IAM – Gestão de Identidades e Acessos

1. Qual o impacto dos Ciberataques nas organizações?

Tendo em conta os dados fornecidos pelo Cyberedge Group através do “Cyberthreat Defense Report de 2017”1, o número de ciberataques que as organizações atualmente sofrem são a prova de que muitas continuam fora dos parâmetros de segurança (AIM – Access and Identity Management) adequados.

Tendo em conta a figura 1, o número de organizações que sofreram ataques bem-sucedidos tem vindo a aumentar anualmente, contrariamente às empresas que conseguem proteger-se face a uma complexidade de ciberataques cada vez maior.

A figura 2. apresenta uma estimativa do custo médio do crime cibernético em sete países, nos últimos três anos. Este estudo teve como amostra 254 empresas que foram convidadas a denunciar o que gastaram para lidar com crimes cibernéticos, durante quatro semanas consecutivas.

Deste modo, é possível concluir que os custos associados ao cibercrime são muito elevados, assim como a frequência deste tipo de ataque, que tem aumentado anualmente. Contudo, o custo médio anual do crime cibernético varia de acordo com o segmento de indústria. Na figura 3, é possível analisar essas variações, tendo em conta uma amostra de 15 setores industriais distintos.

Conforme os dados salientados na figura 3, conclui-se que as empresas de serviços financeiros e de energia têm custos anuais muito elevados.

Face a esta realidade, as organizações consideram que a adopção e implementação de soluções IAM (Identity Access Management) é um factor crucial na melhoria de segurança das  infraestruturas (local e/ou na cloud). Segundo a Forrest Research2 (2015), uma solução para Gestão de Identidades e Acessos melhora a segurança das organizações até 60% através de vários processos, nomeadamente o de revisão periódica de acessos a sistemas.

No entanto, apesar da frequência atual de ataques bem-sucedidos às organizações, de acordo com dados retirados do “Global Information Security Survey (GISS)”3 da Ernst&Young (2015), quase dois terços das organizações ainda não possuem programas bem definidos e automatizados de Gestão de Identidades e Acessos.


2. O que são sistemas de Gestão de Identidades e Acessos (IAM)?

SPA IDM® (Smart Profiling Application) é a solução da PDMFC para a Gestão de Identidades (IDM – IDentity Management).

A nossa solução permite gerir de forma simplificada e automática todo o ciclo de vida de identidades, independentemente do vínculo contratual (ex: colaboradores, fornecedores, parceiros, formandos, clientes, etc.), assim como os acessos às diversas aplicações (internas ou na cloud) de forma centralizada.

O SPA IDM® pode ser implementado on-premises, híbrido ou na cloud, suportado por uma arquitetura completamente escalável que permite às empresas a gestão automatizada de acessos a sistemas, a gestão de perfis funcionais, uma melhor adoção de regras de segurança e a simplificação de processos de auditoria e compliance.

A nossa solução inovadora permite a integração de vários ambientes heterogéneos de forma completamente autónoma pelos nossos clientes, assim como a configuração de processos, políticas, alertas e dashboards para acrescentar valor às organizações, de forma a que estas consigam focar-se no seu negócio.

3. Quais as vantagens do SPA IDM® para as organizações?

A necessidade de implementação de um sistema robusto para a Gestão de Identidades (SPA IDM®) faz parte dos objetivos dos departamentos de IT dentro das empresas. Estas soluções permitem aumentar a produtividade dos colaboradores, enquanto garantem e gerem todas as políticas de segurança que tenham que ser cumpridas.

3.1. Gestão de identidades distribuída

As empresas procuram formas inovadoras de recrutamento e retenção de talentos, removendo barreiras geográficas e oferecendo horários flexíveis de trabalho. O trabalho remoto permite uma melhor produtividade e motivação, enquanto reduz significativamente as despesas, tanto para a empresa como para os seus colaboradores. Todavia, com os colaboradores, parceiros e fornecedores distribuídos por todo o mundo, os departamentos de IT têm que endereçar novos desafios para que todos estes tenham acessos aos diversos sistemas sem comprometer a segurança.

3.2. Gestão de acessos a sistemas distribuídos (on-premises, na cloud, entre outros)

Por outro lado, as novas tecnologias e tendências obrigam as organizações a adaptarem as suas políticas e procedimentos para passarem a gerir, por exemplo, aplicações na cloud e onpremises, pelo que o SPA IDM® também está em constante desenvolvimento, permitindo seguir estas tendências e suportar estes ambientes distribuídos e cada vez mais complexos.

3.3. Single-Sign-on (suporte SAML)

A autenticação e autorização das diversas identidades nos sistemas à disposição nas organizações é igualmente um fator muito importante a ter em conta, de forma a garantir que as empresas implementam processos e políticas de segurança adequadas e, que ao mesmo tempo, possam ter um impacto positivo na produtividade dos seus colaboradores (nomeadamente técnicos). Sendo o principal objetivo das empresas acrescentar valor aos seus clientes e colaboradores, o SPA IDM® é um fator essencial para a sua reputação a nível de segurança, permitindo que as várias aplicações possam usar o mesmo sistema de autenticação centralizado que, posteriormente, pode usar várias fontes (ex: Radius, Google, LinkedIn, etc.).

3.4. Gestão de acessos automática e funcional

Sem uma gestão centralizada de acessos, os departamentos de IT têm que operar de forma manual. Quanto mais tempo um colaborador estiver à espera de acessos às aplicações necessárias para executar as suas tarefas, menos produtivo é esse mesmo colaborador. Pelo contrário, o esquecimento ou falha na remoção de acessos de colegas que saíram da empresa ou foram transferidos de departamento, pode ter enormes consequências a nível de segurança. Para mitigar estes riscos, os departamentos de IT devem apressar-se no tratamento dos pedidos de cancelamento dos acessos.

Infelizmente, na maioria das empresas, estas tarefas significam que os colegas de IT têm que analisar individualmente cada conta de utilizador ativa e validar se a lista de acessos a sistemas está de acordo com as necessidades. Só por si, essas tarefas já se traduzem numa imensa carga de trabalho. Se, para além disto, juntarmos ainda o fator erro humano na atribuição destes acessos, podemos facilmente concluir que não se consegue fazer uma Gestão de Acessos de forma manual e/ou descentralizada.

A solução passa, então, pela implementação do SPA IDM® para gerir a atribuição e remoção de acessos a sistemas de forma centralizada e automatizada, enquanto suporta igualmente a definição de pacotes de acessos, dependendo da função dos colaboradores na empresa, agindo em conformidade (removendo e atribuindo novos acessos) sempre que existam alterações funcionais e/ou outras alterações contratuais.

3.5. Normas de compliance e auditorias

A aplicação de normas e auditorias também contribui para uma aposta no SPA IDM®. Cada vez mais empresas requerem que os seus sistemas e/ou processos respeitem normas como Sarbanes-Oxley, ISO 2001, HITECH, entre outras, cabendo aos departamentos de IT assegurar que estes processos são cumpridos e implementados, tal como classificar acessos de risco, extrair e/ou acompanhar processos de aprovação de acessos a sistemas, obter listas dos diferentes acessos de cada um, entre outros.


4. Quais são os benefícios da implementação de sistemas de Gestão de Identidades e Acessos (IAM)?

Segurança, Eficiência, Simplicidade, Confiança e Produtividade. Embora os benefícios da implementação de um sistema de IDM robusto como o SPA IDM® sejam claros, a complexidade da sua implementação nas várias empresas pode traduzir-se num enorme desafio.

Por outro lado, quando as empresas analisam os custos de potenciais falhas de segurança ou estudam as ineficiências dos seus processos descentralizados e manuais, facilmente se apercebem que estes custos de perda de informação ou reputação são largamente superiores.

O modelo tradicional de segurança está a sofrer muitas alterações motivadas pela crescente utilização de recursos (humanos e aplicacionais ou de sistema) distribuídos. Um sistema SPA IDM® permite gerir todos estes desafios de forma centralizada, acrescentando valor à organização e aumentado a produtividade dos seus colaboradores, parceiros e fornecedores, enquanto cumpre todas as normas e/ou procedimentos necessários ao bom funcionamento da empresa, permitindo melhorar a sua reputação a nível de boas práticas de segurança.

Para concluir, as empresas devem permitir aos seus colaboradores, fornecedores e parceiros a utilização de várias ferramentas (independentemente de estarem na cloud ou on-premises), com uma autenticação centralizada (SSO) e/ou de multifator, sem nunca comprometer os níveis de segurança a que são obrigadas. A solução SPA IDM® permite coletar informação de identidade, localização, dispositivo, entre outros, e gerir acessos a sistemas para estas identidades (incluindo convidados) de forma simples, eficaz e eficiente.


Referências

Relatório de Defesa da Cyberthreat, criado pelo Cyberedge Group, a partir do estudo assente na revisão abrangente das perceções de 1.100 profissionais de segurança de IT que representam 15 países e 19 indústrias. Este relatório fornece uma visão geográfica mais abrangente das perceções de segurança de IT nas organizações ? https://goo.gl/qQMy7N
Empresa americana de pesquisa de mercado que fornece aconselhamento sobre o impacto existente e potencial da tecnologia     
 Inquérito Global à Segurança da Informação da Ernst&Young, que fornece informações de 1755 participantes acerca da investigação sobre os problemas mais importantes da cibersegurança, que os negócios enfrentam hoje ? https://goo.gl/4bLjRo