WHITE PAPER
A função do gerenciamento de identidades e acesso para obter conformidade contínua | fevereiro de 2012
a função do
gerenciamento
de identidades e
acesso para obter
“conformidade
contínua”
Sumner Blount, Merritt Maxim
Gerenciamento de Segurança da CA
Technologies
agility
made possible™
A função do gerenciamento de identidades e acesso para obter conformidade contínua
sumário
resumo executivo3
SEÇÃO 1:
Desafio da conformidade contínua
4
SEÇÃO 2:
Ciclo de vida da conformidade contínua
4
SEÇÃO 3:
Uma plataforma unificada para segurança e
conformidade de TI
7
Controlar identidades
8
Controlar acesso
10
Controlar informações
12
SEÇÃO 4:
Conclusões14
SEÇÃO 5:
Gerenciamento de identidades e acesso
orientado a conteúdo da
14
SEÇÃO 6:
Sobre os autores
15
A função do gerenciamento de identidades e acesso para obter conformidade contínua
resumo executivo
Desafio
Atualmente, há um foco muito grande na conformidade com as exigências legais, em manter os
sistemas de TI seguros e em garantir a privacidade de informações confidenciais corporativas e dos
clientes. E esses importantes objetivos dos negócios e da tecnologia são complicados por fatores,
como o aumento das exigências regulatórias, os ambientes de TI em constante alteração, o aumento
das exigências da diretoria e dos acionistas para reduzir custos e a necessidade cada vez maior
de reduzir os custos da conformidade. Uma abordagem efetiva e eficiente para obter e gerenciar
conformidade contínua é essencial no ambiente atual de normas complexas.
Oportunidade
Há algumas oportunidades de desempenho dos negócios que podem ser incentivadas por esses novos
requisitos. Controles de segurança efetivos para obter conformidade também podem reduzir riscos,
ajudar a automatizar os principais processos para redução de custos e de erro humano e simplificar
auditorias por meio da geração automatizada de relatórios de conformidade. A base de uma estratégia
de conformidade efetiva é uma infraestrutura de gerenciamento de identidades e acesso forte e
integrada que proteja sistemas, aplicativos, dados e processos contra o uso ou o acesso não autorizado.
No entanto, não é suficiente apenas controlar as identidades e o acesso dos usuários a aplicativos
e informações protegidas. Para obter segurança e conformidade efetivas, você precisa controlar o uso
que os usuários fazem dos dados aos quais têm acesso. Isso ajuda a evitar mau uso ou divulgação
de informações corporativas ou de clientes.
Benefícios
Além de obter os benefícios de conformidade contínua com as normas atuais e emergentes, as
organizações que implantam uma plataforma unificada de segurança e conformidade de TI terão
mais oportunidade de:
Reduzir riscos Proteger os ativos de TI e as informações essenciais, ajudar a manter a privacidade
das informações e reduzir o risco de eventos catastróficos.
Aumentar a eficiência Desenvolver processos automatizados e integrados de TI e de negócios,
propiciando maior produtividade dos funcionários e reduzindo a carga da equipe de TI.
Reduzir custos Automatizar processos de conformidade, eliminar a redundância e melhorar
a produtividade.
3
A função do gerenciamento de identidades e acesso para obter conformidade contínua
Melhorar a efetividade dos negócios Melhorar o planejamento e a tomada de decisões estratégicas
corporativas, porque uma infraestrutura de segurança e conformidade forte pode permitir acesso mais
rápido e mais fácil às informações corporativas a indivíduos adequadamente autorizados.
Aumentar a agilidade dos negócios Permitir que a organização reaja mais rapidamente aos eventos
do mercado e competitivos e tire mais proveito das oportunidades de negócios.
Seção 1:
Desafio da conformidade contínua
Utilizar a conformidade para obter melhor desempenho dos negócios
A conformidade sempre é vista como uma obrigação. Mas ela também apresenta a oportunidade
de compreender mais completamente os negócios, instituir diretivas efetivas e controles dentro delas
e usar esses controles e as tecnologias que dão suporte a eles como uma maneira de aplicar diretivas
e melhorar as operações. É aí que os benefícios reais dos esforços de conformidade são obtidos.
Quanto mais empresas compreendem isso e utilizam seus esforços de conformidade para obter
melhor eficiência nos negócios, as empresas que não adotam essa abordagem holística provavelmente
se verão em uma desvantagem competitiva significativa.
Contudo, o problema é que muitas empresas obtiveram conformidade com o uso de uma abordagem
de “força bruta” - processos manuais, demorados e sujeitos a erros que são criados simplesmente para
atender aos requisitos de uma determinada norma. Uma abordagem mais efetiva é adotar uma solução
centralizada e integrada de segurança e conformidade que facilite a conformidade contínua em toda
a organização. Este documento explora as principais tecnologias e as melhores práticas que uma
estratégia de conformidade robusta e contínua deve incluir.
Seção 2:
Ciclo de vida da conformidade contínua
Há vários elementos-chave em uma abordagem de conformidade contínua efetiva. Particularmente,
você precisa:
•Definir um conjunto de fases eficientes e interdependentes que interajam em pontos-chave do ciclo
de vida e comuniquem informações de uma maneira bem-definida.
•Implantar um conjunto de controles de segurança automatizados que protejam seus recursos de
maneira eficiente. Esses devem ser controles preventivos e de detecção - ambos são necessários
para uma conformidade efetiva.
•Criar um processo contínuo (de preferência automatizado) para monitorar todos os controles
principais de segurança regularmente para confirmar se eles estão funcionando de maneira efetiva.
•Com base nesses testes de controles, quantificar seu risco atual em todo o departamento de TI.
Com base em seus níveis de tolerância a riscos, você pode precisar alterar suas diretivas existentes,
fortificando, assim, os controles de segurança existentes.
4
A função do gerenciamento de identidades e acesso para obter conformidade contínua
A conformidade efetiva é um processo contínuo - um ciclo de vida de atividades de conformidade.
Vamos examinar cada fase da Figura A para identificar as principais atividades e tecnologias que
podem oferecer suporte e permitir a conformidade contínua.
Figura A.
 O ciclo de vida da conformidade contínua
1. I dentificar os requisitos das normas Pode ser muito desafiador compreender exatamente o que são
os requisitos de um determinado conjunto de normas. Muitas empresas usam especialistas legais ou
técnicos que analisam as novas normas para determinar como criar diretivas e controles para atender
a seus requisitos. O objetivo é eliminar controles redundantes por meio do mapeamento de todos
os requisitos das normas em um conjunto básico de controles harmonizados que podem atender
às necessidades de todas essas normas.
2. Definir diretivas As diretivas são a força vital da conformidade. Uma diretiva é uma declaração
que incorpora os objetivos e normas comportamentais que a organização deseja inculcar em seus
funcionários e parceiros de negócios. Geralmente, eles são determinados por requisitos regulatórios, pelos
riscos que as organizações desejam controlar ou pelos objetivos de negócios da empresa. As diretivas não
são imutáveis. Elas podem ser alteradas conforme novos requisitos de normas são definidos, conforme os
objetivos de negócios da empresa são alterados ou conforme os níveis de tolerância a riscos corporativos
são alterados.
5
A função do gerenciamento de identidades e acesso para obter conformidade contínua
3. Evitar violações Controles preventivos são usados para evitar violações de diretivas. Eles são essenciais
para ajudar a proteger a privacidade dos clientes, evitar vazamentos de dados e proteger o acesso
a recursos corporativos essenciais, como aplicativos, sistemas e informações. Tecnologias, como
gerenciamento de acesso à Web e prevenção de perda de dados, são todos elementos essenciais
de uma abordagem integrada dos controles preventivos de segurança.
4. Detectar e corrigir violações Nem todas as violações podem ser evitadas confiavelmente em todos
os casos. Controles de detecção precisam ser estabelecidos para identificar áreas de não conformidade
para que possam ser corrigidas antes dos efeitos se tornarem significativos. Um exemplo comum é o
de contas de usuários que estão inativas (há um funcionário proprietário, mas a conta não está mais em
uso) ou órfãs (de propriedade de um funcionário demitido). Nos dois casos (principalmente no caso de
contas órfãs), existe um risco potencial que viola os requisitos de muitas normas e melhores práticas.
Neste exemplo, podem ser estabelecidos procedimentos que monitorem periodicamente as contas de
usuários para verificar essas violações e corrigi-las rapidamente. Isso pode ser feito manualmente (uma
verificação administrativa semanal), mas uma abordagem automatizada (uma solução que identifique
e termine essas contas) é mais efetiva e eficiente para identificar violações e controlar esses riscos
potenciais.
5. Validar controles O monitoramento e a validação de controles de conformidade é um processo contínuo
e normalmente caro. Seja por causa de uma auditoria interna, externa ou de um processo programado
regularmente, os controles devem ser testados para validar sua operação correta. Como as melhores
práticas foram movidas para uma abordagem com base na validação de controles, os testes de controles
estão se concentrando apenas em testes dos controles principais. Essa é uma evolução importante
e bem-vinda de melhores práticas para validação de controles.
6. Monitorar riscos A conformidade não deve ser concretizada isoladamente. Ela está altamente
relacionada e deve ser integrada com um programa abrangente de gerenciamento de riscos de TI.
É importante que as alterações em seu perfil de conformidade (por exemplo, uma falha no controle)
também ajustem adequadamente seu perfil de riscos atual, o que permite que você execute ações
para resolver esse aumento de riscos.
Agora que consideramos o ciclo de vida da conformidade contínua, vamos examinar as principais
tecnologias que podem ser usadas para fornecer uma solução abrangente para segurança
e conformidade de TI.
6
A função do gerenciamento de identidades e acesso para obter conformidade contínua
Seção 3:
Uma plataforma unificada para segurança
e conformidade de TI
Necessidade de uma plataforma unificada de segurança e conformidade
Embora os componentes de tecnologias individuais possam ser implantados para resolver os requisitos
mais urgentes de segurança e conformidade, implantá-los isoladamente pode levar a redundâncias
e ineficiências que aumentam os custos e, potencialmente, os riscos. Uma plataforma abrangente
e integrada de segurança e conformidade é a maneira mais efetiva de garantir que um esforço
de conformidade em toda a organização seja efetivo, eficiente e sustentável.
O motivo mais óbvio de uma plataforma integrada é que componentes não integrados e sistemas
díspares geralmente são mais complexos para administrar e gerenciar. Em segundo lugar, uma
plataforma unificada permite o uso de elementos de segurança, diretivas e controles comuns em
diferentes sistemas. Com uma estratégia centralizada, as diretivas e os controles de TI são padronizados
de forma que esforço redundante e controles sobrepostos (ou conflitantes) sejam minimizados.
Funções de uma plataforma unificada de segurança e conformidade
Uma plataforma abrangente de Gerenciamento de identidades e acesso é a base para a segurança
e conformidade efetivas. A razão é simplesmente porque uma plataforma de IAM ajuda você
a responder às questões mais importantes de conformidades relativas a seus usuários:
•Quem tem acesso a o quê?
•O que eles podem fazer com esse acesso?
•O que eles podem fazer com as informações que obtiveram?
•O que eles fizeram?
Para responder a essas perguntas, você precisa poder controlar efetivamente as identidades de usuários,
seu acesso e uso das informações, da seguinte maneira:
Controlar identidades Gerenciar as identidades e funções dos usuários, provisioná-los para acesso
a recursos, simplificar a conformidade com diretivas de identidade e acesso e monitorar os usuários
e as atividades de conformidade.
Controlar acesso Aplicar diretivas relacionadas ao acesso a aplicativos Web, sistemas, serviços
de sistemas e informações importantes. Além disso, fornecer o gerenciamento de usuários com
privilégios para evitar ações inadequadas.
Controlar informações Detectar, classificar e impedir vazamento de informações confidenciais
corporativas e de clientes.
7
A função do gerenciamento de identidades e acesso para obter conformidade contínua
O gráfico a seguir destaca essas áreas-chave da conformidade e indica as tecnologias que são essenciais
para uma conformidade efetiva.
Figura B.

Controlar identidades
Para a maioria das organizações, a conformidade não é opcional. A questão não é apenas se as equipes
de conformidade precisam comprovar que têm controles adequados estabelecidos, mas como isso pode
ser feito da maneira mais eficiente e econômica. A automação dos processos de conformidade de
identidades, como certificação de direitos ou identificação de contas órfãs, significa que as equipes
de conformidade não precisam lutar continuamente para coletar dados para atender a prazos finais
de auditoria.
O gerenciamento do ciclo de vida de identidades fornece conformidade de identidades,
provisionamento, gerenciamento de funções e relatórios de atividades de usuários e de conformidade
de uma maneira modular, mas integrada. Embora cada função do gerenciamento do ciclo de vida
de identidades possa facilitar os esforços de conformidade de maneira independente, a implantação
simultânea dessas funções pode fornecer eficiências consideráveis de conformidade.
Governança de identidades significa implementar processos e controles para facilitar o acesso
adequado de usuários em base contínua. Isso inclui processos de validação, como certificação de
direitos, que pedem aos gerentes de usuários, proprietários de funções ou administradores de recursos
para rever e validar periodicamente se o acesso atual está correto. O acesso desnecessário identificado
por meio de um processo de certificação pode ser removido rapidamente para minimizar os riscos
de segurança da organização. Virtualmente, todos os regulamentos relacionados à segurança exigem
avaliação periódica dos direitos de acesso de cada usuário, e uma solução de governança de identidades
é a maneira ideal de atender a esses requisitos.
8
A função do gerenciamento de identidades e acesso para obter conformidade contínua
Relatórios com base em direitos também fazem parte da conformidade de identidades, pois ajudam
a mostrar quem tem a habilidade de fazer o que, de forma que a organização possa executar ação
corretiva conforme necessário. A implementação da conformidade de identidades permite que as
organizações implementem os controles necessários para evitar violações das diretivas de negócios e
regulatórias e, ao mesmo tempo, reduz o custo desses processos de validação por meio da automação.
O gerenciamento de funções é um elemento-chave do gerenciamento eficiente de identidades e
acesso em uma larga escala. As ferramentas de gerenciamento de funções fornecem análise poderosa
para ajudar as organizações a criar uma base de funções efetiva, que inclua funções, diretivas, direitos
de acesso, etc. A maioria das normas relacionadas à segurança especifica o requisito de um processo
claramente definido para alocar direitos de acesso de usuários. Com a criação de um conjunto de
funções que são mapeadas para os cargos de trabalho com um conjunto correspondente de regras
de acesso para cada função, um conjunto de direitos de acesso pode ser facilmente atribuído a cada
novo usuário com base na respectiva função.
Os recursos analíticos das soluções de gerenciamento fornecem valor real de conformidade com a
identificação de vulnerabilidades potenciais, como contas órfãs ou usuários com privilégios excessivos.
Além disso, as soluções de gerenciamento de funções podem ajudar a identificar funções prováveis
para cada usuário com base em semelhanças com outros usuários. Isso melhora o gerenciamento
contínuo de funções e permite que os processos de conformidade, como certificações de direitos,
sejam executados de maneira mais eficiente. Finalmente, o gerenciamento de funções permite que
as organizações desenvolvam diretivas de segurança entre sistemas que impedem que os usuários
obtenham privilégios conflitantes ou excessivos.
O provisionamento de software automatiza os processos de inclusão, modificação e exclusão
de usuários e do acesso associado. Esse tipo de tecnologia é essencialmente importante para
a conformidade com as leis por vários motivos importantes.
Primeiro, o provisionamento ajuda a fortalecer os controles internos automatizando o processo de
concessão e remoção de direitos de acesso. Sem alguma forma de provisionamento automatizado,
esse processo é manual, sujeito a erros e muito demorado. Além disso, os processos manuais são
muito mais difíceis de auditar do que os automatizados.
O provisionamento também oferece recursos preventivos poderosos, que são importantes para
o gerenciamento de riscos e a conformidade. Por exemplo, as soluções de provisionamento podem
verificar a existência de violações de separação de tarefas durante o processo de provisionamento
do usuário para minimizar os riscos de segurança. Por exemplo, normas como a Gramm-Leach-Bliley
e a Sarbanes-Oxley exigem controles para evitar a ocorrência de violações de separação de tarefas.
As soluções de provisionamento também podem gerar avisos quando os direitos de acesso que estão
sendo concedidos a um usuário são significativamente diferentes dos de seus colegas. Isso é cada vez
mais importante para fins de conformidade à medida que as organizações procuram reduzir o número
de usuários com “privilégios excessivos”, uma vez que esses usuários podem, com frequência, ser uma
origem de violações de conformidade.
Os relatórios de atividades de usuários e de conformidade são um dos problemas mais difíceis
no gerenciamento da segurança de um grande ambiente, devido à abundância de informações sobre
eventos de segurança gerados por vários componentes do sistema. Esse dilúvio de informações pode
sobrecarregar o pessoal de segurança e tornar virtualmente impossível compreender realmente o
verdadeiro estado da segurança de TI. Quantidades enormes de dados com os quais não é possível
trabalhar de maneira inteligente podem tornar o monitoramento e a conformidade muito difíceis.
9
A função do gerenciamento de identidades e acesso para obter conformidade contínua
A conformidade efetiva exige a geração de log e relatórios de eventos de segurança relevantes, bem
como recursos para sintetizar, analisar e apresentar essas informações em um formato significativo
para os administradores. Como um contraexemplo, um sistema que simplesmente relata milhares
de eventos "suspeitos" diariamente em um arquivo de log, que não é revisado ou onde nenhuma
ação é tomada, não representa um controle interno efetivo e, portanto, pode tornar a auditoria
de conformidade muito mais desafiante. O importante aqui é tornar as informações de segurança
acionáveis e relevantes.
Vimos que uma solução robusta de gerenciamento do ciclo de vida de identidades é essencial para
a conformidade de TI. Os sistemas de conformidade e provisionamento de identidades ajudam a
determinar quais direitos de acesso cada pessoa tem, quando e por que esses direitos foram aprovados
e atribuídos, e fornece validação de que uma diretiva prudente e consistente de gerenciamento de
direitos de acesso de usuários está estabelecida. O gerenciamento de funções fornece a base necessária
que pode identificar privilégios excessivos e potenciais violações da separação de tarefas. Finalmente,
os relatórios de atividades de usuários e de conformidade permitem monitoramento eficiente de
controles de segurança para melhorar sua efetividade, bem como para facilitar a conformidade.
Controlar acesso
O principal recurso de qualquer infraestrutura de TI é o controle de acesso a sistemas e a seus ativos
protegidos (arquivos, aplicativos, serviços, bancos de dados e assim por diante). Qualquer conjunto
de controles internos efetivos deve começar com um componente de gerenciamento de acesso forte.
Há duas áreas amplas a serem consideradas: o gerenciamento de acesso à Web e o gerenciamento
de usuários com privilégios. Ambos são críticos para uma conformidade efetiva.
Qualquer componente do gerenciamento de acesso à Web deve incluir duas funcionalidades:
autenticação de usuários e autorização de seu acesso a recursos protegidos. As funcionalidades de
autenticação precisam ser muito flexíveis, para que você possa variar o método de autenticação com
base em fatores, como a importância do recurso que está sendo acessado, o local do usuário, a função
do usuário e assim por diante. Além disso, um intervalo de métodos deve estar disponível, desde senhas
a métodos biométricos. Finalmente, métodos de autenticação devem estar disponíveis para serem
combinados para fornecer segurança adicional para determinados aplicativos ou transações de alto
valor.
A autorização de usuários para acesso a aplicativos, recursos e serviços protegidos é um elemento
essencial da conformidade. Um exemplo típico é o requisito da HIPAA de “implementar diretivas e
procedimentos para conceder acesso a PHI [Protected Health Information - Informações protegidas de
saúde]”. Esse é um requisito amplo, e sem uma funcionalidade de gerenciamento de autorização forte,
a conformidade não será possível.
A maioria das organizações precisa estar em conformidade com as normas e cada uma pode ter
requisitos diferentes de autorização, o que torna a tarefa de atender aos requisitos de conformidade
intimidante. Além disso, a autorização normalmente é feita dentro de cada aplicativo, o que resulta
em “silos” de aplicativos e na aplicação ineficiente e normalmente inconsistente de acesso. A aplicação
de acesso distribuído pode levar a controles internos fracos, uma vez que os administradores
provavelmente considerarão difícil determinar exatamente quais direitos de acesso um determinado
usuário tem, e como esses direitos estão sendo aplicados no conjunto de aplicativos.
10
A função do gerenciamento de identidades e acesso para obter conformidade contínua
Uma das áreas mais importantes da conformidade de TI está relacionada ao controle das ações de TI
e dos administradores de segurança, chamada de gerenciamento de usuários com privilégios. Seja
por acidente ou por má-intenção, ações inadequadas de usuários com privilégios podem ter efeitos
catastróficos nas operações de TI e na segurança e na privacidade gerais das informações e dos ativos
corporativos. Portanto, é essencial que os administradores possam executar apenas as ações para
as quais estão autorizados e apenas nos ativos adequados.
Os requisitos de muitos regulamentos e as estruturas de melhores práticas (como a ISO 27001) exigem
que sejam estabelecidos controles sobre usuários administrativos. Como um exemplo, a Seção 7.1.1
do PCI DSS está relacionada à "Restrição dos direitos de acesso de IDs de usuários com privilégios aos
privilégios mínimos necessários para executar as responsabilidades do trabalho".
Normalmente, os administradores compartilham (e algumas vezes perdem) suas senhas do sistema,
o que leva a um risco ainda maior de violações de diretivas. E quando esses usuários todos fazem
logon como "root" ou "Admin", suas ações, conforme relatadas no arquivo de log, são essencialmente
anônimas. Essas condições não apenas impõem um risco de segurança significativo, mas tornam a
conformidade extremamente difícil porque ações inadequadas não podem ser associadas ao violador.
O necessário é um controle de acesso bastante granular dos usuários administradores. Infelizmente,
a segurança do sistema operacional de servidor nativo não fornece controle suficiente sobre quem
pode acessar quais recursos, nem fornece a auditoria granular necessária para atender à maioria dos
requisitos de conformidade.
Uma solução de gerenciamento de usuários com privilégios permite que os gerentes de TI criem
e apliquem controles com base em diretivas para o acesso de usuários com privilégios aos recursos
do sistema, monitorem suas atividades e controlem em quais circunstâncias o acesso é permitido.
Isso fornece mais responsabilidade e melhor controle dos recursos críticos de TI.
Uma área de risco é o uso de senhas de usuários com privilégios, que normalmente são definidas como
valores padrão ou compartilhadas com usuários que não devem ter esses privilégios. Portanto, o PUPM
(Privileged User Password Management - Gerenciamento de senhas de usuários com privilégios) seguro
é uma funcionalidade básica de conformidade.
O PUPM fornece acesso a contas com privilégios por meio da emissão de senhas em um base
temporária, para usar uma única vez, ou conforme for necessário, e, ao mesmo tempo, estabelece a
responsabilidade pelas ações do administrador por meio de auditoria segura. O PUPM oferece benefícios
de conformidade significativos não apenas de uma violação potencial, mas também monitorando o uso
dessas contas. Portanto, se uma auditoria de conformidade revelar a evidência de uma violação
potencial, a funcionalidade PUPM poderá determinar quem foi responsável pela propagação de uma
alteração em um sistema crítico.
A Segurança da virtualização tem cada vez mais importância à medida que as empresas expandem o
uso de sua tecnologia de máquina virtual. Por sua própria natureza, os ambientes virtualizados impõem
um risco especial de segurança, porque, se for possível violar o hipervisor ou outra máquina virtual,
a quantidade de danos que poderão ser provocados será substancial. Em reconhecimento a esse fato,
o Suplemento das diretrizes de virtualização do PCI DSS de 2011 expande significativamente o escopo
da conformidade com o PCI DSS porque exige que, se qualquer componente de um ambiente virtual
contiver dados de titulares de cartão, todo o ambiente virtual (inclusive o Hypervisor) deve estar em
conformidade. Portanto, a conformidade com o PCI DSS agora exige controles adicionais em torno
do hypervisor para garantir a proteção dos dados de titulares de cartão.
11
A função do gerenciamento de identidades e acesso para obter conformidade contínua
A Autenticação avançada e a Prevenção contra fraudes fornecem funcionalidades flexíveis para
fortalecer sua autenticação de usuários, inclusive a autenticação com base em riscos, para ajudar a
identificar e evitar tentativas de atividades fraudulentas. A autenticação de dois fatores, por exemplo,
fornece segurança mais forte do que as senhas, mas quando implementada como tokens de hardware,
pode criar ela própria problemas significativos de custos e de inconveniência. Uma solução de
autenticação com vários fatores e apenas de software ajuda a eliminar esses problemas e fornece
maior segurança para ativos essenciais. E, o mais importante, qualquer aumento da potência de seus
controles de segurança tem probabilidade de facilitar a conformidade com as leis relevantes.
A autenticação com base em risco pode melhorar a conformidade porque permite que fatores
contextuais sejam integrados no processo de autenticação. Esses fatores, como a localização do usuário,
suas atividades recentes e a hora do dia, podem exigir que uma autenticação mais forte (autenticação
“step-up”) seja usada.
Observe que os recursos de gerenciamento de acesso devem incluir todos os sistemas de mainframe
do ambiente. A segurança é apenas tão boa quanto o link mais fraco, e sem segurança efetiva para
o mainframe, todo o seu perfil de conformidade será reduzido. Além disso, a integração de soluções
entre sistemas de mainframe e distribuídos é importante para simplificar a administração da segurança
e para permitir consistência razoável do processo em todo o ambiente.
Controlar informações
Muitos provedores de gerenciamento de identidades oferecem soluções focalizadas no gerenciamento
de identidades de usuários e em seu acesso. No entanto, é essencial que o uso das informações
também seja controlado para que você possa determinar se as diretivas de uso estão sendo violadas.
Por exemplo, com frequência, os funcionários admitem levar dados confidenciais para fora da empresa
ao deixar seu local de trabalho. Durante os períodos de recessão econômica, esse é um risco importante
contra o qual as organizações devem se proteger.
A habilidade de controlar o acesso até o nível dos dados (em vez de apenas até o “nível de recipiente”,
por exemplo, arquivo) é um requisito de conformidade essencial e uma habilidade que diferencia os
principais fornecedores de gerenciamento de identidades. O termo “IAM orientado a conteúdo” descreve
essa funcionalidade, porque o conteúdo real dos dados é usado para determinar se há violações de
diretivas de segurança. E o histórico de uso dos dados dos usuários pode ser usado para modificar
dinamicamente seus direitos de acesso, por exemplo, para ajudar a evitar riscos ou violações adicionais.
A habilidade de ajustar dinamicamente as diretivas e os privilégios dos usuários com base no histórico
de uso dos dados é uma evolução inovadora e importante do gerenciamento de identidades e acesso.
As organizações precisam identificar e detectar quais informações confidenciais residem na empresa
e onde. Em seguida, elas precisam protegê-las e controlá-las adequadamente. É aí que a DLP (Data Loss
Prevention, Prevenção contra a perda de dados) entra em jogo.
A DLP oferece proteção contra a perda de dados com a análise e proteção dos dados em pontos
de extremidade (laptops, computadores), servidores de mensagens (email interno e externo e email
enviado de dispositivos móveis), no limite da rede, e a detecção e proteção de dados armazenados
(por exemplo, dados confidenciais de identificação em repositórios do SharePoint).
As soluções de DLP permitem a criação de diretivas flexíveis para muitos tipos de dados (informações
de identificação pessoal, informações não públicas, propriedade intelectual, etc.). As diretivas
inspecionam as atividades de dados para verificar possíveis violações de segurança. Essas atividades
12
A função do gerenciamento de identidades e acesso para obter conformidade contínua
incluem email, mensagens instantâneas, uso da Web, FTP, SMTP, HTTP, salvamento em mídia removível,
impressão de arquivos, etc.
A solução de DLP pode então identificar violações e tomar a ação adequada imediatamente, como
bloquear uma atividade, colocá-la em quarentena ou apresentar um aviso ao usuário.
A necessidade de conformidade orientando DLP é óbvia. Com a DLP, as organizações podem minimizar
a divulgação deliberada ou acidental de dados privados ou confidenciais. Sem a DLP, as organizações
se encontram em uma situação de maior risco de divulgação dos dados, o que pode levar a violações
de conformidade e a suas respectivas penalidades. Mas também existe uma necessidade maior dos
negócios por trás da DLP, pois os clientes, parceiros e acionistas esperam que as organizações tenham
soluções de DLP estabelecidas para conduzir negócios com a empresa. Portanto, uma implantação
de DLP pode realmente servir como uma vantagem competitiva dos negócios.
O último componente-chave da DLP é a possibilidade de vincular dados confidenciais a uma identidade
individual. Uma coisa é saber que dados privados foram acessados e/ou vazados, mas o valor real está
em identificar o usuário responsável por essa ação. Depois de identificar o usuário, a organização pode
examinar as funções e os direitos individuais do usuário e, potencialmente, ajustar seus privilégios.
Segurança e conformidade na nuvem em ambientes personalizados
A segurança é um desafio significativo na maioria dos ambientes corporativos. À medida que as
empresas adotam modelos avançados de computação, como ambientes virtualizados ou computação
na nuvem, a segurança se torna ainda mais complexa. Por exemplo, em um ambiente virtualizado,
uma violação da plataforma virtual pode comprometer todos os aplicativos em execução em todas
as máquinas virtuais daquela plataforma. De maneira semelhante, a computação na nuvem oferece
desafios complexos de segurança devido à multilocação, com a colocação potencial resultante de
informações corporativas e de clientes particulares de muitos clientes da nuvem.
As empresas já começaram a criar nuvens privadas usando a virtualização. Os ambientes virtualizados
exigem maior segurança sobre as ações de usuários com privilégios porque suas ações podem ter um
impacto muito amplo. Especificamente o controle de acesso administrativo granular, bem como o
gerenciamento de usuários com privilégios, são essenciais para proteger ambientes virtualizados.
A computação na nuvem é uma das principais novas tendências de computação que exigem
abordagens inovadoras de segurança. Os provedores de serviços precisarão adicionar segurança para
fornecer garantia aos clientes potenciais de serviços com base na nuvem. E, como um provedor na
nuvem deve atender essencialmente aos requisitos de segurança e conformidade de todos os seus
clientes na nuvem, esses recursos de segurança com base na nuvem devem ser robustos, com base
em padrões e rigorosamente testados.
A conformidade também é mais complicada em um ambiente na nuvem por dois motivos. Primeiro,
seus dados podem estar localizados no site do provedor na nuvem, o que introduz desafios complexos
para garantir que os dados permaneçam privados e seguros, não apenas em relação a terceiros, mas
também a outros clientes e a administradores na nuvem não autorizados. Em segundo lugar, o provedor
na nuvem deve implementar controles de conformidade que sejam suficientes para atender aos
requisitos das normas às quais você está sujeito. Por exemplo, muitos países têm seus próprios
requisitos de privacidade para quaisquer dados armazenados no país. Se os dados privados de seus
clientes estiverem na nuvem, você precisará saber onde eles residem e como estão sendo protegidos.
13
A função do gerenciamento de identidades e acesso para obter conformidade contínua
Seção 4:
Conclusões
As regulamentações governamentais relacionadas à segurança geralmente têm muitos requisitos
comuns. O requisito mais comum está relacionado ao conceito de saber quem são os usuários, a quais
aplicativos e recursos eles têm direitos de acesso e o que (e quando) eles realmente fizeram. A maneira
mais efetiva de atender a esse nível de controle é por meio de uma plataforma de IAM centralizada
e integrada que possa controlar as identidades, o acesso e o uso das informações.
Uma solução de Gerenciamento de identidades e acesso orientado a conteúdo é essencial para permitir
conformidade automatizada, o que facilita eficiências de custos e reduz o esforço necessário para obter
e manter a conformidade. Sem a automação da conformidade, os controles manuais típicos continuarão
em vigor, limitando a efetividade de controles internos e impactando a habilidade de uma empresa
de competir com êxito com concorrentes mais ágeis.
Seção 5:
Gerenciamento de identidades e acesso orientado
a conteúdo da CA Technologies
A CA Technologies é um fornecedor líder de software de segurança que fornece uma plataforma
abrangente de IAM orientado a conteúdo em sistemas distribuídos e de mainframe. Os componentes
da solução de IAM da CA incluem o seguinte:
Controlar identidades
O CA IdentityMinder™ fornece recursos avançados de gerenciamento de usuários com provisionamento
automatizado de usuários, autoatendimento de usuários, fluxos de trabalho para aprovações da
gerência, administração de usuários delegada e uma interface do usuário fácil para criação de diretivas
e administração de identidades.
O CA GovernanceMinder™ fornece análise avançada e um mecanismo de diretivas poderoso que
melhoram o tempo levado para a valorização de atividades básicas, como limpeza de privilégios
e detecção de funções.
Controlar acesso
O CA SiteMinder® fornece uma base para o gerenciamento centralizado de segurança que permite
o uso seguro da Web para fornecer aplicativos e dados aos clientes, parceiros e funcionários.
O CA ControlMinder™ fornece uma solução robusta para gerenciamento de usuários com privilégios,
proteção de servidores, aplicativos e dispositivos entre várias plataformas e sistemas operacionais.
Fornece direitos de acesso mais granulares e maior segurança do que a segurança básica do sistema
operacional. Ajuda a melhorar a segurança por meio da emissão de senhas de usuários com privilégios
em base temporária, para um único uso e, ao mesmo tempo, estabelece a responsabilidade pelas ações
de usuários por meio de auditoria de segurança.
14
A função do gerenciamento de identidades e acesso para obter conformidade contínua
O CA AuthMinder™ é uma solução de autenticação avançada de apenas software, que dá às
organizações uma solução única para criar uma estratégia de autenticação coesa e robusta. Com
um amplo intervalo de métodos de autenticação, é possível ajudar a eliminar custos redundantes na
cadeia de autenticação. De maneira ideal, o CA AuthMinder é adequado para organizações que desejam
escolher os métodos de autenticação apropriados para riscos, sem precisar instalar soluções de
autenticação de vários fornecedores.
O CA RiskMinder™ é uma solução de autenticação com base em detecção de fraudes e riscos na
Web que impede fraude em tempo real para serviços online corporativos e de consumidor sem ser
inconveniente para os usuários legítimos. O CA RiskMinder examina um intervalo de dados
automaticamente e produz uma contagem de riscos com a combinação de analítica com base em
regras e em modelos. Com base na Contagem de riscos, os usuários podem continuar a ser obrigados
a fornecer credencias de autenticação adicionais ou não receber acesso.
O CA ACF2™ e o CA TopSecret® Security permitem compartilhamento controlado de seus
computadores e dados de mainframe e, ao mesmo tempo, previnem a destruição, modificação,
divulgação e/ou mau uso acidentais ou deliberados de recursos do computador. Eles permitem
que você controle quem usa esses recursos e fornece os fatos de que você precisa para monitorar
efetivamente sua diretiva de segurança.
Controlar informações
O DataMinder™ utiliza identidades para analisar as atividades dos usuários finais em tempo real
e compreender os dados com um alto nível de precisão para ajudar as organizações a proteger
informações confidenciais de maneira mais efetiva.
Seção 6:
Sobre os autores
Sumner Blount está envolvido no desenvolvimento e no marketing de produtos de software há mais
de 25 anos. Ele gerenciou o grupo de desenvolvimento de sistemas operacionais para grandes
computadores da Digital Equipment e da Prime Computer e dirigiu o grupo de Gerenciamento de
produtos de computação distribuída da Digital. Mais recentemente, ele ocupou vários cargos de
gerenciamento de produtos, inclusive o de gerente da família de produtos SiteMinder da Netegrity.
Atualmente, ele está focalizado em soluções de segurança e conformidade da CA Technologies.
Merritt Maxim tem 15 anos de experiência em gerenciamento e marketing de produtos no setor
de segurança de informações, incluindo cargos na RSA Security, na Netegrity e na CA Technologies.
Em sua função atual na CA Technologies, Merritt trata do marketing de produtos para gerenciamento
de identidades e de iniciativas de segurança na nuvem. Coautor do “Wireless Security”, Merritt participa
de blogs sobre vários tópicos de segurança de TI e pode ser acompanhado no www.twitter.com/
merrittmaxim. Merritt é bacharel cum laude em ciências humanas pela Colgate University e recebeu
seu MBA na MIT Sloan School of Management e é autor do "Wireless Security".
15
A função do gerenciamento de identidades e acesso para obter conformidade contínua
A CA Technologies é uma empresa de software e soluções de gerenciamento
de TI com experiência em todos os ambientes de TI, de mainframes e
sistemas distribuídos a virtuais e na nuvem. A CA Technologies gerencia
e protege os ambientes de TI e permite que os clientes forneçam serviços
de TI mais flexíveis. Os produtos e serviços inovadores da CA Technologies
fornecem a visão e o controle essenciais para as organizações de TI
aumentarem a agilidade dos negócios. A maioria das empresas que compõe
a lista Global Fortune 500 conta com a CA Technologies para gerenciar seus
ecossistemas de TI em constante evolução. Para obter informações
adicionais, visite o site da CA Technologies em ca.com.
Copyright © 2012 CA. Todos os direitos reservados. Todas as marcas comerciais, nomes de marcas, marcas de serviço e logotipos
aqui mencionados pertencem às suas respectivas empresas. Este documento é apenas para fins informativos. A CA não assume
responsabilidade pela precisão ou integridade das informações. Na medida do permitido pela lei aplicável, a CA fornece este
documento “no estado em que se encontra”, sem garantias de nenhum tipo, incluindo, sem limitações, garantias implícitas de
comercialização, adequação a uma finalidade específica ou não violação. Em nenhuma circunstância a CA será responsável por
perdas ou danos, diretos ou indiretos, decorrentes do uso deste documento, incluindo, sem limitações, perda de lucros, interrupção
de negócios, fundo de comércio ou perda de dados, mesmo que a CA tenha sido expressamente informada sobre a possibilidade
de tais danos com antecedência. A CA não oferece aconselhamento jurídico. Nenhum produto de software mencionado neste
documento funciona como substituto para a conformidade com quaisquer leis, incluindo, sem limitações, qualquer ato, estatuto,
regulamentação, regra, diretiva, padrão, política, ordem administrativa, ordem executiva, e assim por diante (coletivamente, “Leis”),
mencionadas neste documento ou quaisquer obrigações contratuais com terceiros. O Cliente deve consultar-se com um consultor
jurídico competente em relação a quaisquer Leis ou obrigações contratuais.
CS1933_0212