reduzindo os custos do gerenciamento de segurança de TI

Transcrição

1 WHITE PAPER Reduzindo os custos do gerenciamento de segurança de TI fevereiro de 2012 reduzindo os custos do gerenciamento de segurança de TI Sumner Blount Gerenciamento de Segurança da CA Technologies we can

2 sumário resumo executivo SEÇÃO 1 O desafio do gerenciamento de segurança de TI 04 SEÇÃO 2 Atualizador de tecnologia: gerenciamento de identidades e acesso 05 SEÇÃO 3 Aprimorando as eficiências operacionais 07 Reduzindo custos Melhorando a produtividade Prevenção de custos SEÇÃO 4 Resumo de melhorias de eficiências 15 SEÇÃO 5 Novos modelos para melhorar a eficiência 16 SEÇÃO 6 Conclusões 17 SEÇÃO 7 Referências 18 SEÇÃO 8 Sobre o autor 18

3 resumo executivo Desafio Atualmente, os gerentes de TI enfrentam uma vertiginosa multiplicidade de pressões. Por exemplo, eles precisam garantir um ambiente seguro para proteger os ativos e a reputação da empresa, mas, ao mesmo tempo, garantir que a empresa esteja em conformidade com as exigências das normas. Mas, pior ainda, eles precisam fazer isso a um custo mais baixo do que no passado. A pressão para fazer mais com menos é forte e provavelmente não vai mudar. Essa pressão para aumentar a eficiência e gerenciar custos existe ao enfrentar demandas crescentes para mais e melhores aplicativos e serviços para a comunidade de usuários (internos e externos) como um todo. Os requisitos conflitantes de reduzir custos e aumentar serviços apresenta enormes desafios. Oportunidade A melhoria de eficiências e a redução de custos é um grande desafio, mas também pode ser uma força orientadora por trás da melhoria dos processos de segurança e de tornar sua organização de TI mais ágil. Este documento discute maneiras de simplificar o gerenciamento da segurança de TI para melhorar a eficiência operacional geral da empresa. Uma solução de IAM (Gerenciamento de identidades e acesso) pode não apenas ajudar a melhorar eficiências, mas também a aprimorar a segurança, reduzir riscos, simplificar a conformidade e habilitar novas oportunidades de negócios. O foco deste documento está nas eficiências e nas reduções de custos de TI que isso pode fornecer. Benefícios Práticas e soluções de IAM sólidas podem, além de reduzir significativamente os custos da administração de segurança e aumentar a produtividade, fornecer uma base para o gerenciamento de identidades de usuários, acesso e uso de informações por meio de: Automação dos processos de TI para reduzir os custos gerais de TI Resolução de exposições do sistema relacionadas a identidades Aplicação de diretivas de acesso e de uso de informações em toda a empresa Simplificação dos programas e auditorias de conformidade Habilitação de implantação mais fácil de novos serviços online para crescimento dos negócios 03

4 SEÇÃO 1: O desafio do gerenciamento de segurança de TI Atualmente, os gerentes de segurança de TI enfrentam um grande número de pressões. Eles precisam manter não apenas um ambiente seguro para proteger os ativos da empresa e a reputação do setor, mas são solicitados a fazer isso a um custo mais baixo do que no passado. A pressão sobre a segurança de TI para fazer mais com menos é forte e é improvável que mude significativamente. Essa pressão para aumentar a eficiência da TI existe ao enfrentar demandas crescentes de mais e melhores aplicativos e serviços para uma ampla população de usuários. As demandas por mais recursos e serviços surgem de várias tendências emergentes. Entre as tendências mais importantes, estão: Necessidade maior de conformidade com as normas As cargas de conformidade com as leis e normas atuais, como a Sarbanes-Oxley, a PCI DSS, a Basel II e a HIPAA, normalmente recaem pesadamente sobre o grupo de segurança de TI. Normalmente, a criação de controles efetivos de segurança interna para conformidade coloca enormes pressões nesse grupo. Mais atividades relativas a fusões e aquisições À medida que as empresas crescem por meio de aquisições ou fusões, a complexidade do desafio de segurança de TI aumenta a cada aquisição. Populações inteiras de novos usuários e aplicativos, bem como muitos sistemas herdados heterogêneos, devem ser integrados a uma infraestrutura de TI existente. A complexidade da infraestrutura resultante pode aumentar significativamente. Aumento constante das populações de usuários O gerenciamento do número cada vez maior de usuários, de seus perfis e de seus direitos de acesso a aplicativos protegidos coloca pressão sobre os orçamentos e aumenta a necessidade de uma maneira efetiva de melhorar a efetividade e a eficiência de TI e de outras organizações associadas (como o Suporte técnico). Tecnologias emergentes alteram a paisagem de segurança de TI Das muitas novas tecnologias e modelos de serviço que apareceram recentemente, a virtualização e a computação na nuvem parecem ter o maior impacto potencial sobre as organizações de segurança de TI. Curiosamente, a dinâmica dessas tecnologias tem com base, em grande parte, os benefícios da eficiência operacional e de economias de custos que podem fornecer potencialmente. Portanto, os gerentes de segurança de TI são desafiados para incorporar esses modelos em sua estratégia para obter esses benefícios, e, ao mesmo tempo, não sacrificar os recursos que sua infraestrutura atual fornece. Esses fatores, entre outros, estão direcionando as organizações de segurança de TI para adotar soluções que podem simplificar o gerenciamento de suas operações de segurança. Este documento discute maneiras de simplificar o gerenciamento da segurança de TI para melhorar a eficiência operacional geral da empresa. O foco deste documento está nos benefícios de eficiência que podem ser obtidos com o uso de uma solução de IAM (Gerenciamento de identidades de acesso). 04

5 Seção 2: Atualizador de tecnologia: gerenciamento de identidades e acesso Em quase todas as empresas, as identidades de usuários e seus privilégios de acesso são um elemento central da estratégia de e-business. Por trás dessas identidades estão os funcionários, contratados, parceiros, clientes e outras pessoas que conduzem todos os aspectos das operações. O IAM é o conjunto de processos e tecnologias que gerenciam as identidades de usuários, controlam seu acesso a sistemas, aplicativos e informações essenciais e aplicam diretivas que definem o que eles podem fazer com as informações que obtêm. O principal objetivo do IAM é fornecer ao grupo de segurança de TI (e a outros) as respostas a algumas perguntas muito básicas. Essas perguntas incluem: Quem tem acesso a o quê? O que eles fizeram? Quando eles fizeram? Como podemos provar? Ao responder a essas perguntas de maneira eficiente, você pode ajudar a proteger ativos vitais de negócios, simplificar as operações dos negócios e a conformidade com as leis. Para fazer isso, vamos examinar os três problemas principais que devem ser resolvidos ao planejar uma estratégia de gerenciamento de identidades e acesso, conforme representado no gráfico a seguir: Figura A. 05

6 Uma abordagem efetiva e unificada de segurança ajudará você a: Controlar identidades Gerenciar identidades e funções de usuários, provisionar os usuários para acesso a recursos, facilitar a conformidade com diretivas de identidades e acesso e gerar relatórios sobre atividades de usuários e de conformidade. Controlar acesso Aplicar diretivas relacionadas ao acesso a aplicativos Web, sistemas, serviços de sistemas e informações importantes. Além disso, fornecer o gerenciamento de usuários com privilégios para evitar ações inadequadas. Controlar informações Detectar, classificar e impedir vazamento de informações confidenciais corporativas e de clientes. Muitos sistemas de IAM tradicionais tentam solucionar os problemas apenas das primeiras duas colunas acima - controlar identidades de usuários e seu acesso. Mas isso permite que os usuários autorizados acessem determinadas informações para realizar ações não autorizadas, como a transmissão dessas informações para fora da empresa, o armazenamento em um dispositivo de armazenamento pessoal e outras. Como resultado, uma solução de IAM abrangente deve controlar todas essas áreas - identidades de usuários, acesso e uso de informações. Gerenciamento de identidades e acesso abrangente Antes de examinarmos como o IAM pode fornecer eficiências de TI e reduzir custos, vamos examinar uma solução de IAM abrangente para que possamos identificar as tecnologias que podem contribuir para essas eficiências: Figura B. Gerenciamento de identidades e acesso 06

7 A camada superior representa recursos relacionados à governança de identidades, ao provisionamento e ao gerenciamento de funções. A governança de identidades oferece suporte a controles para evitar violações de diretivas corporativas e normativas (como a separação de tarefas) e automatiza o processo de validação do acesso de usuários para reduzir os riscos de segurança. O provisionamento permite a automação de processos para inclusão, modificação e exclusão de usuários e do acesso associado. O gerenciamento de funções representa eficientemente os usuários e o acesso necessário (inclusive funções, diretivas, direitos de acesso, etc.) como uma base de processos de identidade unificada. A próxima camada inclui tecnologias que realmente aplicam diretivas relacionadas ao acesso e ao uso de recursos. O Gerenciamento de acesso à Web fornece uma abordagem centralizada à aplicação de diretivas que determina quem pode acessar seus aplicativos online essenciais e as condições sob as quais esse acesso é permitido. A Autenticação avançada fornece autenticação forte de usuários com base em riscos e recursos para detectar e impedir fraudes online. A Federação fornece acesso seguro a aplicativos e dados de parceiros externos para habilitar ecossistemas de parceiros que dão suporte ao crescimento dos negócios. O Gerenciamento de usuários com privilégios fornece controle granular sobre o que seus administradores podem fazer em seus principais sistemas. Ele protege sistemas físicos e virtuais e acompanha, registra em log e gera relatórios com segurança de todas as atividades de usuários com privilégios. A Segurança da virtualização ajuda a proteger seus sistemas e aplicativos implantados em um ambiente virtual contra ataques ou mau uso, externamente ou em atividades entre VMs. Finalmente, a Prevenção contra a perda de dados fornece a classificação de suas informações confidenciais e a aplicação de suas diretivas de uso de informações, de forma a ajudar a prevenir o uso inadequado ou a divulgação dessas informações críticas. A camada inferior centraliza a coleta, a análise e a geração de relatórios de logs de atividades de usuários. A centralização desse processo ajuda não apenas a reduzir os custos da coleta e análise de informações dos logs, ela simplifica (e, portanto, provavelmente reduz os custos) a geração de relatórios e auditorias de conformidade. Em resumo, as práticas e os sistemas de gerenciamento de identidades e acesso fornecem uma base segura para controlar as identidades dos usuários e o respectivo acesso a sistemas, aplicativos e informações, bem como o uso de informações confidenciais. Mas elas também ajudam a reduzir os custos de segurança de TI por meio de automação de processos de segurança, eliminação de atividades manuais e desnecessárias e maior produtividade de todos os usuários que interagem com esses processos. Vamos examinar maneiras específicas de aumentar a eficiência por meio do uso de uma plataforma de IAM. Seção 3: Aprimorando as eficiências operacionais O desafio de fazer mais com menos tem dois componentes importantes, cada um dos quais deve fazer parte de qualquer esforço para aumentar a eficiência operacional geral da infraestrutura de TI. Fazer mais significa realmente produzir mais resultados tangíveis aumentando a produtividade de cada funcionário. A produtividade foi enfraquecida em muitos casos por processos internos ineficientes, procedimentos manuais excessivos e a necessidade de lidar com problemas não relacionados à função de trabalho principal do usuário. com menos quer dizer reduzir os custos gerais do gerenciamento de segurança de TI. Isso pode ser feito com a eliminação de processos desnecessários, tornando os usuários mais autossuficientes e com a automação de várias tarefas administrativas de TI, que agora exigem grandes quantidades de tempo para serem executadas manualmente. 07

8 Além da redução de custos e do aumento da produtividade, também há os custos que podem conceitualmente ocorrer por causa de eventos improváveis, como uma violação de segurança. Vamos examinar como o gerenciamento de identidades e acesso pode ajudar em todas essas áreas: Redução de custos Aumento da produtividade Prevenção de custos Reduções de custos em segurança de TI Economias significativas de custos são possíveis nas áreas de controle de identidades de usuários, controle de acesso de usuários e geração de relatórios de atividades de usuários e de conformidade. Controlando identidades Há eficiências a serem obtidas no provisionamento de usuários, na certificação de direitos, no autoatendimento de usuários, no controle centralizado de identidades de usuários e no gerenciamento de funções. Provisionamento e desprovisionamento de usuários Ineficiência Uma das tarefas que mais consome tempo dos administradores envolve a concessão de acesso a sistemas ou aplicativos para novos usuários. Se, por exemplo, um usuário precisar acessar aplicativos ou dados em três sistemas diferentes, a criação de contas ou de direitos de acesso poderá ser demorada porque pode envolver formulários manuais e ações de três administradores diferentes. Isso cria várias ineficiências: Processos de aprovação lentos para habilitar a criação de contas e direitos de acesso Esforço manual de vários administradores para criar as contas em diferentes sistemas Produtividade reduzida do indivíduo até que ele seja totalmente provisionado Além disso, esse problema é contínuo em todo o ciclo de vida de cada usuário. Normalmente, à medida que as funções, projetos e responsabilidades de cada usuário são alterados, eles recebem novos direitos, e novas contas são criadas nos sistemas que eles precisam acessar. Quando as identidades e os direitos não são gerenciados centralmente, essas ações precisam de esforço separado em vários sistemas, o que gera custos altos e produtividade reduzida. O problema pode ser resumido desta maneira: o gerenciamento manual (criação, atualização, exclusão) de identidades, contas e direitos de usuários cria ineficiências significativas e produtividade reduzida. Solução O provisionamento automatizado pode fornecer economias de custos significativas no gerenciamento de segurança quando da criação inicial de identidades de usuários. Uma seção posterior considerará o processo contínuo de gerenciamento dessas entidades e direitos. Uma solução de gerenciamento automatizada permite que contas e direitos sejam criados centralmente sem intervenção em cada sistema afetado. Além disso, o processo de aprovação pode ser orientado por fluxo de trabalho automatizado, não apenas acelerando o processo, mas também economizando tempo importante de gerenciamento. A remoção dessas contas e privilégios também pode ser automatizada, o que fornece não apenas benefícios de eficiência, mas, o mais importante, ajuda a reduzir um risco significativo do acesso inadequado ao sistema por funcionários demitidos recentemente. 08

9 Economias potenciais As economias potenciais do provisionamento automatizado são atraentes e dependem: Do número e da taxa de entrada de novos usuários Do número de contas e aplicativos, que normalmente exigem provisionamento de acesso Do tempo necessário para conceder e criar acesso para cada uma dessas contas ou aplicativos Do tempo gasto para solicitar, acompanhar e gerenciar o processo de aprovação da gerência para solicitações de acesso Do custo por hora da equipe de administração de segurança Uma fórmula que pode ser usada para aproximar a economia do provisionamento automatizado é: Economia prevista x [Nº de novos usuários x Tempo de provisionamento + Nº de usuários excluídos x Tempo de desprovisionamento] x Salário do administrador de TI onde Economia prevista é o percentual da economia da automação do processo de provisionamento. Ela pode ser aproximada com a simples análise de algumas solicitações de provisionamento de exemplo e o acompanhamento da quantidade de tempo gasto em cada solicitação e a estimativa de quanto de cada atividade pode ser eliminada por meio da automação. Que tipo de impacto pode ser esperado ao adotar uma solução de provisionamento? A maioria das empresas deve esperar ver o declínio dos seguintes eventos, possivelmente de maneira significativa: Tempo médio para criar ou atualizar um perfil de usuário Tempo médio para processar uma solicitação de acesso Tempo médio para obter aprovação para essas solicitações quando necessário Proporção das solicitações de acesso que se desviam do processo estabelecido para solicitações de acesso Proporção das solicitações de acesso que são exceções às definições de funções de usuários estabelecidas Quantidade de tempo gasto para corrigir discrepâncias de direitos de acesso entre sistemas e aplicativos A Forrester Consulting conduziu recentemente uma pesquisa e uma análise comissionadas dos resultados obtidos por vários clientes do produto CA IdentityMinder TM, que fornece gerenciamento de identidades e provisionamento automatizado. 1 Dessa análise profunda, eles concluíram que o retorno sobre o investimento da implantação do produto foi de 294%, com um período de retorno de investimento (ponto de equilíbrio) de 0,8 ano. Esse relatório fornece a comprovação dos fortes benefícios econômicos desse tipo de solução. Certificação de direitos Ineficiência Demonstrar conformidade com requisitos internos e externos pode ser um exercício caro e repetitivo para muitas organizações. Uma maneira de atacar esse problema é uma certificação periódica dos direitos de cada usuário por seus gerentes. Normalmente, isso é feito por meio de e de planilhas, e a abordagem consome muito tempo (e está sujeita a erros). Solução Uma abordagem efetiva para esse desafio é automatizar o processo de certificação de direitos. Os gerentes recebem uma lista de usuários e seus direitos e podem certificar se eles são válidos com um simples clique nos respectivos botões Aprovar e Rejeitar. Os resultados são então combinados com os de todos os outros indivíduos e um relatório completo é disponibilizado mostrando o estado 09

10 da certificação de toda a população de usuários. As exceções (direitos incorretos) também são identificadas rapidamente, e um fluxo de trabalho automatizado pode ser criado para acompanhar o processo de correção. Economias potenciais As economias de tempo de gerenciamento fornecidas pela certificação de direitos é uma função dos seguintes parâmetros: O número de gerentes que executam certificações O número de certificações por ano (por gerente) A taxa de pagamento horária (carga total) desses gerentes A quantidade de tempo economizada por um processo automatizado sobre um processo manual (expressa como uma porcentagem) Multiplique esses valores e você terá uma estimativa razoável das economias que podem ser esperadas. Economias adicionais podem ser esperadas da equipe de auditoria, porque essa equipe normalmente é quem conduz o processo demorado de certificação manual. Dependendo de quanto o processo é manual, as economias da equipe de auditoria obtidas com a eficiência melhorada também poderão ser significativas. Autoatendimento de usuários Ineficiência Muitas organizações exigem essencialmente que seus usuários entrem em contato com o Suporte técnico para executar operações básicas em seus perfis que, em teoria, os próprios usuários podem executar. A redefinição de senhas é o exemplo prototípico dessa ineficiência. Vários documentos de analistas estimaram que entre 25 e 35% das chamadas ao Suporte técnico são relacionadas a problemas de redefinição de senhas, e que cada uma dessas chamadas custa entre US$ 20 e US$ 25. Em uma grande população de usuários, o custo do Suporte técnico para operações que realmente não exigem experiência técnica é alto. Solução O autoatendimento de usuários, inclusive a redefinição de senhas, elimina essencialmente esse custo recorrente. O autogerenciamento de senhas permite que os usuários gerenciem determinados atributos dentro do perfil de sua conta, liberando recursos de suporte para focalizar tarefas mais importantes. Isso reduz custos e melhora a produtividade dos usuários porque eles não precisam esperar para que essas alterações sejam feitas. Economias potenciais Com o uso das estimativas acima, as economias para uma organização de funcionários poderão ser de cerca de US$ por ano. Uma estimativa razoável pode ser obtida depois de medir a porcentagem de chamadas ao Suporte técnico relacionadas à redefinição de senhas ou outras operações que podem ser executadas pelo usuário, bem como o total de custos de suporte do Suporte técnico. Controle centralizado de usuários, funções e diretivas Ineficiência Muitas organizações gerenciam identidades de usuários em informações de usuários em silos espalhadas entre diferentes sistemas e contas. Isso dificulta muito a determinação de onde essas informações residem, bem como a confirmação de que esses direitos são consistentes entre sistemas e aplicativos. E direitos inconsistentes não são apenas um problema de ineficiência, eles podem levar a brechas de segurança, a violações da separação de direitos e a falhas em auditorias de conformidade. Essa situação é exacerbada em ambientes altamente heterogêneos, consistindo em sistemas UNIX e Windows, máquinas distribuídas e de mainframe e assim por diante. E, conforme aumenta a adoção da nuvem, as informações de identidades distribuídas se tornam um desafio ainda maior. 10

11 Solução O gerenciamento centralizado de identidades agrega e sincroniza informações entre vários silos de identidades para gerenciar atributos de usuários, tarefas de identidades e funções, de acordo com os controles centrais de segurança. Embora cada situação seja exclusiva, a habilidade de controlar essas informações centralmente deve resultar em eficiências administrativas melhoradas. A ação direta do administrador não é mais necessária em todos os sistema afetados. As informações e os direitos podem ser controlados centralmente, e essas alterações são automaticamente propagadas para os sistemas afetados, provavelmente, economizando quantidades significativas de tempo e de custo do administrador de TI. Economias potenciais As economias fornecidas pelo gerenciamento centralizado de identidades durante todo o ciclo de vida de cada usuário (depois da criação inicial) podem ser estimadas a partir do: Número esperado de atualizações por usuário (por ano) Tempo para executar uma atualização média Número de locais de armazenamento de identidades que exigem alteração Custo por hora da equipe de administração de segurança Gerenciamento de funções Ineficiência As funções são atribuídas para reduzir o custo de gerenciamento de identidades e do acesso associado por meio do fornecimento de uma abstração simplificada de quem precisa de acesso a o quê. Por exemplo, o acesso necessário por uma organização de pessoas pode ser simplificado por meio, digamos, de 700 funções representativas. O design de um modelo de função de usuário pode ser um dos aspectos mais desafiantes e caros de um projeto de gerenciamento de identidades. Se não for feito corretamente, o processo resulta em grandes números de funções, muitas das quais se sobrepõem e não estão claramente relacionadas às responsabilidades organizacionais reais. À medida que seu modelo de função perde o controle, seu gerenciamento se torna difícil e cada vez mais caro. A primeira etapa para criar um modelo de função efetivo é identificar padrões de acesso entre os direitos existentes em sua organização. A abordagem tradicional era entrevistar grandes quantidades de pessoas, determinar quais direitos elas tinham e tentar determinar um conjunto de funções básico a partir dessa enorme quantidade de informações (normalmente também exigindo grandes quantidades de consultores caros). Solução Eficiências significativas podem ser obtidas a partir da automação do processo de identificar padrões de acesso entre a população de usuários existente. Uma solução de mineração e gerenciamento de funções (o CA GovernanceMinder) TM ) pode analisar os direitos de toda a sua base de usuários e (com base em limites específicos que você define) identificar as funções potenciais existentes em seu ambiente. Com o exame rápido dos padrões de acesso de várias perspectivas, e com a facilitação do processo de combinação de funções em um modelo consolidado e eficiente, ele pode ajudá-lo a obter uma representação precisa de sua organização sem custos exorbitantes. Considerar o tamanho do conjunto de funções e a quantidade de sobreposições em muitas organizações grandes pode ser uma economia significativa. Economias potenciais As economias fornecidas pelo gerenciamento de funções são muito difíceis de quantificar numericamente. Mas o uso efetivo de funções ajuda a reduzir o esforço administrativo porque funciona com o provisionamento para automatizar a criação/remoção de contas e direitos. Isso também permite que alterações (por exemplo, remoção de direitos) sejam feitas mais facilmente em grandes populações de usuários, o que simplifica a administração. Finalmente, as funções facilitam a 11

12 confirmação de que os usuários não acumulem privilégios excessivos, o que simplifica a administração e reduz os riscos. Portanto, uma estimativa aproximada das economias pode ser obtida com base no número de usuários e funções, e em uma estimativa da proporção das ações administrativas que são feitas em grupos de usuários versus ações que são feitas em uma única identidade individual. Controlando o acesso dos usuários Ineficiência Quando os direitos de acesso são aplicados dentro de cada aplicativo, pode haver um custo bastante significativo em termos de desenvolvimento e manutenção do aplicativo. O desenvolvimento desses silos de segurança, geralmente, exige muito tempo de desenvolvimento e despesas, com frequência, simplesmente para implementar módulos de segurança semelhantes ou idênticos em vários aplicativos. Esse processo de reinventar a roda é inerentemente muito ineficiente. O mais importante é que o gerenciamento de segurança em vários silos de aplicativos pode ser uma carga administrativa significativa para os administradores de TI. Algumas vezes, uma simples alteração de função de usuário fará com que vários sistemas e aplicativos sejam atualizados, simplesmente para conceder ou remover direitos daquele usuário. Finalmente, a falta de gerenciamento centralizado de acesso torna a implantação de novos serviços e aplicativos de negócios um processo caro. Isso pode, além de aumentar o custo, limitar muito a agilidade dos negócios, o que dificulta responder oportunamente a eventos competitivos ou de mercado. Solução Os benefícios econômicos do gerenciamento centralizado de acesso à Web são significativos. Os custos de desenvolvimento são reduzidos porque o desenvolvimento de aplicativos se torna mais simples depois que você externaliza o processamento da segurança. Os custos da administração de TI são reduzidos porque menos administradores são necessários para gerenciar a segurança entre sistemas e aplicativos. E, finalmente, a entrega de serviço de aplicativos mais oportuna e aprimorada leva a eficiências maiores e a um uso melhor dos recursos de TI. Economias potenciais As economias potenciais são muito específicas a cada ambiente. Para o desenvolvimento de aplicativos, isso depende da quantidade de código de aplicação de acesso, que normalmente está dentro de cada aplicativo, e do número de aplicativos. Outras eficiências dependem do nível de esforço necessário para gerenciar a segurança em silos em vários sistemas. Relatórios de atividades de usuários e de conformidade Ineficiência O número de normas e exigências do setor que geram requisitos de conformidade continua a crescer, aumentando a carga de custo e de tempo das organizações atuais. Muitas dessas normas e legislações exigem a proteção das informações. As organizações agora têm uma obrigação legal de proteger informações de identificação pessoal e outros dados confidenciais e precisam comprovar que seus controles de segurança são adequados e funcionam efetivamente. Os logs de atividades de usuários fornecem evidência essencial para provar a conformidade com diretivas e regulamentações. Sem os logs, é difícil, se não impossível, responder a perguntas como Esses dados financeiros foram alterados sem a autorização adequada? Houve alguma divulgação não autorizada desses dados de saúde? O acesso a dados de titulares de cartão é limitado apenas a quem tem uma necessidade de negócios? Portanto, uma área essencial, mas desafiante, é a análise e os relatórios de atividades de usuários. Os relatórios e a investigação do que os usuários fazem com seu acesso, bem como a identificação de fraquezas de controles ao longo do tempo podem provocar uma drenagem enorme de recursos. A análise manual leva a falhas na segurança, uma vez que é quase impossível identificar o desenvolvimento de problemas de segurança ou deficiências de controle sem acesso instantâneo 12

13 a dados históricos, tendências de relatórios e visibilidade geral das atividades de usuários em toda a área de TI. Outra origem importante de ineficiência é que essa sobrecarga de informações dificulta e atrasa muito as auditorias de conformidade e segurança. Se você não puder provar facilmente que seus sistemas estão seguros e em conformidade, essas auditorias periódicas serão provavelmente muito caras. Solução As organizações precisam de ferramentas automatizadas que possam reduzir a quantidade esmagadora de dados em relatórios e gráficos com vários níveis de detalhes, que não são úteis apenas para os diferentes departamentos e interessados, mas também satisfatórios para os auditores. Eles precisam agilizar a investigação de atividades, descobrir o que aconteceu brevemente e reduzir drasticamente os ciclos de análise de logs diários. A habilidade de entregar essa eficiência é largamente baseada na automação e em relatórios interativos e fáceis de usar e na facilidade da investigação. De grande importância, a habilidade de fornecer relatórios de atividades de usuários e de conformidade predefinidos que já sejam mapeados para várias estruturas de normas e de controles é vital para gerar um tempo rápido para a valorização. Ferramentas virtuais de análise de logs permitem pesquisa rápida de atividades de acesso, enquanto a análise de detalhamento acelera a investigação forense do que os usuários fizeram nas últimas semanas, meses e assim por diante. Economias potenciais É impossível criar uma análise de redução de custo específica que funcione em cada ambiente de TI. No entanto, é razoável concluir que uma solução abrangente, conforme descrita acima, torna os relatórios de atividades de usuários e de conformidade factíveis, o que, por si só, é um benefício importante. Mas para obter uma estimativa aproximada das economias, é possível capturar a quantidade de tempo do administrador que é gasta em coleta, análise, investigação e relatórios de atividades de usuários, bem como o tempo gasto para oferecer suporte à retenção de logs e processos de arquivamento. A maior parte desse tempo pode ser muito reduzida por meio de uma solução automatizada. As economias para auditorias de segurança e de conformidade podem ser estimadas com a captura de todo o tempo gasto em preparação para auditorias em um determinado período de tempo. Muito do tempo gasto com a coleta de informações dispersas e a criação de relatórios no formato exigido pelos auditores, com a identificação de violações de diretivas ou de controles e com o armazenamento de logs por períodos de tempo mais longos, conforme exigido pelas normas, também pode ser significativamente reduzido. Em resumo, a área de relatórios de atividades de usuários e de conformidade (por meio do gerenciamento centralizado de logs) é uma área perfeita para fornecer melhorias significativas na eficiência operacional. 13

14 Produtividade melhorada Junto com as reduções de custo explícitas descritas acima, uma solução de IAM também pode ter um impacto importante na produtividade dos usuários. Isso ocorre porque muitos processos de segurança existentes são manuais e demorados e drenam a produtividade dos usuários finais e dos gerentes. Algumas das origens importantes de ganhos de produtividade que podem ser obtidas do IAM incluem: Esperas para obter acesso a contas e aplicativos necessários Normalmente, demora dias e, algumas vezes, mais de uma semana para que novos usuários se tornem totalmente produtivos com todas as suas contas e acessos. Durante esse tempo, eles são na melhor das hipóteses parcialmente produtivos, o que resulta em desperdício de despesas e frustração. A perda de produtividade dos usuários enquanto esperam que todas as suas contas e direitos sejam criados pode ser significativa. Como um exemplo simples, suponha: uma espera de 40 horas para a criação de contas e direitos de acesso a recursos salário de US$ 31,25 por hora do funcionário (equivalente a um salário anual de US$ 65 K) A perda de produtividade resultante: US$ para cada novo funcionário contratado, com perdas um pouco menores se eles forem parcialmente provisionados. Impacto do gerenciamento de processos de aprovação manuais Normalmente, os gerentes precisam aprovar solicitações de contas e de acesso manualmente para seus usuários. Sem um fluxo de trabalho de aprovação automatizado, esse processo também leva tempo e afasta os gerentes de atividades mais importantes. Esse cálculo pode ser aproximado da seguinte maneira: [Economias esperadas (%) x nº de aprovações de acesso por ano x salário anual do gerente] em que Economias esperadas é a redução do tempo necessário para processar cada solicitação. Logon único em aplicativos Um componente principal do IAM é o logon único entre aplicativos. Esse recurso obviamente reduz o tempo gasto em logon em aplicativos para cada usuário e também reduz os custos do Suporte técnico de TI devido a perda ou esquecimento de senhas. Autoatendimento de senhas Além das economias de custos diretas do Suporte técnico descritas acima, as senhas perdidas ou esquecidas também podem reduzir a produtividade do usuário. Um recurso de autoatendimento de senhas elimina essa perda de produtividade do usuário. Prevenção de custos As reduções de custos e a produtividade melhorada fornecidas pelo IAM, conforme descrito aqui, podem ter um impacto positivo significativo na eficiência geral de qualquer organização de TI. Mas outro fator deve ser incluído em sua análise de custos/benefícios, o potencial de evitar despesas maiores devido a violações de segurança ou de conformidade que podem ser impedidas pela segurança mais forte fornecida pelo IAM. Esses custos podem incluir o seguinte: Custos de recuperação de violações de segurança As violações de segurança podem provocar caos em qualquer empresa. Esses custos estão relacionados à investigação, correção, multas potenciais e (normalmente, o mais importante) danos à reputação. Um analista estima o custo de uma violação de segurança entre US$ 50 e US$ 250 por registro de cliente perdido. 2 Outro relatório 2 coloca esse custo médio em torno de US$ 100 por registro, com mais da metade desse custo proveniente de negócios perdidos devido a danos na 14

15 reputação. Uma solução robusta de IAM que controle efetivamente o acesso a sistemas e dados importantes pode ajudar a minimizar significativamente o risco dessas violações penosas de segurança. Custos de falhas na conformidade A conformidade é cara, mas as falhas na conformidade são ainda mais caras. Os esforços de correção, com frequência, são demorados e não planejados e podem aumentar significativamente os custos. Além disso, o potencial de multas por não conformidade é um risco sério. Como o IAM pode simplificar seus esforços de conformidade, ele também pode reduzir a probabilidade de enfrentar esses altos custos de falta de conformidade. Custos de competitividade reduzida Quanto sua empresa será prejudicada se você não implantar serviços online tão rapidamente ou tão seguramente quanto seus concorrentes? Isso pode, possivelmente, resultar em uma redução da satisfação de seus clientes, provocando um declínio de seus negócios? O impacto da competitividade reduzida é quase impossível de quantificar com precisão, mas pode ser significativo. O gerenciamento de identidades aumenta a agilidade de seus negócios facilitando o desenvolvimento e a implantação de novos aplicativos de maneira segura e rápida. O resultado é maior agilidade dos negócios para responder rapidamente a eventos do mercado e da concorrência. Seção 4: Resumo de melhorias de eficiências Neste documento, mencionamos apenas alguns dos potenciais benefícios de eficiência e produtividade que o IAM pode fornecer. Alguns recursos fornecem mais melhorias do que outros, mas quando utilizados em conjunto, essas reduções de custos podem ser profundas. A implantação de uma solução de IAM unificada e integrada pode resultar em uma redução de custos nas seguintes áreas: Provisionamento e desprovisionamento de contas e acessos Gerenciamento de contas e de informações de usuários Certificação de direitos Suporte do Suporte técnico Gerenciamento de segurança entre vários sistemas e aplicativos Solicitações de acesso de usuários Correção de violações de acesso Custos de desenvolvimento e suporte a aplicativos gerados pela externalização do código de segurança Criação de parcerias federadas Gerenciamento e análise dos arquivos de log do sistema Preparação para auditorias de segurança e de conformidade 15

16 Ela pode melhorar a produtividade dos usuários nas seguintes áreas: Criação de contas e solicitações de acesso Aprovação da gerência para solicitações de acesso Logon de aplicativos Autoatendimento de senhas Finalmente, ela pode fornecer prevenção de custos nas áreas de: Redução do risco de violações de segurança e do custo de recuperação dessas violações Redução de falhas de conformidade que resultam em multas Redução da necessidade de correção de auditorias de conformidade Melhor agilidade dos negócios para melhorar a competitividade Seção 5: Novos modelos para melhorar a eficiência À medida que a eficiência operacional se torna um orientador principal para muitas organizações, surgiram novos modelos de tecnologia e de serviço que têm o potencial de oferecer benefícios significativos nessa área. Particularmente, o aumento da virtualização ocorreu em grande parte devido às economias de custos que ela fornece. Os gastos de capital de TI podem ser reduzidos por meio do aumento da utilização de servidores existentes fornecido pela virtualização. De maneira semelhante, a computação na nuvem está se movendo em direção à adoção em grande escala devido à flexibilidade e à redução de custos que pode fornecer às organizações de TI. A habilidade de alocar recursos de hardware e software e de pagar apenas pelo que você usa são vantagens muito importantes no mundo de negócios atual, onde respostas rápidas e econômicas aos eventos do mercado são essenciais. O desafio na adoção desses dois modelos de tecnologia é habilitar seus ambientes virtualizados ou na nuvem para fornecer o nível de segurança forte que você precisa e que provavelmente já existe em seus ambientes não virtuais e locais atuais. É aí que o gerenciamento de identidades e acesso pode ajudar a obter os ganhos de eficiência prometidos por esses novos modelos. Para ilustrar os desafios de segurança em um ambiente virtualizado, uma violação de plataforma virtual pode comprometer todos os aplicativos em execução em todas as máquinas virtuais dessa plataforma. De maneira semelhante, a computação na nuvem oferece desafios de segurança complexos por causa da multilocação, com a resultante colocação potencial de informações privadas corporativas e de clientes de muitos clientes da nuvem. Os ambientes virtualizados exigem maior segurança sobre as ações de usuários com privilégios porque suas ações podem ter um impacto muito amplo. Especificamente o controle de acesso administrativo granular, bem como o gerenciamento de usuários com privilégios, são essenciais para proteger ambientes virtualizados. Além disso, uma solução de relatórios de atividades de usuários e de conformidade ajudam a centralizar e arquivar dados de eventos de segurança entre a empresa virtual e a simplificar a análise do log e a geração de relatórios para reduzir o custo do estabelecimento da conformidade de TI. 16

17 Os benefícios de eficiência obtidos da computação na nuvem também requerem abordagens inovadoras de segurança. Os provedores de serviços precisarão adicionar segurança para atenuar as preocupações de clientes potenciais de serviços com base na nuvem. E, como um provedor na nuvem deve atender essencialmente aos requisitos de segurança e conformidade de todos os seus clientes na nuvem, esses recursos de segurança com base na nuvem devem ser robustos, com base em padrões e rigorosamente testados. Além disso, mesmo que uma empresa mantenha sua própria infraestrutura de segurança de TI interna, à medida que ela adotar os serviços na nuvem para alguns recursos, precisará estender seu modelo de segurança para incorporar os serviços na nuvem. Um exemplo pode ser o provisionamento de usuários ou o fornecimento de logon único para serviços com base na nuvem, como o Salesforce.com. Pelos motivos acima, o gerenciamento integrado de identidades e acesso pode fornecer uma plataforma robusta para atender aos requisitos de segurança e de conformidade que são necessários para os modelos de computação virtual e na nuvem e que permitirão aproveitar melhor os benefícios de eficiência fornecidos por esses novos modelos. Seção 6: Conclusões Muitas empresas adotaram soluções de gerenciamento de identidades e acesso para ajudar a proteger seus sistemas e aplicativos essenciais e para simplificar seus programas de conformidade. Esses são benefícios muito importantes que uma solução de IAM pode fornecer. No entanto, melhorar as eficiências operacionais é outra vantagem muito importante que uma solução de IAM unificada pode fornecer. Essa solução pode: Automatizar processos de segurança manuais e demorados (e sujeitos a erros) Centralizar informações de identidades e o gerenciamento de identidades de usuários Eliminar atividades redundantes Permitir que os usuários sejam mais autossuficientes (reduzindo, assim, os custos do Suporte técnico) Simplificar o desenvolvimento de aplicativos com a centralização da aplicação de segurança fora dos aplicativos Simplificar e reduzir os custos de atividades e auditorias de conformidade Melhorar a produtividade de forma que os gerentes possam se concentrar nos negócios Ajudar a evitar custos devido a multas, correção de violações ou danos à reputação O desafio dos gerentes de segurança de TI de Fazer mais... com menos não terminará ou possivelmente nem mesmo diminuirá. Uma solução integrada de gerenciamento de identidades e acesso pode ajudar a orientar as eficiências operacionais que permitirão exatamente isso. 17

18 Seção 7: Referências User Provisioning: The Business Imperatives Role Management and Identity Compliance: The Business Imperatives CA SiteMinder: An ROI Analysis (Ovum Butler Group) CA Solutions for Secure Web Business Enablement (SiteMinder) Seção 8: Sobre o autor Sumner Blount está envolvido no desenvolvimento e no marketing de produtos de software há mais de 25 anos. Ele gerenciou o grupo de desenvolvimento de sistemas operacionais para grandes computadores da Digital Equipment e da Prime Computer e dirigiu o grupo de Gerenciamento de produtos de computação distribuída da Digital. Mais recentemente, ele ocupou vários cargos de gerenciamento de produtos, inclusive o de gerente da família de produtos SiteMinder da Netegrity. Atualmente, ele está focalizado em soluções de segurança e conformidade da CA Technologies Copyright 2011 CA. Todos os direitos reservados. Todas as marcas comerciais, nomes de marcas, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas. Este documento é apenas para fins informativos. A CA não assume responsabilidade pela precisão ou integridade das informações. Na medida do permitido pela lei aplicável, a CA fornece este documento no estado em que se encontra, sem garantias de nenhum tipo, incluindo, sem limitações, garantias implícitas de comercialização, adequação a uma finalidade específica ou não violação. Em nenhuma circunstância a CA será responsável por qualquer perda ou dano, direto ou indireto, decorrente do uso deste documento, incluindo, dentre outros, perda de lucros, interrupção dos negócios, reputação da empresa ou perda de dados, ainda que a CA seja expressamente informada sobre a possibilidade de tais danos com antecedência. CS1987_