Skip to main content
Artigos

TOP 07 da Gestão de Identidade e Acesso (IAM)

Por 30 de outubro de 2019junho 7th, 2021Sem comentários

*Umberto Rosti

TOP 07 da Gestão de Identidade e Acesso (IAM) 

As empresas estão cada vez mais maduras e certas da necessidade de se ter uma gestão que controle o acesso dos seus funcionários, principalmente pelas regras da LGPD 

Afinal, o que não faltam são exemplos de corporações que foram prejudicadas por ex-colaboradores, terceiros ou funcionários descontentes com a empresa. Apesar desta maturidade, muitas empresas desconhecem as principais dificuldades encontradas durante o processo de implementação da tecnologia – leia-se custos também – e acabam por interromper o projeto durante os momentos críticos.

Um dos grandes paradigmas é que todos os sistemas devem ser conectados de forma automática a Gestão de Identidade. Isto é caro, demorado e provavelmente não vai funcionar. O ideal é conhecer os sistemas críticos, tanto em volume de alterações de acesso, quanto em relação à segurança da empresa. Podemos citar ERP, CRM, e-mails e servidores de arquivos, sendo que para esses, os softwares de Gestão de Identidade já possuem conectores automáticos nativos, o que trará retorno mais rápido ao projeto e a empresa.

Já a conexão automática de alguns sistemas torna-se extremamente cara e demorada como, por exemplo, as de sistemas legados, geralmente desenvolvidos internamente e que não possuem uma camada de autenticação e autorização bem estruturada ou mesmo as de sistemas que não tem grande volume de alteração de acessos/usuários. Para estes casos, utilizar toda inteligência da solução tecnológica de Gestão de Identidade, permanecendo somente com a última etapa dos processos de forma manual, torna-se muito mais barato e com a mesma efetividade. Para termos uma ideia, o tempo que se leva para conectar automaticamente um sistema legado pode chegar a meses, já a conexão automática através de um conector nativo pode ser feita em dias.

Resumindo, não existem problemas, tecnológicos ou de processos, grandes o suficiente para impactar negativamente a implantação de um processo de Gestão de Identidade. O que existe é a falta de planejamento, conhecimento das necessidades de negócio e das funcionalidades que são desejáveis.

Abaixo o Top 07 para um ótimo projeto de Gestão de Identidade e Acesso:

1.  Definição da lista detalha de sistemas a serem conectados na solução tecnológica de Gestão de Identidade: Ao definir essa lista, é necessário o entendimento completo de como esse sistema suporta os processos de negócio e quais as limitações técnicas que esse sistema possui, exemplo, estrutura de usuários, perfis, grupos, transações, telas, objetos, funcionalidades, dentre outros. É importante definir ondas, agrupando no máximo três sistemas, sempre do mais crítico/importante para o menos.

2. Definição das bases autoritativas: Provavelmente a empresa vai lidar com funcionários, terceiros e temporários, e vai esbarrar em políticas internas de recursos humanos para conseguir todos os dados dos usuários.

3. Existência de uma estrutura de cargos versus funções bem definida: Tendo esta estrutura o ganho é imenso em relação à inteligência agregada aos processos assim como a facilidade de implementação.

4. Existência de pacotes básicos de acesso por função: Isso reduz drasticamente o número de solicitações feitas através de intervenção humana.

5. Definição de atores envolvidos nos workflows (aprovadores, executores, gestores, normativos): Sem os atores definidos, não existem processos.

6. Definição das funcionalidades técnicas: As soluções tecnológicas de Gestão de Identidade tem mais de 10 possíveis funcionalidades, porém apenas algumas delas são requisitos obrigatórios em uma implementação. É importante definir fases de implementação conforme a necessidade da empresa.

7. Avaliação da necessidade de se realizar um redesenho de perfis com ou sem análise de segregação de funções: Não espere ter perfis de acesso e usuários 100% aderentes e adequados já no inicio da implementação. O importante é pegar o cenário atual da sua empresa e importar no sistema, “as is”, para depois de toda a implementação da solução tecnológica de Gestão de Identidade, iniciar um projeto de desenho de perfis de acesso em conjunto com áreas normativas (riscos e controles internos,) e com os donos dos processos de negócio. As empresas ficam, às vezes, anos tentando desenhar os perfis antes ou durante o projeto de Gestão de Identidade e perdem todo o trabalho. Considere a implantação de um processo de Gestão de Perfis (Role Management) integrado a solução tecnológica de Gestão de Identidade.

A implantação de Gestão de Identidades é simples, acredite.

No passado algumas empresas tentavam fazer seu próprio sistema de controle de identidade e hoje não migram para as novas tecnologias com medo de perder a funcionalidade. A maioria das ferramentas disponíveis no mercado atendem as principais necessidades das mais variadas indústrias, e o que não se deve fazer é tentar resolver todos os problemas da empresa com o sistema de gestão de identidade. O passo a passo e o planejamento são fundamentais para o sucesso, retorno rápido e visibilidade do controle para toda a empresa.

*Umberto Rosti é CEO da Safeway

Sobre a [SAFEWAY]

 A SAFEWAY é uma empresa de consultoria em Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos que atendam integralmente às necessidades do negócio. Podemos apoiar no processo de avaliação de Segurança da informação em fornecedores na definição dos critérios e metodologia de avaliação, na execução da avaliação em si (remota ou presencialmente) na elaboração de recomendações para que os fornecedores possam aprimorar a maturidade  e cuidado com as informações de sua empresa,  minimizando os riscos associados. 

Deixe uma resposta