O que é governança e administração de identidade?
Visão geral
Com as várias ferramentas de governança de identidade existentes no mercado, não é fácil avaliar o que elas oferecem em comparação com uma arquitetura de administração e governança de identidade (IGA) completa. Em reação a uma diretriz de segurança, muitas vezes as equipes adotam uma abordagem restrita para gerenciar os direitos do usuário ou cumprir os requisitos de separação de tarefas da organização.
A IGA vai além da visibilidade dos direitos, que geralmente é considerada como um instantâneo em qualquer momento. Em vez disso, ela adota uma abordagem holística e integrativa para seu gerenciamento. Quando desenvolvida em uma infraestrutura robusta de gerenciamento do ciclo de vida da identidade, a IGA reúne componentes essenciais da infraestrutura de gerenciamento de identidade e acesso de uma organização para garantir que somente as pessoas certas tenham acesso a informações confidenciais.
Governança e administração de identidade
O que define uma solução completa de administração e governança de identidade?
Uma solução IGA robusta se distingue por oferecer os seguintes benefícios:
- Oferece uma visão abrangente de contas e recursos - o IGA precisa manter as informações de identidade, direitos e riscos de cada recurso que está sendo gerenciado, bem como a identidade e a função das pessoas que o acessam.
- Proteja-se contra aprovações de carimbo de borracha - com foco na proteção contra aprovações não verificadas de solicitações de permissão, uma solução IGA eficaz inclui fluxos de trabalho projetados especificamente para informar os proprietários de informações e negócios, e não os administradores de TI. Para elevar o nível de inspeção da solicitação, ele precisa oferecer todas as informações relevantes sobre o solicitante e o recurso projetado para uma leitura rápida com indicadores eficazes de produtividade e risco.
- Atestado robusto - oferece relatórios precisos que confirmam a conformidade contínua em vez de apenas relatar instantâneos no tempo. Quando necessário, uma infraestrutura IGA bem projetada pode fornecer análises que confirmam o acesso real de grupos específicos de usuários. O design do relatório deve ser rápido de revisar e simples de gerar e incluir nos relatórios de atestado. Embora esse nível de atestado ofereça confiança às equipes de segurança, ele exige que a governança de acesso tenha integrações estreitas com o ciclo de vida da identidade e os componentes de gerenciamento de acesso do ambiente IGA abrangente.
Qual é o valor específico de um ambiente IGA completo em relação a outras soluções?
Embora a governança e a administração de identidade gerenciem os direitos e forneçam um atestado sólido para os auditores de segurança, ela tem o potencial de ser um componente fundamental da infraestrutura de gerenciamento de identidade e acesso de uma organização:
- O gerenciamento de direitos é o elemento fundamental da estratégia de privilégios mínimos de qualquer organização. A segurança com privilégios mínimos ajuda a proteger contra ameaças internas, além de limitar os danos quando as credenciais de alguém são comprometidas e exploradas. Quando feito corretamente, ele pode ser usado para orientar e invocar ações do ciclo de vida da identidade em vez de trabalhar independentemente dele.
- Uma das etapas da integração de recursos em uma plataforma de governança é definir seus riscos e critérios de risco. As definições adequadas de risco de recursos confidenciais fornecem informações precisas aos aprovadores e revisores. Eles também podem ser consumidos pelo serviço de risco para direcionar ações de gerenciamento de acesso adaptável. Com muita frequência, os critérios usados para controles de acesso baseados em sessão para possíveis ações de autenticação e autorização são limitados ao contexto do usuário (geolocalização, intervalo de IP, ID do dispositivo, etc.). Considerar o risco do próprio recurso oferece uma abordagem mais granular e eficaz para o acesso adaptável que pode aumentar a segurança e, ao mesmo tempo, otimizar a experiência do usuário. Ao limitar o número de vezes que um usuário é interrompido para a autenticação multifatorial, o atrito é reduzido e a experiência do usuário é otimizada.
O que a OpenText Identity and Access Management está fazendo para tornar sua solução IGA
Embora seja muito importante estabelecer uma base sólida de IGA, conforme descrito acima, o OpenText Identity and Access Management está sempre se esforçando para tornar a automação da governança mais abrangente e eficaz para ajudar os proprietários de informações a proteger seus dados. As direções de desenvolvimento de governança e administração de identidade em curto prazo dentro das infraestruturas de gerenciamento de identidade e acesso incluem:
- Além de fornecer as melhores informações possíveis em um formato que os aprovadores e revisores possam entender rapidamente, a próxima geração de IGA reúne práticas recomendadas de privilégios mínimos e políticas organizacionais para automatizar a análise de direitos. A elevação automatizada das pontuações de risco de suas informações confidenciais, bem como dos usuários que as acessam, destaca os pontos de preocupação para análise e possíveis ações de segurança.
- O cenário de automação baseado em inteligência descrito no item anterior é melhor ampliado com a análise comportamental do uso real. Esse tipo de análise pode orientar o foco em identidades e recursos específicos para reavaliar o risco que eles representam para a organização.
- Embora tradicionalmente a IGA não inclua a governança do acesso à raiz dos sistemas, é necessária uma abordagem mais formal para proteger o acesso aos dados e executáveis hospedados no servidor. Como os administradores do sistema podem potencialmente ignorar vários mecanismos de segurança, a importância de proteger os privilégios de root é óbvia. Além da capacidade de delegar e controlar diferentes níveis de administração, esses superusuários têm tanto acesso concedido que o monitoramento avançado de suas ações relacionadas ao sistema oferece informações forenses valiosas em potencial.
Um ambiente IGA bem construído não é fácil de implementar. Obter a adesão do nível executivo e dos vários proprietários de negócios pode ser um processo longo e irregular. Para atrair os proprietários das informações e integrar adequadamente seus recursos, é preciso investir, assim como manter contato com eles para verificar se há mudanças em seu ambiente que exijam atualizações. Mas o valor desse tipo de investimento em segurança rende enormes dividendos. Ele permite que as organizações sejam mais ágeis em suas operações de negócios digitais, mantendo o risco baixo.
Por que devo investir em governança e administração de identidade?
Depois de entender a natureza abrangente do IGA, a pergunta natural é se esse nível de investimento é necessário para o seu ambiente. Embora cada organização possa ter requisitos exclusivos, aqui estão algumas considerações comuns que podem orientar a profundidade e a amplitude do gerenciamento:
Embora quase todas as organizações precisem proteger suas informações financeiras e de RH, elas podem ou não ter outros tipos de dados confidenciais dignos de governança também:
- Informações sobre o cliente - esse tipo de informação varia muito. As organizações podem estar sujeitas a várias regulamentações estaduais ou federais, mesmo que estejam coletando informações de cookies ou identidades sociais para personalizar o conteúdo. Há também outros mandatos mundiais, como o Regulamento Geral de Proteção de Dados (GDPR). Os requisitos do GDPR merecem um nível de proteção IGA porque, uma vez que um perfil pessoal ou informações financeiras sejam retidos, provavelmente haverá a necessidade de segurança de privilégio mínimo. Há também uma coordenação que precisa ser feita entre os varejistas e seus provedores de serviços (PSPs) e parceiros do setor. A menos que essas operações sejam pequenas, é difícil imaginá-las cumprindo as exigências de privacidade sem uma solução madura de governança de identidade.
- A propriedade intelectual, seja na forma de informações de patentes, competências técnicas ou comerciais essenciais ou outros segredos comerciais, uma violação pode representar um sério risco para a organização. Independentemente de as organizações automatizarem ou não seus processos de direitos, é provável que seja necessária uma análise cuidadosa dos segredos valiosos antes de desenvolver uma estratégia de governança.
- Informações do paciente -a transformação digital do setor de saúde forçou os provedores a automatizar o gerenciamento de direitos e o atestado de suas informações regulamentadas. A mudança para os registros eletrônicos de saúde (EHR) e outras informações de saúde protegidas (ePHI) resultou em proteções governamentais de privacidade rigorosas, concretas e punitivas. É um setor que, em comparação com qualquer outro, sofre com as violações de maior custo. Além da perda monetária, as violações de registros de saúde prejudicam a confiança dos pacientes porque incluem suas informações mais confidenciais. Informações que abrangem tanto informações de saúde quanto financeiras podem ser usadas para realizar fraudes.
- Serviços financeiros - comooutro setor altamente regulamentado, os serviços financeiros estão sujeitos a uma série de regulamentações criadas para evitar conluio malicioso e violação de privacidade. A privacidade é necessária para proteger contra fraudes ou outros tipos de roubo. É seguro afirmar que toda instituição financeira precisa de governança automatizada e se beneficiaria muito de uma solução que envolvesse diretamente os proprietários dos dados.
FAQs sobre governança e administração de identidade
Qual é a diferença entre governança de identidade e gerenciamento de identidade?
O gerenciamento de identidade fornece acesso, enquanto a governança de identidade garante que o acesso seja apropriado, justificado e continuamente aplicado usando políticas, certificações e controles de auditoria em todo o ciclo de vida da identidade.
Como a governança de identidade ajuda na conformidade e nas auditorias?
A IGA impõe o acesso com privilégios mínimos, mantém trilhas de auditoria completas e oferece suporte a certificações contínuas, para que as organizações possam demonstrar conformidade a qualquer momento, não apenas durante as auditorias.
Por que muitos projetos de governança de identidade são interrompidos ou fracassam?
Os projetos de IGA geralmente enfrentam dificuldades devido à lentidão na integração de aplicativos, modelos de dados rígidos e processos de revisão manual. Os programas bem-sucedidos se concentram na automação, na flexibilidade e na visibilidade em tempo real das identidades e dos direitos.
A governança de identidade pode responder às mudanças de acesso em tempo real?
Sim. O IGA moderno pode detectar alterações de acesso à medida que elas ocorrem e corrigi-las automaticamente ou acionar recertificações direcionadas - reduzindo o risco entre os ciclos de revisão.
O que as organizações devem procurar em uma solução de governança de identidade?
Procure uma plataforma IGA que seja dimensionada em ambientes híbridos, se integre a sistemas complexos, ofereça suporte à governança contínua e reduza o esforço manual dos usuários de TI e de negócios.
Como a OpenText oferece governança e administração de identidade
A OpenText oferece governança e administração de identidade (IGA) como parte de uma plataforma abrangente de IAM projetada para empresas complexas e híbridas. Em vez de tratar a governança como uma camada independente, a OpenText integra o gerenciamento do ciclo de vida, a governança de acesso e os controles orientados por eventos para garantir que o acesso permaneça em conformidade à medida que os ambientes mudam.
Ciclo de vida e governança de identidade unificada
O OpenText combina o gerenciamento do ciclo de vida da identidade com a governança de acesso para garantir que os usuários recebam o acesso correto quando ingressam, mudam de função ou saem - e que o acesso permaneça apropriado ao longo do tempo.
Governança contínua e orientada por eventos
Ao contrário das revisões pontuais, o OpenText oferece suporte à governança orientada por eventos. Quando o acesso é alterado fora dos processos aprovados, o sistema pode corrigir automaticamente o problema ou acionar uma microcertificação direcionada, reduzindo o risco entre os ciclos de revisão.
Integração mais rápida de aplicativos com conectores flexíveis
O OpenText acelera as implementações de IGA com conectores com pouco ou nenhum código que se adaptam aos formatos de dados do mundo real. Isso permite que as organizações administrem mais aplicativos, sem integrações frágeis ou retrabalho constante.
Criado para ambientes híbridos e de escala empresarial
O OpenText é compatível com implantações no local, na nuvem e híbridas, o que o torna ideal para organizações com sistemas legados, ambientes regulamentados ou infraestruturas de identidade complexas.
Conformidade pronta para auditoria desde a concepção
Com a aplicação contínua de políticas, trilhas de auditoria completas e certificações favoráveis aos negócios, o OpenText ajuda as organizações a demonstrar a conformidade a qualquer momento, sem a necessidade de auditorias disruptivas.
Saiba mais sobre o OpenText Identity Governance ou a plataforma OpenText Core Identity Foundation SaaS.
