IAM no Mind The Sec 2018

No segundo dia do evento tive a satisfação de dividir o palco da trilha de gestão com os feras Carlos Rodrigues, Allan Monteiro e Luiz Felipe (da esquerda para direita) para compartilhar nossas experiências em Gerenciamento de Identidade (IAM).

Contextualizamos que IAM é assunto para ser tratado como programa de longo prazo, que conta com o desafio de engajar e sustentar a participação de executivos, gestores de risco, de recursos humanos, de terceiros, de tecnologia e de negócio.

Embora estudos de institutos como Gartner demonstrem que 70% dos programas de IAM falham em atingir o seu objetivo por diferentes motivos, o tema não deve ser deixado de lado. Uma vez que desejando ou não, todas as empresas gerem acessos e devem demonstrar controles mínimos sobre o tema para auditorias internas e externas.

Sem reinventar a roda, dividimos nossas recomendações nos pilares pessoas, processos e tecnologia onde algumas dicas podem ser conferidas abaixo:

Pessoas

- Estabelecimento de parcerias através da priorização de ações de interesse mútuo. Exemplo: diminuição do tempo de engajamento de novos colaboradores através dos kits de acesso (RH+TI+Gestores).

- Descrição de acessos baseada em tarefas (para humanos...rsrs), que permita o entendimento pelos gestores do que estão aprovando.

Processos

- Revisão periódica do acesso de terceiros, uma vez que mesmo com a adição de cláusulas contratuais, dificilmente as empresas são notificadas por seus fornecedores ou clientes de que uma pessoa mudou de função e não requer mais o acesso.

- Revisão do processo de desenvolvimento de sistemas através da integração das aplicações e seus perfis ao framework de IAM (prática quase impossível sem patrocínio executivo, mesmo propiciando o reuso de mecanismos de autenticação e autorização).

Tecnologia

- No mundo das APIs, o uso dos barramentos de integração facilita a integração do framework de IAM com as diferentes bases autoritativas e aplicações.

- Destaque para as soluções em nuvem que tem facilitado a implementação de recursos como MFA, proxy de aplicações com single sign on e acesso condicional.

Um programa consistente de IAM otimiza a identificação de informações pessoais (fundamental para o LGPD), otimiza a resposta à incidentes de segurança (identifica claramente os responsáveis pelas credenciais de acesso) e viabiliza a aderência a regras do e-Social (demonstrando que não foram realizados acessos em períodos de descanso obrigatório).

Agradecimento especial ao Anderson Ramos, Priscila Meyer, Igor Rincon e equipe da FlipSide pela oportunidade de participar do maior evento de Segurança da Informação do país.