Prensa

Compartilhe esta publicação

Prensa
Prensa
Identity and Access Governance (IAG) e o Impacto da Inteligência Artificial
Copiar link
Facebook
Email
Notes
Mais
Cybersecurity

Identity and Access Governance (IAG) e o Impacto da Inteligência Artificial

Prensa
ago 04, 2020

Compartilhe esta publicação

Prensa
Prensa
Identity and Access Governance (IAG) e o Impacto da Inteligência Artificial
Copiar link
Facebook
Email
Notes
Mais
Compartilhar
Identity and Access Governance (IAG) e o Impacto da Inteligência Artificial

Todos os dias nos conectamos a diversos sistemas, seja no âmbito pessoal ou profissional. Enquanto nas redes sociais e sistemas direcionados ao cliente há uma crescente preocupação com a redução do atrito para viabilizar o acesso e até mesmo compras, nos sistemas corporativos o foco principal está na segurança. 

Quando um novo colaborador é contratado, deve-se criar um pacote de provisionamento de acessos, ou seja, é feita a criação inicial dos usuários e senhas para possibilitar àquela pessoa a conectividade aos sistemas. Cada indivíduo terá acessos diferentes de acordo com as suas atribuições.  

E como funciona na prática? Toda vez que uma nova pessoa integra a equipe você precisa pensar em quais acessos vai dar? 

As plataformas de IAG integradas com Inteligência Artificial possibilitam automatizar um processo que, há pouco mais de dez anos, era feito manualmente. Uma plataforma de Gestão de Acessos e Credenciais fornece ferramentas de gerenciamento de acesso além de recursos para criação de credenciais e perfis. 

Boas práticas 

O ciclo do IAG prevê as seguintes fases e recomendamos algumas boas práticas: 

  1. Provisionamento: Kit de admissão 

  1. Pedido de acesso: Recomendações e aprovações diretas (pela inteligência artificial) 

  1. Gestão de senhas: Que tal uma abordagem de IAG para acesso privilegiado? Que tal uma unificação de bases e federação? 

  1. Certificação de acesso: Que tal mais inteligência com IA para uma melhor modelagem e insights? 

  1. Segregação de funções: capacidade de criação de perfis ampliada pelo apoio da IA 

  • Kit de admissão: o kit de admissão é um perfil básico com os melhores acessos baseados em alguns fatores como o cargo da pessoa. Este “kit” deve ser criado através de um estudo prévio de uma matriz que leve em conta cargo, posição geográfica, atividades e quaisquer outras necessidades prévias que já possam ser liberadas pelo RH no momento da contratação; 

  • Fluxo de aprovação: o primeiro desafio é saber realizar a solicitação corretamente e ter pontos de alerta mapeados para solicitações que destoem das atribuições do perfil atribuído; 

  • Aprovações prévias e acessos privilegiados: um ponto em que a Inteligência Artificial pode ajudar é atribuir critérios de reputação ao usuário ou aplicar algum outro filtro que permita liberações automáticas para usuários em determinados sistemas; 

Um olhar para o passado 

A gestão de senhas no modo tradicional é algo bem complexo. Delegar estes acessos exige sincronismo de senhas e existem uma série de dificuldades tecnológicas, pois as plataformas evoluem e o sincronismo deixa de funcionar, obrigando que o sistema gestor esteja sempre evoluindo junto às plataformas que gerencia. 

De fato, sincronismo de senhas de sistemas é um dos desafios, mas o principal ponto da governança está na segregação de funções. Além dos critérios estabelecidos na matriz, podem existir nuances dentro das empresas que impactam na certificação dos acessos que serão atribuídos aos indivíduos, ou seja, duas pessoas com o mesmo cargo podem ter acessos diferentes. 

Se pensarmos nos últimos dez anos, podemos notar um crescimento exponencial tanto no número de sistemas quanto no número de pessoas conectadas. Henrique Quintino cita o seguinte exemplo: “Em 2010 você tinha um computador desktop com Windows NT, conectava-se ao seu Outlook, ao seu Lotus Notes. Hoje as pessoas tem diversos dispositivos para acesso e dezenas de aplicativos”. 

Além do crescimento de sistemas, a adoção de tecnologia também está cada vez mais popular. Em todos os ambientes há pessoas entrando para o sistema desde o chão de fábrica. Todos estamos conectados o tempo todo. 

A Inteligência Artificial e Machine Learning 

Em um setor de compras, presume-se que o usuário precisa de acesso ao sistema que possibilite efetuar pagamentos, em um setor de marketing, possívelmente, o usuário terá acesso ao comportamento de compra dos clientes e assim sucessivamente.  

Por conta do nível de complexidade, este é um trabalho que já é feito pela IA das plataformas de governança de identidade e acesso para proceder com a certificação do acesso. 

A certificação do acesso é quando questionamos, por exemplo, ao gestor, se os funcionários dele deveriam ter aquele acesso. Ao questionar o responsável, teremos certeza e podemos acrescentar este dado para o sistema replicar o mesmo comportamento em perfis similares. 

Dentro da Identity & Access Governance,  a IA é capaz de: 

  • Monitorar em tempo real as sessões; 

  • Mapear padrões de comportamento do usuário;  

  • Dar respostas imediatas às irregularidades. 

Existem dois tipos de modelo de aprendizado: 

  • Modelo supervisionado: supervisão de um humano 

  • Modelo não supervisionado: feito por algoritimos (IA/ML) 

Esses grupos podem ter coisas parecidas umas com outra que não são necessariamente óbvias.  

Henrique Quintino cita: “O Henrique tá no Brasil, mas ele tem um conjunto de acessos parecidos com uma pessoa que está nos Estados Unidos. Esse conjunto de acesso é mais importante para identificá-lo com esse grupo do que o país que ele tá então, você sabe que não é uma correlação direta tão simples, por isso que a gente cria esses grupos representando cada uma das permissões, cada um dos atributos, cada um dos comportamentos deles que estiverem iguais”. 

Pandemia, Home Office e VPN 

Com o advento da COVID-19, a infraestrutura teve que se reinventar para que toda essa população pudesse trabalhar de uma maneira home office. 

No ínicio da pandemia os gestores tiveram que priorizar velocidade e agilidade em detrimento da segurança. 

Muitos simplesmente liberaram acesso ao VPN para todo mundo inserindo ao Kit básico através da plataforma de IAG. 

No momento inicial, a preocupação era ter o funcionando do negócio e são muitos os desafios da transformação digital no que tange a governança na administração de entidades. 

Além disso, no ecossistema geralmente existe conectividade ou integrações com sistemas distintos dentro da organização ou até mesmo sistemas que estão fora do perímetro, o chamado ambiente híbrido, ou seja, serviços que contratamos em nuvem privada. 

Na nuvem então alguns exemplos aqui que de tecnologias e aplicações que estão sendo utilizadas no box Dropbox share Point one drive tá muitos outros muitas vezes aí ia ser a pergunta lá como a sua empresa está governando o acesso desses dados nessas plataformas? Muitas vezes a empresa mesmo dentro de casa, ela não consegue fazer uma governança adequada a gestão de quem está acessando como está acessando e o quanto está acessando dentro de casa. - Dárcio Takara (Sec4You) 

Neste segundo momento, os gestores precisam realizar uma revisão de tudo que foi dado para as pessoas. 

Não só por questões de segurança, mas também em vista do controle de licenças e de utilização que podem estar sendo afetados. Num momento em que muitas empresas enfrentam crise e em que todos os custos impactam no orçamento, é fundamental uma gestão que só conceda licenças de software para quem realmente fará uso do mesmo. 

Outro ponto de atenção é a autenticação. É possível estabelecer mecanismos fortes de validação, multi fator de autenticação ou um segundo ponto autorização Esta combinação de ações se traduz em privilégio mínimo e revisão: primeiro você garante o acesso e em seguida confere se o ecossistema de acessos está saudável. 

Vetores de ataque e risco de fraude 

"O maior risco é uma pessoa que é um administrador de uma solução uma pessoa que tem conta de usuário em todas as outras soluções. Você tá procurando um vetor de ataque é melhor, você tem mais as peças do que você tem um super acesso a um super até te deixar restrito a uma tecnologia. Então esse roubo de credencial de uma pessoa por exemplo de um comercial com vários sistemas de venda vai dar acesso a ter uma invasão ataque de vários diretores de vendas, né”? - Henrique Quintino 

2020 Data Breach Investigations Report 

Se você começar a colocar tudo na ponta do lápis, não fazer o gerenciamento de identidades e acessos pode constituir num prejuízo enorme para a sua empresa. 

Ao colocar centenas de pessoas acessando seus dados, pode existir a falha humana.  Estas falhas deixam a segurança frágil e então começam as fraudes que, por sua vez,  vão deixar sua empresa mais suscetível a ataques. 

LGPD na Gestão de Identidade e acessos 

Sistemas de IAG também são utilizados para administração de clientes e neste caso a intersecção com a LGPD está na privacidade de dados coletada e no consentimento. Desta forma, o sistema de gestão de identidade é um acessório para você alcançar a conformidade com a LGPD. 

Desta forma você consegue estipular quais partes dos dados dos clientes o seu colaborador terá acesso e o que ele pode e não pode fazer com estes dados levando em conta o consentimento do cliente. 

Implantação e Auditoria 

Processos de auditoria são fundamentais para a saúde da sua empresa. 

Na auditoria interna, o auditor aponta as não conformidades e mostra que você não tem controle do ambiente. Na auditoria externa, a fragilidade é maior ainda visto que o relatório muitas vezes se torna disponível para o público. Ambas deixam as falhas muito visíveis. 

"E aí você vai ter aquela famosa anedota da empresa que tem duas certificações e duas auditoria sem por ano uma auditoria acaba, aí eles fazem a festa de que terminou. Nesse mesmo dia começa a festa de quê? Começou a próxima auditoria, né"?  - Henrique Quintino 

O que geralmente acontece é que as empresas não pensam nisso até que seja tarde.Você não pode automatizar uma auditoria com pessoas do helpdesk, você precisa de pessoas muito mais caras muito mais valiosas e isso acaba sendo um ponto de entrada do projeto.  

A certificação de acessos é algo complexo, mas muitas vezes a pessoa que ficaria responsável por estas liberações recebe diversas demandas e aprova de forma massiva e sem muita análise. A criação da matriz de perfis é um trabalho que deve preferencialmente envolver uma equipe multidisciplinar. 

Se um perfil está bem feito, fica muito mais simples atribuir ou retirar acessos. Possibilita uma reanálise posterior da arquitetura daquele perfil e  quando houverem mudanças é possível atribuir ao grupo todo de uma única vez. A melhora vai refletir em todos os usuários daquele perfil, minimizando erros do gestor.   

Se você precisa convencer um gestor de que a contratação de um sistema de IAG é importante para a otimização e segurança da empresa, mobilize um comitê com pessoas-chave nos processos. Esse comitê vai te ajudar a vender o projeto, pois vai apontar as dores na hora de construir uma matriz de segregação de função. Ao refletir sobre quanto vale um sistema de IAG, você acaba descobrindo que custa muito mais não ter uma plataforma. 

Este artigo foi escrito por Alfredo Santos e publicado originalmente em Prensa.li.

Compartilhe esta publicação

Prensa
Prensa
Identity and Access Governance (IAG) e o Impacto da Inteligência Artificial
Copiar link
Facebook
Email
Notes
Mais
Compartilhar

Discussão sobre este post

Nenhuma publicação

Pronto para mais?

© 2025 Prensa
Privacidade ∙ Termos ∙ Aviso de coleta
Começar a escreverObtenha o App
Substack é o lar da grande cultura

Compartilhar

Copiar link
Facebook
Email
Notes
Mais