o processo de integração de novos usuários. Além de configurar sistemas de autenticação, é preciso ter cuidado ao determinar e atribuir privilégios de acesso. Isso pode ser especialmente trabalhoso ao lidar com usuários externos e sistemas integrados que exigem acesso.
- Gerenciamento de privilégios: Com frequência, organizações que buscam implementar o princípio do acesso com privilégios mínimos encontram dificuldades para gerenciá-lo. Garantir que os usuários tenham apenas o acesso mínimo necessário pode ser complexo e trabalhoso, além de prejudicar a produtividade dos usuários caso não consigam acessar os recursos de que necessitam.
- Riscos de segurança e problemas de conformidade: A configuração de sistemas e processos de ILM pode gerar vulnerabilidades de segurança, deixando organizações sujeitas a adversidades relacionadas às exposições e à não conformidade. Provisionamento excessivo, imposição de regras relativas ao monitoramento e alteração de acessos e desativação de contas são algumas das maiores áreas de risco.
Ferramentas e soluções para o ILM
Os desafios associados ao identity lifecycle management podem ser enfrentados com soluções específicas. Ao considerarmos as soluções e as ferramentas de ILM, é importante realizar uma análise mais ampla, a qual compreende a avaliação dos principais recursos e funções, custos e benefícios para encontrar a melhor solução para a organização.
Principais recursos e funções das ferramentas de gerenciamento do ciclo de vida de identidades
Acima de tudo, uma solução de gerenciamento do ciclo de vida de identidades deve oferecer um elevado grau de automatização. Outros recursos e funções importantes a serem procurados em uma solução de gerenciamento do ciclo de vida de identidade compreendem:
- Fluxos de trabalho de solicitação de acesso, incluindo envio, revisões, aprovações e status.
- Ferramentas de auditoria e comunicação.
- Ferramentas de autenticação.
- Automatização do provisionamento e desprovisionamento.
- Monitoramento contínuo de atividades suspeitas.
- Reforço da segurança.
- Gerenciamento de senhas, incluindo sincronização de senhas entre recursos e a capacidade de redefinições e alterações por autosserviço.
- Automatização de políticas.
- Gerenciamento de usuários privilegiados.
- Controles de acesso baseados em função (RBAC).
- Fluxos de trabalho de aprovação simplificados.
- Aplicação rigorosa dos controles de acesso.
Avaliando o custo das soluções de gerenciamento do ciclo de vida de identidades
A diversidade de custos a serem considerados ao avaliar soluções e ferramentas de ILM compreende:
- Potencial economia de custo a ser obtida com a automatização de tarefas manuais.
- Taxas de licenciamento iniciais e taxas adicionais à medida que novos usuários são adicionados.
- Despesas com implementação, incluindo configuração, personalização e integração.
- Custos contínuos de manutenção e suporte.
- Custos ocultos, como taxas para se conectar a um fornecedor de logon único.
Benefícios das ferramentas de Identity Lifecycle management
Existem muitos benefícios que podem advir da automatização do gerenciamento do ciclo de vida de identidades. Entre os benefícios mais comumente citados estão os seguintes:
- Provisionamento e desprovisionamento mais rápidos: Adicione novos usuários com mais rapidez e conceda os privilégios de acesso apropriados. Quando o acesso não for mais necessário, as identidades podem ser excluídas de modo automático e os direitos de acesso associados, revogados.
- Visibilidade de ponta a ponta: Obtenha uma visão geral holística de todas as identidades. Este tipo de visibilidade inclui dados sobre privilégios de acesso, quem está autorizado a aprovar direitos de acesso adicionais e um registro de todas as ações realizadas por um usuário.
- Aplicação de políticas: Políticas podem ser aplicadas automaticamente a todos os usuários. São exemplos de políticas aplicadas com um sistema de gerenciamento do ciclo de vida de identidades a instalação de atualizações em determinado período, a exigência de senhas fortes, a definição da duração de bloqueios de tela e o bloqueio do uso de dispositivos de armazenamento removíveis.
- Manutenção da conformidade: Ao aplicar políticas de segurança e controles de acesso, as soluções de gerenciamento do ciclo de vida de identidades ajudam as organizações a manter a conformidade com as regulamentações e os padrões do setor.
- Aumento da produtividade: A automatização das funções de gerenciamento do ciclo de vida de identidades agiliza a integração, a desativação e as atualizações de usuários. Isso não apenas alivia a carga de trabalho das equipes de TI, como também elimina atrasos derivados de erros causados pela execução manual dessas tarefas. Além disso, a automatização permite que os usuários tenham rápido acesso aos recursos necessários, permitindo que comecem a trabalhar mais rapidamente.
- Proteção contra ameaças internas: O gerenciamento do ciclo de vida de identidades permite controles rigorosos sobre os privilégios de acesso, ajudando a garantir que usuários tenham acesso apenas aos recursos mínimos necessários. Essas soluções também podem reduzir o risco de violação de privilégios, fornecendo supervisão para usuários com acesso privilegiado.
Práticas recomendadas para um gerenciamento eficaz do ciclo de vida de identidades
1. Conciliar segurança e experiência do usuário
Ao implementar protocolos de segurança, leve em consideração a experiência do usuário. Selecione e aplique controles de segurança que não impeçam a produtividade dos usuários nem causem sobrecarga desnecessária para as equipes de TI.
2. Oferecer treinamento de conscientização de segurança
Ofereça treinamentos regulares e materiais em diversos formatos para garantir que todos os usuários entendam a importância dos sistemas de segurança de identidades e o papel de cada um na proteção de suas identidades contra acesso não autorizado.
3. Promover a colaboração entre as equipes de RH e TI
Disponibilize canais abertos de comunicação e fluxos de trabalho eficientes, que facilitem a colaboração entre as equipes de RH e TI, e entre outros grupos relevantes. A colaboração entre as equipes torna o gerenciamento do ciclo de vida de identidades mais eficaz, eficiente e seguro.
4. Criar políticas bem definidas
Desenvolva e comunique o gerenciamento do ciclo de vida de identidades. Garanta que esse processo seja mantido atualizado e de fácil acesso a todos os usuários.
5. Implementar o princípio do privilégio mínimo
Incorpore o princípio do privilégio mínimo ao gerenciamento do ciclo de vida de identidades para que seja garantido aos usuários apenas o acesso mínimo aos recursos necessários à execução de suas funções. Processos também devem ser implementados para a avaliação regular dos privilégios de acesso e a realização dos ajustes necessários à aplicação contínua do princípio do privilégio mínimo.
6. Empregar controles de acesso baseados em função (RBACs)
Utilize RBAC para conceder e gerenciar direitos de acesso de acordo com as funções e pa
péis dos usuários. O RBAC simplifica o gerenciamento de acesso, facilitando a atribuição e revogação de acessos conforme as funções e responsabilidades mudam.
7. Integrar a outros sistemas
Integre a solução de ILM a outros sistemas de segurança e ferramentas de TI, como aplicativos, diretórios e serviços de nuvem.
8. Monitorar as identidades
Use o monitoramento contínuo para acompanhar as atividades dos usuários. Registre todas as atividades e use análises avançadas para detectar anomalias e padrões que possam ser indicadores de um risco ou violação de segurança.
Casos de uso do Identity Llifecycle Management
Várias etapas comuns do gerenciamento do ciclo de vida de identidades são a integração de novos usuários e o desligamento deles, além da atualização de registros de identidade quando são feitas alterações nos sistemas de Recursos Humanos (RH).
Integração de novos usuários
Parte da integração de novos usuários consiste na conexão com a equipe de TI a fim de estabelecer uma nova identidade. Os sistemas de ILM podem automatizar os processos de autenticação e autorização de acesso.
Desligamento de usuários
Quando uma conta de usuário não é mais necessária, as soluções de gerenciamento do ciclo de vida de identidades podem desabilitar ou excluir automaticamente uma identidade. O sistema pode revogar todos os privilégios de acesso de identidade em todos os recursos.
Atualização de registros com base nas alterações de RH
Quando a função de um usuário é alterada em um sistema de Recursos Humanos, a integração com o gerenciamento do ciclo de vida da identidade permite a atualização automática dos privilégios de acesso associados. Isso elimina tarefas repetitivas e demoradas, garantindo que as atualizações sejam feitas em tempo hábil.
O futuro do identity lifecycle management
Entender todo o Identity Lifecycle Management envolve gerenciar uma identidade desde sua criação até sua desativação, com abrangência de todos os usuários e aplicativos, o que é crucial para a segurança e a conformidade. Uma vez que o gerenciamento manual é propenso a erros, a automatização é o método preferível para garantir a eficiência.
Os benefícios do gerenciamento do ciclo de vida de identidades incluem processos mais simples, auditorias mais eficientes, redução de custos, mitigação de ameaças e melhoria da segurança. Os desafios incluem revisão de acesso, ajuste de acesso conforme as necessidades, equilíbrio entre segurança e experiência do usuário, monitoramento contínuo e gerenciamento de grupos de usuários diversos. Ferramentas avançadas que oferecem automatização, monitoramento e controles rigorosos podem ajudar a enfrentar esses desafios.
