*Por Marcos Paulo de Freitas
O que é Gestão de Identidade e Acessos?
Gestão de Identidade e Acessos (em inglês Identity and Access Management ou IAM) é a disciplina de segurança que abrange práticas para auxiliar sua empresa a assegurar a proteção e privacidade de seus dados. O principal objetivo desta disciplina é garantir que os usuários tenham acesso mínimo e adequado aos recursos de sua empresa (por exemplo: sistemas, diretórios de rede e bancos de dados, etc.) para execução de suas atividades, minimizando, dentre outros, o risco de acesso, alteração e compartilhamento indevido de informações.
Desafios e Conformidade:
Estabelecer uma estratégia e implementar controles de Gestão de Identidade e Acessos não é uma tarefa simples. Com o crescimento de sistemas baseados em nuvem, a utilização de softwares como serviço (SaaS) e adoção de políticas de BYOD (Bring Your Own Device) os usuários podem acessar recursos da sua empresa de qualquer lugar e usando qualquer dispositivo, o que aumenta a complexidade para controle e gerenciamento de acessos por parte da equipe responsável.
Também é importante mencionar que existem cada vez mais regulações que trazem em seus requisitos práticas relacionadas a Gestão de Identidade e Acessos a serem adotadas pelas empresas. Compreende-se, portanto, que esta é uma disciplina que deve ser colocada em prática pela sua empresa não somente para proteção de seus dados, mas também como forma de assegurar a conformidade com as regulações aplicáveis ao seu negócio e evitar possíveis sanções ou multas.
Regulações
Destacamos a seguir algumas regulações que trazem requisitos relacionados a Gestão de Identidade e Acessos que podem ser aplicáveis e precisam ser observados por sua empresa:
Sarbanes-Oxley (SOX)
Lei voltada para empresas que prestam serviços financeiros (por exemplo, bancos e seguradoras) ou para qualquer empresa que tenha ações registradas na SEC (Securities and Exchange Comission – Comissão de Valores Imobiliários dos Estados Unidos).
A seção 404 da Lei determina especificamente que controles internos adequados sejam implantados, testados e documentados pelas empresas para a preparação de relatórios financeiros e para proteger a integridade das informações financeiras presentes nesses relatórios.
Payment Card Industry Data Security Standard (PCI DSS)
Padrão de Segurança de Dados da Indústria de Pagamento com Cartão criado no ano de 2004.
O PCI DSS é composto por um conjunto de requerimentos e procedimentos de segurança cujo objetivo é proteger as informações pessoais dos titulares de cartão e, portanto, reduzir o risco de fraude ou roubo de dados.
General Data Protection Regulation (GDPR)
Lei Europeia de proteção e privacidade de dados pessoais, em vigor desde 2018, que traz requisitos a serem observados por qualquer empresa que realiza atividades de tratamento de dados pessoais de cidadãos europeus. Para melhor entendimento, o tratamento de dados consiste em toda e qualquer ação realizada com dados de pessoa natural que possa identificar ou proporcionar a identificação desta. Ou seja, o acesso, a coleta, utilização, transferência, processamento, armazenamento, modificação, exclusão, entre outras diversas operações, são consideradas tratamento de dados pessoais e precisam estar em compliance com os requisitos da Lei.
A GDPR requer que as empresas justifiquem a necessidade de pedirem dados pessoais de seus usuários e clientes, bem como demostrem como os dados são utilizados e protegidos e, em caso de violação, prevê multas de até 4% sobre o valor anual do volume de negócios da empresa ou o valor de 20 milhões de euros.
Lei Geral de Proteção de Dados (LGPD).
Legislação Brasileira, inspirada na GDPR, que regula as atividades de tratamento de dados pessoais por parte das empresas em todo território nacional.
Assim como a GDPR, a LGPD prevê multas e sanções a empresas em casos de violação. Estas podem corresponder em até 2% do faturamento com limite de R$ 50 milhões de reais, por vazamento e mau uso de dados pessoais.
Principais Requisitos:
Considerando as regulações de mercado supracitadas, destacamos os principais requisitos relacionados a Gestão de Identidade e Acessos a serem e implementados para proteção das informações de sua empresa e para assegurar a conformidade:
- Processo documentado e bem estruturado para conceder, revogar e atualizar os acessos de seus colaboradores;
- Gerenciamento de acessos com base em funções de trabalho dos colaboradores e fornecendo “privilégios mínimos” de acesso;
- Processo de revisão ou análise crítica periódica dos acessos dos usuários aos recursos de sua empresa;
- Políticas e controles que assegurem a devida Segregação de Funções;
- Políticas de senha que contemplem robustas que contemplem autenticação de multifator;
- Controles que assegurem a rastreabilidade dos acessos (como logs de auditoria);
Outras práticas que podem apoiar sua empresa na proteção de suas informações e na conformidade com as regulações são sistemas com funcionalidade de Single Sign-On (SSO), sistemas de gerenciamento de senhas, bem como a conscientização dos usuários para que estes não compartilhem suas credenciais de acesso.
Como podemos ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado através de projetos que atendam integralmente às necessidades do negócio. Podemos apoiar sua empresa na estruturação e operacionalização do processo (por exemplo, no mapeamento de perfis, desenvolvimento de matriz de riscos de acessos críticos, construção e adequação de inventario de usuários não nomeados, testes de desenho e efetividade) e controles de Gestão de Identidade e Acessos minimizando os riscos de acesso indevido, vazamento de informações ou não conformidade com requisitos regulatórios.
Adicionalmente, possuímos diversas parcerias estratégicas, dentre estas a E-TRUST (Única empresa latino-americana citada no Gartner Magic Quadrant for Identity Governance and Administration desde 2011) que possui 20 anos de experiência em projetos de sustentação de Gestão de Identidades e fornece soluções automatizadas para Gestão de Identidade, Governança, Provisionamento e Single Sign-on.
— Marcos Paulo é GRC and Information Security Manager at [SAFEWAY]
Sobre a Safeway:
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
