O que é a gestão de identidade e acesso (IAM)?
Descubra o que é a gestão de identidade e acesso (IAM) e como mantém os dados e os recursos de uma organização seguros.
O que é a IAM e o que faz
Independentemente do local onde os colaboradores estiverem a trabalhar, precisam de aceder aos recursos da sua organização, como aplicações, ficheiros e dados. A maneira tradicional de fazer as coisas consistia em ter a maioria dos trabalhadores a trabalhar no local, onde os recursos da empresa eram mantidos atrás de uma firewall. Uma vez no local e com sessão iniciada, os colaboradores podiam aceder às coisas de que precisavam.
No entanto, atualmente, o trabalho híbrido é mais comum do que nunca e os colaboradores precisam de acesso seguro a recursos da empresa, estejam a trabalhar no local ou remotamente. É aqui que a gestão de identidade e acesso (IAM) entra. O departamento de TI da organização precisa de uma forma de controlar aquilo a que os utilizadores podem ou não aceder, para que os dados confidenciais e as funções sejam restritos apenas a pessoas e coisas que têm de trabalhar com eles.
A IAM fornece acesso seguro a recursos da empresa – como e-mails, bases de dados, dados e aplicações – a entidades verificadas, idealmente com o mínimo de interferência. O objetivo é gerir o acesso para que as pessoas certas possam fazer o seu trabalho e a entrada seja negada a pessoas erradas, como hackers.
A necessidade de acesso seguro vai para além dos colaboradores que trabalham nos computadores da empresa. Também inclui contratantes, fornecedores, parceiros de negócio e pessoas que trabalham em dispositivos pessoais. A IAM garante que as pessoas que devem ter acesso têm o nível certo de acesso, na altura certa e no computador certo. Por este motivo, e devido ao papel que desempenha na cibersegurança de uma organização, a IAM é uma parte fundamental das TI modernas.
Com um sistema de IAM, a organização consegue verificar de forma rápida e precisa a identidade de uma pessoa e se a mesma tem as permissões necessárias para utilizar o recurso pedido, durante cada tentativa de acesso.
Como é que a IAM funciona
A concessão de acesso seguro aos recursos de uma organização divide-se em duas partes: gestão de identidades e gestão de acessos.
A gestão de identidades pesquisa uma tentativa de início de sessão numa base de dados de gestão de identidades, que é um registo contínuo de todas as pessoas que devem ter acesso. Esta informação deve ser constantemente atualizada à medida que as pessoas entram ou saem da organização, as suas funções e projetos mudam e o âmbito da organização evolui.
Exemplos dos tipos de informações que são armazenados numa base de dados de gestão de identidades incluem nomes dos colaboradores, cargos, gestores, subordinados diretos, números de telemóvel e endereços de e-mail pessoais. Fazer corresponder as informações de início de sessão de alguém, como o nome de utilizador e a palavra-passe, à respetiva identidade denomina-se autenticação.
Para obter mais segurança, muitas organizações exigem que os utilizadores verifiquem as respetivas identidades através de algo denominado autenticação multifator (MFA). Também conhecida como verificação de dois fatores ou autenticação de dois fatores (2FA), a MFA é mais segura do que utilizar apenas um nome de utilizador e uma palavra-passe. Adiciona um passo ao processo de início de sessão, no qual o utilizador tem de verificar a respetiva identidade através de um método de verificação alternativo. Estes métodos de verificação podem incluir números de telemóvel e endereços de e-mail pessoais. Normalmente, o sistema de IAM envia um código único para o método de verificação alternativo, que o utilizador tem de introduzir no portal de início de sessão dentro de um período de tempo definido.
A gestão de acessos é a segunda parte da IAM. Após o sistema de IAM verificar que a identidade corresponde à pessoa ou coisa que está a tentar aceder a um recurso, a gestão de acessos controla a que recursos a pessoa ou coisa tem permissão para aceder. A maioria das organizações concede diferentes níveis de acesso a recursos e dados. Estes níveis são determinados por fatores como o cargo, tempo de trabalho na empresa, certificado de segurança e projeto.
A concessão do nível certo de acesso após a identidade de um utilizador ser autenticada denomina-se autorização. O objetivo dos sistemas de IAM é garantir que a autenticação e autorização acontecem de forma correta e segura em todas as tentativas de acesso.
A importância da IAM para as organizações
Um dos motivos pelos quais a IAM é uma parte importante da cibersegurança é que ajuda o departamento de TI de uma organização a encontrar um equilíbrio entre manter os dados e os recursos importantes inacessíveis para a maioria das pessoas, mas acessíveis para algumas. A IAM permite definir controlos que concedem acesso seguro a colaboradores e dispositivos, ao mesmo tempo que dificulta ou impossibilita a passagem de intrusos.
Outro motivo pelo qual a IAM é importante é os cibercriminosos estarem a melhorar os respetivos métodos diariamente. Os ataques sofisticados como e-mails de phishing são uma das origens mais comuns de acesso ilícito e falhas de segurança de dados e têm como alvo os utilizadores com acesso. Sem a IAM, é difícil gerir quem e o quê é que tem acesso aos sistemas de uma organização. As falhas de segurança e os ataques podem multiplicar-se porque é difícil ver quem tem acesso e revogar o acesso de um utilizador comprometido.
Embora, infelizmente, a proteção perfeita não exista, as soluções de IAM são uma excelente forma de impedir e minimizar o impacto dos ataques. Em vez de restringir o acesso de todas as pessoas em caso de falha de segurança, muitos sistemas de IAM são compatíveis com IA e capazes de detetar e impedir ataques antes de se tornarem problemas maiores.
Benefícios dos sistemas de IAM
O sistema de IAM certo traz vários benefícios a uma organização.
O acesso certo para as pessoas certas
Com a capacidade de criar e implementar regras centralizadas e privilégios de acesso, um sistema de IAM faz com que seja mais fácil garantir que os utilizadores têm acesso aos recursos de que precisam, sem permitir que acedam a informações confidenciais de que não precisam. Isto é conhecido como controlo de acesso baseado em funções (RBAC). O RBAC é uma forma dimensionável de restringir o acesso apenas a pessoas que precisam desse acesso para desempenhar a sua função. As funções podem ser atribuídas com base num conjunto fixo de permissões ou em definições personalizadas.
Produtividade facilitada
Apesar da importância da segurança, a produtividade e a experiência de utilizador também são importantes. Por mais que seja tentador implementar um sistema de segurança complicado para impedir falhas de segurança, ter diversos obstáculos à produtividade, como vários inícios de sessão e palavras-passe, torna a experiência de utilizador frustrante. As ferramentas de IAM como o início de sessão único (SSO) e os perfis de utilizador unificados permitem conceder acesso seguro a colaboradores em vários canais como recursos no local, dados na nuvem e aplicações de terceiros, sem vários inícios de sessão.
Proteção contra falhas de segurança de dados
Embora nenhum sistema de segurança seja infalível, a utilização de tecnologia de IAM reduz significativamente o risco de falhas de segurança de dados. As ferramentas de IAM como a MFA, a autenticação sem palavra-passe e o SSO permitem aos utilizadores verificar as respetivas identidades através de mais do que apenas um nome de utilizador ou palavra-passe, que podem ser esquecidos, partilhados ou descodificados de modo ilícito. Expandir as opões de início de sessão do utilizador com uma solução de IAM reduz esse risco, ao adicionar uma camada adicional de segurança ao processo de início de sessão que não pode ser partilhada ou descodificada de modo ilícito tão facilmente.
Encriptação de dados
Um dos motivos pelos quais a IAM é tão eficaz a melhorar a segurança de uma organização é que muitos sistemas de IAM disponibilizam ferramentas de encriptação. Estas ferramentas protegem informações confidenciais quando são transmitidas de ou para a organização e funcionalidades como o Acesso Condicional permitem aos administradores de TI definir condições como dispositivo, localização ou informações de risco em tempo real como condições de acesso. Isto significa que os dados estão seguros em caso de falha de segurança porque só podem ser desencriptados em condições verificadas.
Menos trabalho manual para as TI
Ao automatizar as tarefas do departamento de TI como ajudar as pessoas a repor as palavras-passe, desbloquear as contas e monitorizar os registos de acesso para identificar anomalias, os sistemas de IAM podem poupar tempo e esforço aos departamentos de TI. Assim, o departamento de TI ganha mais tempo para se focar em tarefas importantes como implementar uma estratégia do Confiança Zero no resto da organização. A IAM é essencial para o Confiança Zero, que consiste num quadro de segurança assente nos princípios de verificar explicitamente, utilizar acesso com privilégios mínimos e assumir a falha de segurança.
Colaboração e eficácia melhoradas
A colaboração sem interrupções entre colaboradores, fornecedores e contratantes é essencial para acompanhar o ritmo do trabalho moderno. A IAM permite esta colaboração ao garantir não só que é segura, como também rápida e fácil. Os administradores de TI também podem criar cargas de trabalho automatizadas baseadas em funções para acelerar os processos de permissões para transferências de funções e novas contratações, o que poupa tempo durante a integração.
IAM e regulamentos de conformidade
Sem um sistema de IAM, uma organização tem de controlar manualmente todas as entidades que têm acesso aos sistemas e como e quando utilizam esse acesso. Isto torna as auditorias manuais um processo demorado e de trabalho intensivo. Os sistemas de IAM automatizam este processo e tornam as auditorias e os relatórios mais rápidos e fáceis. Os sistemas de IAM permitem às organizações demonstrar, durante as auditorias, que o acesso a dados confidenciais está a ser gerido corretamente. Esta é uma parte obrigatória de muitos contratos e leis.
As auditorias são apenas uma das partes necessárias para cumprir determinados requisitos regulamentares. Muitas normas, leis e contratos exigem a gestão de acesso a dados e a gestão de privacidade. A IAM foi concebida para ajudar nisso.
As soluções de IAM permitem verificar e gerir identidades, detetar atividade suspeita e comunicar incidentes. Tudo isto é necessário para cumprir requisitos de conformidade como Conheça o seu Cliente, monitorização de transações para Comunicação de Atividade Suspeita e Regra de Sinais de Alerta. Também existem normas de proteção de dados como o Regulamento Geral Sobre a Proteção de Dados (RGPD) na Europa, a lei Health Insurance Portability and Accountability Act (HIPAA) e a lei Sarbanes-Oxley Act nos Estados Unidos que exigem normas de segurança rigorosas. Ter o sistema de IAM certo implementado facilita o cumprimento destes requisitos.
Tecnologias e ferramentas de IAM
As soluções de IAM integram-se numa variedade de tecnologias e ferramentas para ajudar a permitir a autenticação e autorização seguras à escala empresarial:
- Security Assertion Markup Language (SAML) – o SAML é o que torna o SSO possível. Após um utilizador ser autenticado com êxito, o SAML notifica outras aplicações em que o utilizador é uma entidade verificada. O motivo pelo qual o SAML é tão importante é que funciona em diferentes sistemas operativos e computadores, o que permite conceder acesso seguro em vários contextos.
- OpenID Connect (OIDC) – O OIDC adiciona um aspeto de identidade ao 0Auth 2.0, que é um quadro de autorização. Envia tokens que contêm informações sobre o utilizador para o fornecedor de identidade e o fornecedor de serviços. Estes tokens podem ser encriptados e conter informações sobre o utilizador como o nome, endereço de e-mail, aniversário ou fotografia. Os tokens são fáceis de utilizar para serviços e aplicações, o que torna o OIDC útil para autenticar jogos de telemóvel, redes sociais e utilizadores de aplicações.
- System for Cross-Domain Identity Management (SCIM) – O SCIM ajuda as organizações a gerir identidades de utilizadores de uma forma padronizada que funciona em várias aplicações e soluções (fornecedores).
Os fornecedores têm diferentes requisitos para informações de identidade do utilizador e o SCIM permite criar uma identidade para um utilizador numa ferramenta de IAM que se integra com o fornecedor para que o utilizador tenha acesso sem criar uma conta em separado.
Implementação da IAM
Os sistemas de IAM afetam todos os departamentos e todos os utilizadores. Por este motivo, é essencial ter um plano detalhado antes de implementar para uma implementação de solução de IAM bem-sucedida. É útil começar por calcular o número de utilizadores que irão precisar de acesso e compilar uma lista de soluções, dispositivos, aplicações e serviços que a organização utiliza. Estas listas são úteis para comparar soluções de IAM para garantir que são compatíveis com a configuração de TI existente na organização.
Em seguida, é importante mapear as diferentes funções e situações que o sistema de IAM terá de acomodar. Este quadro irá tornar-se na arquitetura do sistema de IAM e formar a base da documentação de IAM.
Outro aspeto da implementação de IAM a considerar é o mapa de objetivos da solução a longo prazo. À medida que a organização cresce e se expande, aquilo de que a organização precisa num sistema de IAM muda. Planear este crescimento com antecedência irá garantir que a solução de IAM está alinhada com os objetivos da empresa e que está configurada para o sucesso a longo prazo.
Soluções de IAM
À medida que a necessidade de acesso seguro a recursos em plataformas e dispositivos cresce, a importância da IAM torna-se mais clara e crucial. As organizações precisam de uma forma eficaz de gerir identidades e permissões à escala empresarial que facilite a colaboração e aumente a produtividade.
Implementar uma solução de IAM que se adequa ao ecossistema de TI existente e utiliza tecnologia como IA para ajudar os administradores de TI a monitorizar e gerir o acesso em toda a organização é uma das melhores formas de fortalecer a postura de segurança da sua organização. Para saber como a Microsoft pode ajudar a proteger o acesso a qualquer aplicação ou recurso, proteger e verificar todas as identidades, fornecer apenas o acesso necessário e simplificar o processo de início de sessão, explore o Microsoft Entra e outras soluções do Microsoft Security.
Saiba mais sobre o Microsoft Security
Microsoft Entra
Proteja identidades e recursos com uma família de soluções de identidade multicloud e acesso à rede
Azure Active Directory
Mantenha as identidades e os dados seguros, simplificando o acesso. O Azure AD passará a ser Microsoft Entra ID
Microsoft Entra ID Governance
Proteja, monitorize e faça a auditoria do acesso a recursos essenciais.
ID Externo Microsoft Entra
Forneça aos seus clientes e parceiros um acesso seguro a qualquer aplicação.
Microsoft Security
Obtenha proteção contra ciberameaças para a sua empresa, negócio ou casa.
Perguntas mais frequentes
-
A gestão de identidades está relacionada com a gestão dos atributos que ajudam a verificar a identidade de um utilizador. Os atributos estão armazenados numa base de dados de gestão de identidades. Exemplos de atributos incluem nome, cargo, local de trabalho atribuído, gestor, subordinados diretos e um método de verificação que o sistema pode utilizar para verificar que as pessoas são quem dizem ser. Estes métodos de verificação podem incluir números de telemóvel e endereços de e-mail pessoais.
O controlo de acesso gere os conteúdos aos quais o utilizador tem acesso após a verificação da respetiva identidade. Estes controlos de acesso podem ser baseados na função, certificação de segurança, nível de educação ou definições personalizadas.
-
A gestão de identidade e acesso serve para garantir que apenas as pessoas certas podem aceder aos dados e recursos de uma organização. É uma prática de cibersegurança que permite aos administradores de TI restringir o acesso a recursos organizacionais para que apenas as pessoas que precisem de acesso o tenham.
-
Um sistema de gestão de identidades é uma base de dados que armazena informações de identificação sobre as pessoas e os dispositivos que precisam de acesso aos dados e recursos de uma organização. A base de dados armazena atributos como nomes de utilizadores, endereços de e-mail, números de telemóvel, gestores, subordinados diretos, local de trabalho atribuído, nível de educação e nível de certificação de segurança. Estes atributos são utilizados para ajudar a verificar que um utilizador é quem diz ser. Um sistema de gestão de identidades deve ser constantemente atualizado à medida que as pessoas entram e saem da empresa, mudam de funções e iniciam ou terminam projetos.
-
O software de gestão de identidade e acesso fornece ferramentas para ajudar as organizações a verificar as identidades das pessoas e dos dispositivos que tentam iniciar sessão e garante que os utilizadores verificados têm acesso aos recursos certos. É uma forma centralizada de verificar a identificação, gerir o acesso e sinalizar falhas de segurança.
-
A IAM é um componente crucial da informática em nuvem pois os nomes de utilizador e as palavras-passe já não são fortes o suficiente para proteger as organizações contra falhas de segurança. As palavras-passe podem ser descodificadas de forma ilícita, partilhadas ou esquecidas e muitas organizações são demasiado grandes para gerir e monitorizar manualmente as tentativas de acesso. Um sistema de IAM facilita a atualização dos atributos de identidade, a concessão e a restrição do acesso por função, assim como a sinalização de anomalias e falhas de segurança.
Siga a Microsoft