Gestão de Identidade: O que é e para que serve? [Confira Aqui]

Gestão de Identidade: O que é e para que serve? [Confira Aqui]
-
Writer Writer
Segurança da Informação
30/11/2021

Gestão de Identidade, o que é isso? O mundo da tecnologia é sempre muito dinâmico, principalmente depois que a onda da transformação digital surgiu. Então, sempre surgem novos termos, tecnologias e ferramentas para as mais diferenciadas finalidades.

Entre elas, podemos citar este ponto de maneira principal, onde a área da segurança da informação se faz extremamente presente. É necessário, de modo incontestável, garantir que todos os sistemas, redes e acessos estejam seguros para se evitar problemas.

Então, nada mais comum do que gerar uma série de diretrizes e protocolos para garantir tal resultado.

Hoje, nós do Nobug resolvemos tirar um tempinho para falar deste assunto tão crucial.

Vamos conferir?

como-verificar-identidade

O que é Gestão de Identidade?

Traduzido do tempo IM (Identity Management), a Gestão de Identidade é basicamente a maneira de administrar o acesso e confirmação de pessoas e ativos de informação dentro de uma empresa.

Por exemplo, você é o diretor de uma multinacional com dezenas de filiais pelo mundo. Provavelmente não vai querer que qualquer pessoa tenha acesso aos dados que deveriam ser destinados somente para você e seu trabalho.

Desta forma, a GI servirá para entregar uma autenticação e controle para todos os acessos da empresa, sendo também comumente chamada de GIA (Gestão de Identidade e Acessos).

Se você ficou confuso com o termo Ativos de Informação, sem problemas. Estamos falando de qualquer tipo de informação, esteja ela presente fisicamente ou dentro de um sistema digital.

O que é necessário para se iniciar uma boa gestão de acessos e identidades?

São vários os fatores a levar em consideração, mas quanto mais dados, melhor. Alguns dos principais são:

  1. Primeiramente listar todos os sistemas e perfis de acessos;
  2. Então, levantar todas as identidades presentes na empresa;
  3. Assim, é preciso fazer uma definição dos fluxos, papéis e responsabilidades de cada pessoa envolvida;
  4. Então se organizam as identidades por categorias (Por exemplo: clientes, funcionários, representantes, prestadores de serviços, fornecedores…);
  5. Logo após se definem os processos de: 
    1. Solicitação
    2. Aprovação
    3. Revogação
    4. Revisão
  6. Em seguida, se definem as regras de automação para cada processo (evitando gargalos no trabalho diário sem perder a segurança, por exemplo a recuperação de senha).

Autenticação e sua importância

Outro ponto crucial para manter uma boa gestão de identidade é entender sobre o processo de autenticação.

Ter uma série de identidades com senhas fortes aumenta a proteção dos dados da sua empresa. Entretanto, alguém pode ter sua senha vazada. Um exemplo clássico são os funcionários que anotam senhas em arquivos de texto no bloco de notas ou mesmo em uma folha de papel físico.

Isto é um convite para os mais variados tipos de invasão que podemos encontrar. 

Então, para conseguir reforçar este processo, é importante não só tentar agir de forma preventiva, como também oferecer alguma forma de autenticar que aquele acesso esteja sendo feito pelo usuário com aquela identidade.

Uma maneira simples que tem sido amplamente utilizada em aplicativos de celular é o Google Authenticator. Mas ele é uma opção mais recomendada para uso pessoal, até porque não permite nenhuma forma de backup.

Em projetos de empresas maiores, temos normalmente os seguintes meios de autenticação:

LDAP

Poupando os detalhes técnicos mais robustos, o LDAP (Lightweight Directory Access Protocol) é uma das formas mais simples de autenticação utilizadas hoje.

Um dos pontos mais interessantes é que é uma solução livre, de código aberto. Uma das suas características principais é trabalhar com Logon Únicos, que permitem um acesso para uma ação simples que depois é excluído.

SAML

O Security Assertion Markup Language, ou SAML, é uma estrutura baseada no XML que permite a troca segura de informações, normalmente focado na autenticação, autorização e informações de usuários.

Sendo um passo mais intuitivo do que o LDAP.

OpenID

Este é mais um protocolo que utiliza a verificação de informações através de URL ou XRI para verificação de acessos e ações de um usuário dentro de um servidor.

Tem como principal vantagem a simplicidade, embora tenha seus riscos particulares.

OAuth

Sendo talvez uma das opções que mais estão em alta, o OAuth permite o login em diferentes sites e sistemas através de um sistema delegado de acessos. Ou seja, você entra através de uma autenticação de outros sistemas.

Como por exemplo é o caso de entrar em um aplicativo utilizando a conta do Gmail, sem que você tenha que inserir login e senha, ou mesmo criar uma conta própria.

É extremamente prático, mas não podemos ignorar o fato de que temos a situação em que se a pessoa for invadida nas suas redes sociais ou locais de autenticação, ela ganhará automaticamente acesso a outros sites e sistemas.

Gestão de Identidade e processos automáticos

Também seria bom levar em consideração alguns pontos em que a automação de toda a Gestão de identidade se torne algo completamente positivo.

São eles:

Auditoria: Você pode atuar com auditorias automatizadas de maneira agendada ou mesmo por ativação manual. Desta forma poderão ser notados padrões de ação incomuns ou mesmo que sejam perigosos.

Bloqueio: É crucial que muitas vezes acessos sejam bloqueados automaticamente. Principalmente quando há o excesso de tentativas erradas, ou mesmo a tentativa de entrar por um ID ou Geolocalização suspeitos. Evitando invasões.

Recuperação de acesso: Imagine um funcionário ter que esperar toda vez que uma pessoa troque sua senha caso ele esqueça. Isto pode atrapalhar a produtividade pessoal, assim como aumentar os trabalhos da sua equipe de TI.

Administração de Acesso: A pessoa pode ter preenchido algum dado errado, ou mesmo ter alterado algum deles. Um exemplo é a própria questão de mudar de endereço, caso você tenha uma loja virtual.

o-que-e-gestao-de-identidade

Como garantir um bom serviço de Gestão de Acessos e Identidade?

Então, para se ter um serviço de Gestão de Identidade profissional, vai precisar de mão de obra especializada.

E por sorte sua, nós do Nobug temos plena capacidade de atuar para entregar a melhor estrutura, com a maior segurança e agilidade para você.

Assim como aplicar ações de Pentest para verificar ainda mais a resistência do seu sistema contra invasões.

Se quiser realmente ter resultados de qualidade, entre em contato que teremos prazer em te ajudar.

Acessos Autenticação gestão de identidade LDAP OAuth OpenID SAML Segurança da informação TI
Close
Search

Hit enter to search or ESC to close