GOVERNANÇA DE ACESSO E IDENTIDADE ORIENTADA AOS NEGÓCIOS: A IMPORTÂNCIA DE UMA NOVA ABORDAGEM

Transcrição

1 GOVERNANÇA DE ACESSO E IDENTIDADE ORIENTADA AOS NEGÓCIOS: A IMPORTÂNCIA DE UMA NOVA ABORDAGEM RESUMO Há anos, os gerentes de segurança das informações e de linhas de negócios sabem, intuitivamente, que a IAG (Identity and Access Governance, governança do acesso e identidade) deve ser orientada à necessidade dos negócios. Afinal, ninguém melhor que os gerentes das empresas para saber "quem deve ter acesso a quê". Este white paper explica por que adotar uma abordagem de IAG orientada aos negócios pode permitir que as organizações comprovem facilmente sua conformidade, minimizem os riscos e gerem produtividade nos negócios. Abril 2014 Copyright 2014 EMC Corporation. Todos os direitos reservados. A EMC atesta que as informações apresentadas nesta publicação são precisas a partir da data de publicação. As informações estão sujeitas a alterações sem prévio aviso. As informações nesta publicação são fornecidas no estado em que se encontram. A EMC Corporation não garante nenhum tipo de informação contida nesta publicação, assim como se isenta das garantias implícitas para a comercialização de um produto para um propósito específico. O uso, a cópia e a distribuição de qualquer software da EMC descrito nesta publicação exigem uma licença de software. Para obter uma lista mais atualizada de nomes de produtos da EMC, consulte EMC Corporation Trademarks no site brazil.emc.com. Número da peça H13070 WHITE PAPER DA RSA

2 ÍNDICE RESUMO EXECUTIVO 3 REALIDADE ATUAL: GERENCIAMENTO DE IDENTIDADE COM FALHAS 3 A IMPORTÂNCIA DO CONTEXTO CORPORATIVO 4 REQUISITOS DA GOVERNANÇA DE ACESSO E IDENTIDADE ORIENTADA AOS NEGÓCIOS 4 ABORDAGEM PASSO A PASSO DE GOVERNANÇA DE ACESSO E IDENTIDADE ORIENTADA AOS NEGÓCIOS 5 RESUMO 7

3 RESUMO EXECUTIVO Há anos, os gerentes de segurança das informações e de linhas de negócios sabem, intuitivamente, que a IAG (Identity and Access Governance, governança do acesso e identidade) deve ser orientada à necessidade dos negócios. Afinal, ninguém melhor que os gerentes das empresas para saber "quem deve ter acesso a quê". No entanto, muitas vezes, as ferramentas e os processos das organizações não refletem esse "contexto corporativo". Geralmente, esses sistemas não dão suporte a uma visão corporativa do acesso dos usuários e de suas funções e responsabilidades corporativas. Além disso, eles também podem não refletir as qualificações refinadas que determinam especificamente quais ações os usuários podem realizar dentro dos aplicativos. Geralmente, isso se deve às organizações que tentam usar ferramentas técnicas e focadas na TI e no IAM (Identity and Access Management, gerenciamento de acesso e identidade) para tentar resolver os problemas de governança corporativa. O contexto corporativo é a soma total de tudo que uma organização sabe sobre seus usuários, suas responsabilidades e informações, aplicativos e qualificações de que eles precisam. Embora parte do contexto possa ser encontrada nos sistemas gerenciados pela TI (como diretórios e aplicativos de RH), também há um contexto adicional que é mantido pelos gerentes que supervisionam os usuários ou pelos proprietários das funções, aplicativos e dados corporativos, e não pela equipe de TI ou de segurança. Este white paper explica por que os sistemas atuais de gerenciamento de identidade não conseguem refletir devidamente o contexto corporativo e por que adotar uma abordagem de governança de acesso e identidade orientada aos negócios reduz os custos ao mesmo tempo em que aumenta a segurança, além de descrever uma metodologia passo a passo para implementar essa abordagem. REALIDADE ATUAL: GERENCIAMENTO DE IDENTIDADE COM FALHAS As organizações de hoje enfrentam mais ameaças de segurança e desafios regulamentares que nunca, sem falar do grupo de usuários em crescimento explosivo, da proliferação de dispositivos móveis e dos possíveis danos causados ao valor e à reputação dos acionistas que resultariam de uma violação de dados. Assim, além de não estarem conseguindo acompanhar o ritmo disso tudo, os sistemas tradicionais de IAG estão deixando de atender à necessidade de gerenciar proativamente uma paisagem de riscos e ameaças que sofre alterações constantes. As arquiteturas tradicionais de IAG são fragmentadas, complexas e mal equipadas para acompanhar o ritmo das alterações de uma organização, desde as simples transferências de funcionários à reestruturação, aos novos requisitos regulamentares e às fusões e aquisições. Além disso, os sistemas tradicionais de gerenciamento de identidade têm sido extremamente caros para implementar e operar, o que limita sua amplitude de cobertura e eficácia. A computação em nuvem aumenta a complexidade, criando uma nova estrutura isolada de aplicativos (e mais administradores com acesso privilegiado) para todos os novos aplicativos em nuvem e os Service Providers de nuvem. Ela também aumenta a velocidade das alterações, à medida que as linhas de negócios obtêm novos serviços, muitas vezes sem informar a TI central ou os grupos de segurança. A computação móvel e a tendência de BYOD (Bring Your Own Device, traga seu próprio dispositivo) criam ainda mais estruturas isoladas de governança de acesso e identidade para acomodar todas as novas plataformas. O resultado é que, embora as organizações precisem de uma IAG mais fácil, rápida e consistente, o ritmo das alterações torna mais incerta ainda sua postura relacionada a riscos e conformidade. A dependência de sistemas isolados, reativos e incompletos dificulta ainda mais a detecção e aplicação do contexto corporativo necessário para cada aplicativo ou grupo de sistemas e torna ainda mais crítica a falta de uma infraestrutura central e única de IAG. As organizações precisam comprovar rapidamente sua conformidade, minimizar os riscos e gerar produtividade aos negócios. 3

4 Considerando-se todos esses desafios, a chave para resolver esses problemas é aproveitar um sistema moderno e centralizado de governança de acesso e identidade desenvolvido com base no contexto corporativo. A IMPORTÂNCIA DO CONTEXTO CORPORATIVO Embora o contexto corporativo seja esquecido com frequência, ele é um ingrediente principal para garantir uma IAG eficaz para toda a empresa. Muitas vezes, ele é negligenciado porque o IAM e a IAG são tratados pelo CIO, pelo CISO, pelo vice-presidente de segurança ou pelo diretor de segurança. Nenhuma dessas funções tem o contexto corporativo necessário para uma governança de acesso eficaz e eficiente para toda a empresa. No entanto, a maior parte desse contexto corporativo é controlada pelos supervisores e outros gerentes da empresa que compreendem as responsabilidades específicas dos vários usuários e o acesso exigido por cada um deles. Considere, por exemplo, um departamento financeiro que tem cinco funcionários, cada um deles com códigos de cargo de analista de nível 2. O departamento de TI pode concluir que todos esses funcionários devam ter os mesmos direitos e qualificações. No entanto, o supervisor dos funcionários sabe quem é responsável pelas despesas com viagens e entretenimento e quem monitora as despesas com serviços públicos e telecomunicações e, portanto, pode tomar decisões mais precisas sobre suas qualificações e seus acessos. Os diferentes membros de uma equipe de testes de medicamentos clínicos podem ter os mesmos nomes de cargo, mas exigem níveis diferentes de acesso aos dados de teste, dependendo de sua senioridade, de seu treinamento ou de suas atribuições de projeto. Os proprietários de aplicativos de negócios também são bem equipados para compreender como os aplicativos ou os recursos de dados são usados e quais políticas de acesso e qualificação são adequadas a eles. Os proprietários de aplicativos, junto com as equipes de risco, auditoria e conformidade, têm o melhor contexto para configurar as políticas de IAG específicas aos vários aplicativos de negócios ou domínios do setor. Além disso, ninguém melhor que os proprietários de recursos para saber quem deve ter acesso aos dados confidenciais ou regulamentados. Para aplicar esse contexto mais efetivamente, as organizações devem permitir que os gerentes de empresa, os proprietários de dados e aplicativos de negócios e as equipes de risco, auditoria e conformidade gerem requisitos de política relacionados ao acesso. Assim, a TI deve transformar esses requisitos em atividades operacionais. Atingir esse nível de governança de acesso e identidade orientada aos negócios exige novos processos e novas tecnologias, além de exigir que o negócio aja em parceria com a TI. REQUISITOS DA GOVERNANÇA DE ACESSO E IDENTIDADE ORIENTADA AOS NEGÓCIOS Para trazer o contexto corporativo ao processo de IAG, a TI deve transformar o jargão críptico das qualificações de aplicativos e de infraestrutura em uma visão do acesso que possa ser facilmente utilizada pela empresa e oferecer aos gerentes um modo simples e intuitivo de tomar as decisões sobre IAG durante o ciclo de vida do acesso e da identidade. A IAG orientada aos negócios também exige que as linhas de negócios assumam o controle das tarefas para as quais elas têm contexto e responsabilizem-se por elas. As equipes de risco, auditoria e conformidade devem poder criar requisitos, medir resultados e instituir controles. As equipes de operações e segurança de TI devem ter visibilidade e controle sobre o modo como as atividades de IAG são realizadas, já que elas são, no fundo, responsáveis por implementar as decisões tomadas pelas linhas de negócios. 4

5 As organizações devem poder definir facilmente as políticas que aproveitam o contexto corporativo, garantindo a conformidade em áreas como a segregação de obrigações ou a solicitação e aprovação de acesso. Assim que uma política for criada, ela poderá ser aplicada automaticamente, e as violações poderão ser tratadas automaticamente. Já que o conteúdo dessas políticas será familiar às linhas de negócios, às operações e segurança de TI e às equipes de risco, auditoria e conformidade, essa será uma maneira muito eficaz de envolvê-las no processo de IAG. A automatização da execução das alterações de acesso pode reduzir significativamente os custos e os esforços, já que, até o momento, as organizações têm geralmente se esforçado para realizar a automatização necessária com ferramentas concentradas em TI dos fornecedores tradicionais de gerenciamento de identidade. Uma abordagem de IAG realmente orientada aos negócios oferece um mecanismo simples de gerenciamento de alterações de acesso que mantém a lógica de negócios separada da lógica de integração específica aos aplicativos. Ela também permite alterações de acesso baseadas em políticas, utilizando regras e workflows para oferecer um acesso mais rápido e alinhado às políticas estabelecidas. De uma perspectiva de execução de alterações, isso possibilita um método rápido e econômico para a integração de aplicativos. Tudo isso exige uma plataforma automatizada e centralizada de governança de acesso e identidade que ofereça aos empresários uma visão simples das identidades e dos acessos, que permita controles de acesso automatizados e baseados em políticas, que executa as solicitações de alterações da IAG e que desenvolva uma conformidade proativa de acesso em toda a organização. A figura 1 demonstra como esse tipo de plataforma permite que uma organização estabeleça processos de negócios para realizar todas essas atividades. ABORDAGEM PASSO A PASSO DE GOVERNANÇA DE ACESSO E IDENTIDADE ORIENTADA AOS NEGÓCIOS A melhor forma de tornar operacional a IAG orientada aos negócios é implementar processos de negócios discretos e mensuráveis em uma abordagem passo a passo que ofereça valor em cada fase. As etapas são: Visibilidade e certificação: esse processo sustentável e reproduzível coleta e remove automaticamente os dados de qualificações e identidades para obter uma visão unificada e normalizada dos direitos de acesso atuais. Essa visão técnica do acesso é transformada em uma visão corporativa, para que os gerentes de linhas de negócios, como supervisores ou empresários de recursos, possam responsabilizar-se pela análise dos direitos de acesso. Isso é feito por um processo de certificação de acesso de fácil utilização pelos usuários corporativos (também conhecido como análise de acesso), no qual as qualificações das pessoas são analisadas e aprovadas (ou revogadas) por um supervisor ou um proprietário de aplicativos. Uma importante etapa adicional, que também é um bom exemplo do estabelecimento do contexto corporativo, é identificar os empresários de recursos de dados (como compartilhamentos de arquivos ou locais do SharePoint) e todos os metadados que definem seu objetivo de negócios e sua classificação de risco. 5

6 Gerenciamento de políticas: a coleta do contexto de tomada de decisões e da lógica de negócios em um conjunto de políticas definido como regras é uma excelente maneira de automatizar os controles de segurança e de conformidade. Os workflows acionadores de regras oferecem automatização dos processos e das políticas, além de reduzir custos. Por exemplo, a identificação de um novo funcionário pode acionar um processo com várias etapas que inclui a criação de contas para o funcionário, a atribuição do funcionário a uma lista adequada de membros do grupo, a atribuição de qualificações adequadas de aplicativos e dados às contas e a obtenção das aprovações necessárias. Gerenciamento de funções: as funções permitem que os gerentes de empresas gerenciem mais facilmente as alterações das qualificações. Considere a função de um negociador de títulos de nível 2. Um usuário com essa função pode ter direito a 35 qualificações refinadas diferentes (como a capacidade de fazer negociações até determinado limite) em vários aplicativos. Em vez de precisar que um gerente analise e avalie todas as 35 qualificações, o gerente pode simplesmente verificar se a função está correta para a pessoa. Para o gerente, essa é uma forma mais fácil e mais natural de aplicar o contexto corporativo necessário, já que ele pode pensar na função desempenhada por uma pessoa específica, e não em uma lista detalhada de qualificações aos aplicativos. As funções também simplificam os processos de associação, modificação e remoção e facilitam a atribuição de acesso adicional aos usuários. Elas também tornam mais eficiente a análise, a validação ou o teste do acesso dos usuários, simplificando o gerenciamento de riscos e de conformidade e acelerando a execução. Essa fase também produz processos de gerenciamento do ciclo de vida dos grupos de diretórios que, muitas vezes, são usados para controlar o acesso (especialmente aos recursos de dados) quase da mesma forma que as funções. Muitas vezes, as organizações não querem se aventurar na criação e no gerenciamento de funções. Uma alternativa que pode ser considerada é usar as qualificações sugeridas, que podem oferecer opções a um gerente de empresa sobre as qualificações semelhantes dos usuários durante os processos de associação ou modificação. Gerenciamento de solicitações de acesso: Assim que as abstrações para simplificar e automatizar o gerenciamento de acesso e uma visão corporativa do acesso forem implementadas, uma organização estará em uma boa posição para estabelecer um front-end de solicitação de acesso com autoatendimento para os usuários corporativos e um mecanismo auditável de gerenciamento de alterações para a TI em conformidade com as políticas no back-end. Esse processo capacita as linhas de negócios a acionar as solicitações de acesso sem nenhum conhecimento da infraestrutura e dos detalhes envolvidos no atendimento das solicitações, o que facilita o processo de solicitações de acesso. Ele também proporciona uma conformidade proativa, impondo as políticas antes que o acesso seja concedido. Execução (provisionamento) de alterações: As alterações de acesso e identidade orientadas aos negócios resultam em modificações reais das contas de usuário, das listas de membros do grupo e das atribuições de qualificações dos sistemas, recursos de dados, diretórios, aplicativos e soluções de controle de acesso. A execução das alterações que pode ser chamada de provisionamento é um processo que, geralmente, existe de alguma forma antes de uma organização entrar em qualquer uma das fases mencionadas neste documento. Normalmente, o desafio está relacionado à evolução do processo para que ele seja consistente, orientado por políticas, alinhado ao nível de qualificações e, na medida do possível, automatizado. 6

7 Existem vários mecanismos para executar as alterações de acesso. Muitas vezes, uma simples notificação de tarefas, como o envio de um a um administrador de sistema, é a abordagem mais fácil e objetiva para a execução de alterações. A criação de um chamado em uma central de atendimento é uma maneira mais consistente de rastrear as solicitações, as respostas e as confirmações e pode aproveitar um sistema corporativo existente de gerenciamento de alterações. No entanto, a taxa de erro, o intervalo de tempo e os custos associados muitas vezes levam as organizações a recorrer à automatização. Uma solução automatizada de execução oferece eficiência operacional e alterações em tempo hábil e, de um modo ideal, dá suporte à rápida integração dos novos aplicativos. Os mecanismos tradicionais de provisionamento dificultam a integração (conexão) de mais que apenas alguns aplicativos, já que esses sistemas mais antigos combinam a lógica de negócios que define as políticas de governança com a lógica necessária para a integração a cada aplicativo. Isso exige uma cara codificação personalizada para todas as novas conexões e para todas as alterações das políticas. Os mecanismos tradicionais de provisionamento também têm a tendência de se concentrar no provisionamento de nível de contas ou de grupos, o que não oferece o nível necessário de visibilidade ou de requisitos de acesso. Os sistemas modernos e orientados aos negócios de IAG mantêm a lógica de negócios relacionada às políticas em um nível superior, o que torna essa integração de "última etapa" muito mais fácil e menos dispendiosa. Além disso, esses sistemas concentram-se em um provisionamento detalhado, com capacidade de exibir e alterar as qualificações refinadas dos aplicativos. RESUMO As organizações não podem se dar ao luxo de gastar mais do que devem em governança de acesso e identidade. Elas também não podem sujeitar-se aos riscos regulamentares, legais ou de propriedade intelectual resultantes do gerenciamento indevido da governança de acesso e identidade. O caminho para uma governança de acesso e identidade mais eficaz e eficiente passa diretamente pelos proprietários de processos, aplicativos e dados de negócios. Ele utiliza o rico "contexto corporativo", que define quais usuários exigem determinados direitos de acesso e qualificações, como base para uma governança de acesso e identidade automatizada e orientada aos negócios que oferece o máximo retorno comercial pelo menor custo. 7