Gerenciamento de Identidades e Acessos (GIA)

Alfredo Santos

Alfredo Santos
Formado em: Cincias da Computao Gesto de Empresas Gesto de TI Autor de livros de Segurana e Arquitetura de Sistemas Certificado em Cobit e ISO 27002 Email: alfredo.luiz@gmail.com
Linkedin: http://www.linkedin.com/profile/view?id=871673

Agenda
O que Gerenciamento de Identidades? O que Gerenciamento de Acesso? Componentes de um GIA Boas prticas de GIA

O que Gerenciamento de Identidades?

Gerenciamento de identidades o conjunto de processos e tecnologias voltadas para o tratamento e manipulao de identidades de usurios desde o nascimento dos dados em sistemas de RH e cadastros de terceiros at as aplicaes gerenciadas (sistemas operacionais, correios eletrnicos, acesso fsico etc.).

O que Gerenciamento de Acessos?

Gerenciamento de acessos o conjunto de processos e tecnologias voltadas para o tratamento das tentativas de acessos aos sistemas e inclui alm da autenticao a autorizao e o registro dos acessos.

Componentes de um GIA
Fontes autoritativas Metadiretrio Recursos conectados Workflow Rastreabilidade

Fontes autoritativas
Fontes autoritativas so os repositrios de origem de dados cadastrais de usurios. Fontes autoritativas podem ser divididas em categorias, exemplos:
Cadastros bsicos. E-mail. Autorizao de acesso.

Fontes autoritativas
Fontes autoritativas de cadastros bsicos
Responsveis por prover os dados bsicos de um usurio, como nome, departamento, localidade. Devem conter dados confiveis, sendo o primeiro local a saber que um usurio mudou de departamento, de unidade na empresa, saiu de frias ou foi demitido. Exemplos:
Sistemas de RH. Cadastros de terceiros. Cargas peridicas de dados.

Fontes autoritativas
Fontes autoritativas de e-mail
Responsveis por prover o e-mail atualizado do usurio. Tradicionalmente, esta informao gerenciada pelo administrador de correio eletrnico e a mesma propagada aos demais recursos conectados, conforme figura 1.4, mas um ponto de ateno em gerenciamento de identidade na origem do email que o e-mail pode ser originado tambm pela ferramenta de gerenciamento de identidade, baseando-se em regras de criao, como, por exemplo, primeiro nome + sobrenome ou primeira letra do primeiro nome + sobrenome, mas um processo deste tipo pode ser complicado de gerenciar devido a conflitos de nomes gerados. (asantos@empresa.com pode ser Alfredo Santos ou Andr Santos).

Fontes autoritativas
Fontes autoritativas de e-mail
Exemplos de fontes autoritativas: Sistemas de correio eletrnico. Gerador de nome de e-mail corporativo. Nota: Gerador de nome de e-mail corporativo uma ferramenta de cadastro e sugesto de e-mails utilizada em grandes corporaes. Esta funo pode ser exercida pelo gerenciamento de identidade, mas no uma tarefa recomendada.

Fontes autoritativas
Fontes autoritativas de autorizao de acesso
Responsveis por prover o que cada usurio pode fazer em cada sistema conectado. Pode ser um sistema desenvolvido na prpria empresa ou um produto de mercado. Esta fonte autoritativa determina a concesso e remoo de acessos de usurios, informando o servio de gerenciamento de identidade. Exemplos: Cadastro em um banco de dados de aplicaes/acessos. Cadastro em um repositrio ldap de aplicaes/acessos.

Metadiretrio
Metadiretrio o repositrio central de identidades e acessos, responsvel por ser o intermedirio entre as fontes autoritativas e os recursos conectados. O armazenamento de dados pode ser em banco de dados relacional ou em diretrios hierrquicos como, por exemplo, LDAP compatveis, mas alguns dados no ficam armazenados no metadiretrio, apenas trafegam pelo gerenciamento de identidade, porque s interessam para um ou outro recurso.

Recursos conectados
Recursos conectados so todos os ambientes destino que possuem um repositrio de usurios que possa ser gerenciado recebendo leituras, inseres, excluses, alteraes etc. Exemplos de recursos: Correio eletrnico. Bancos de dados JDBC. Mainframe. Unix.

Workflow
Workflow em GIA responsvel por gerenciar os fluxos de solicitao de acesso, cancelamentos e alteraes. Este fluxo interage com a soluo de GIA para disparar atividades contra os Recursos conectados, como por exemplo a excluso de um usurio.

Rastreabilidade
Rastreabilidade todo registro de atividades tanto de manuteno quanto de solicitaes de acesso. Este item muito importante para atender fins de auditoria, quando necessrio identificar tudo que ocorreu a um usurio.

Boas prticas de GIA

Realizar um projeto prvio de organizao de cadastro de usurios eliminando usurios duplicados. Definir processos de GIA de acordo com as regras de compliance necessrias para sua empresa

Boas prticas de GIA

Definir pessoas responsveis por recursos Definir perfis de acesso aos recursos Definir pessoas responsveis por estes perfis Incluir o Gestor Hierarquico nas aprovaes de solicitaes

Boas prticas de GIA

Incluir reas de controle como aprovadoras no processo quando isso se aplicar Automatizar a integrao das aprovaes com os recursos, diminuindo interaes manuais Gravar todos acessos de um usurio em um repositrio central

Boas prticas de GIA

Eliminar todos acessos de um usurio no desligamento, consultando este repositrio central Incluir uma anlise de segregao de funes no processo de concesso de acesso Gravar todas atividades relacionadas a concesso de acesso

Boas prticas de GIA

Utilizar autenticao forte (Ex token, sms, biometria) quando possvel. Tratar de forma diferenciada acessos privilegiados ao ambiente. Conceder de forma temporria acessos crticos ao ambiente

Boas prticas de GIA

Controlar no Workflow de solicitao de acesso o que o usurio pode pedir, minimizando solicitaes incorretas Realizar reconciliao de cadastros entre o Metadiretrio e os recursos para identificar inconsistncias.

Boas prticas de GIA

Realizar recertificaes de acesso perodicas junto aos usurios responsveis por recursos e perfis para que eles identifiquem eventuais acessos indevidos.