Panorama do Gerenciamento de Identidade e Acesso

Para crescer, toda empresa, negócio ou organização precisa ter um método sistemático para organizar funcionários ou membros. Hoje, esse método frequentemente se enquadra no conceito de Gerenciamento de Identidade e Acesso (IAM), também conhecido às vezes como Gerenciamento de Acesso a Credenciais de Identidade (ICAM). Em ambos os casos, a estrutura geral define como integrar novos funcionários à organização e gerenciar a sucessão e o desprovisionamento de contas quando necessário.

Os elementos do Gerenciamento de Identidade e Acesso se aplicam a empresas de todos os portes. Nunca é cedo demais para começar a pensar em como uma organização deve gerenciar e manter funcionários ou membros.

Neste artigo, exploramos os seis principais elementos do Gerenciamento de Identidade e Acesso e como você pode aplicá-los à sua organização.

Toda organização começa com uma ou mais pessoas, e faz sentido começar pelo gerenciamento de senhas e capacitar os funcionários desde o início.

Por exemplo, mesmo antes de as pessoas começarem a configurar novas contas, elas precisam ter a capacidade de gerar senhas longas e exclusivas para cada site ou serviço de que precisam. Um gerenciador de senhas com gerador de senhas integrado facilita isso. Assim, desde o primeiro dia, os funcionários se colocam na melhor posição para ter sucesso, mantendo as contas separadas e seguras com senhas longas e exclusivas.

Depois que as pessoas têm um gerenciador de senhas para gerar senhas longas e exclusivas e armazená-las para acesso fácil, você pode avançar para o compartilhamento seguro de credenciais dentro de uma equipe. 

Gerenciadores de senhas voltados para empresas permitem gerenciar organizações e fazer compartilhamentos seguros e estruturados entre grupos de usuários. Esses grupos podem ser atribuídos a diferentes coleções de itens sensíveis, como logins da empresa, cartões de crédito compartilhados ou senhas do Wi-Fi do escritório.

Ao estabelecer uma plataforma criptografada de ponta a ponta para compartilhamento seguro, toda organização cria a base adequada para a segurança dos funcionários e da empresa.

Com uma senha longa, complexa, aleatória e exclusiva para cada conta, os usuários ficam em uma posição sólida para se manterem protegidos. Um passo ainda mais forte é adicionar login em duas etapas, ou autenticação de dois fatores, tanto ao login do seu gerenciador de senhas quanto a outros sites e serviços.

Com seu gerenciador de senhas, o login em duas etapas pode ser configurado com aplicativos autenticadores, chaves de segurança, e-mail ou SMS. Observe que, hoje em dia, o SMS é considerado um dos métodos mais suscetíveis a invasões devido à prevalência do SIM swapping como estratégia de ataque.

Qualquer que seja o caminho escolhido pelos usuários, garanta que todos entendam as implicações do login em duas etapas, mantenham uma cópia dos códigos de recuperação de login em duas etapas do site, se oferecidos, e tenham um método para fazer backup das chaves de autenticação fornecidas durante o processo de registro do login em duas etapas.

Alguns gerenciadores de senhas oferecem autenticadores integrados. Isso proporciona enorme conveniência aos usuários, especialmente em ambientes compartilhados. Agora os usuários podem compartilhar um login, incluindo a sequência de login em duas etapas, sem precisar ligar ou enviar mensagens uns aos outros para descobrir o código secreto.

É claro que alguns podem questionar o propósito de incluir uma etapa de autenticação integrada ao gerenciador de senhas e se isso anula o valor da autenticação. No fim das contas, os usuários têm escolhas, e os empregadores podem orientar sobre as práticas preferidas. Estes são os motivos para adotar uma abordagem integrada

1. O cofre do seu gerenciador de senhas deve ter seu próprio login em duas etapas usando outro método. (Importante: você não deve usar o autenticador integrado do seu gerenciador de senhas para proteger a conta do seu gerenciador de senhas.) Portanto, seu cofre e suas contas já estão protegidos com um alto nível de segurança e, de fato, com login em duas etapas.

2. Ter o login em duas etapas ativado para sites e aplicativos oferece mais segurança do que não tê-lo ativado. Uma integração mais estreita do login em duas etapas facilita seu uso com mais frequência, o que promove melhores práticas de segurança.

3. Se precisar compartilhar um item, você pode compartilhá-lo com o login em duas etapas ativado, o que, novamente, promove mais segurança. Essa é uma jogada poderosa para colaboração e login em duas etapas.

4. Você não precisa lembrar qual aplicativo autenticador usou, pois ele permanece integrado.

5. Você sempre pode escolher, caso a caso, qual login autenticar internamente no autenticador do seu gerenciador de senhas ou externamente usando um aplicativo autenticador separado.

À medida que o mundo avança para soluções sem senha, garanta que seu gerenciador de senhas e sua estratégia geral de Gerenciamento de Identidade e Acesso incluam opções sem senha. Por exemplo

• Garanta que seja possível fazer login em dispositivos com biometria, bem como habilitar recursos de preenchimento automático de credenciais com biometria

• Para logon único, também abordado mais adiante, explore opções que ofereçam experiências sem senha

• Considere o uso de chaves de segurança em toda a sua organização

• Ao implantar chaves de segurança, tenha em mente opções redundantes, bem como procedimentos de backup e recuperação caso as chaves sejam perdidas ou estejam conectadas a contas de usuários críticas para a empresa

• Por exemplo, pode fazer sentido que um funcionário registre a localização de qualquer chave de segurança de backup no cofre de gerenciamento de senhas, disponível para visualização somente em caso de tomada de controle da conta e acesso de emergência

Quanto mais rápido os funcionários se adaptam a uma nova empresa, mais rápido podem ser produtivos e contribuir para o sucesso. Como era de se esperar, o provisionamento ocupa uma grande parte do orçamento de Gerenciamento de Identidade e Acesso, mas continua distribuído entre vários sistemas e ferramentas. 

As empresas costumam personalizar seus processos de integração com base nos principais sistemas em uso, como e-mail, mensagens, serviços de diretório e logon único, abordado em mais detalhes em breve.

Para facilitar a melhor experiência de integração para os funcionários e garantir que o gerenciador de senhas se encaixe em uma estrutura geral, procure gerenciadores de senhas que ofereçam

• Uma interface de programação de aplicações (API) robusta para integração com sistemas existentes

• Uma interface de linha de comando completa que permita scripts para processos personalizados

• A capacidade de integração com sistemas existentes de Gerenciamento de Identidade e Acesso, como 

  • Serviços de diretório

  • Logon único 

  • Auditoria e logins

Empresas maiores costumam implantar serviços de diretório para manter os funcionários organizados por departamento. Por exemplo, pode haver grupos com base em vendas, marketing, engenharia, TI e finanças. Esses serviços de diretório existentes oferecem um meio de organizar funcionários por função, adicionar rapidamente novos funcionários aos grupos certos e desprovisionar contas quando necessário.

Gerenciadores de senhas de nível empresarial se integram a serviços de diretório para organizar grupos de usuários dentro do cofre da organização de gerenciamento de senhas. Se um grupo de funcionários de finanças tiver acesso a um conjunto específico de credenciais de serviços fiscais, um novo membro desse grupo receberá automaticamente acesso a essas credenciais.

Algumas empresas também usam grupos de diretório para facilitar equipes ad hoc. Por exemplo, uma equipe multidisciplinar pode ser formada em torno de uma nova iniciativa de negócios. A equipe pode solicitar um grupo próprio de gerenciamento de senhas. Com a integração de diretório, essa nova equipe pode ser sincronizada com a aplicação de gerenciamento de senhas e habilitar rapidamente um conjunto de credenciais seguras.

Com o crescimento das aplicações de software como serviço (SaaS), muitas empresas aproveitaram o logon único para habilitar o acesso unificado a contas de sites. É claro que o logon único exige que o site ou serviço tenha esse recurso disponível. Embora muitos sites voltados para empresas ofereçam logon único, ainda há uma infinidade de sites e serviços que não oferecem. Um gerenciador de senhas preenche essa lacuna e muito mais.

Alguns gerenciadores de senhas também podem se integrar ao logon único, permitindo que as empresas provisionem usuários automaticamente em uma organização. 

É claro que um aplicativo criptografado de ponta a ponta como um gerenciador de senhas é um pouco diferente de um serviço SaaS típico. Como um modelo de segurança de gerenciador de senhas com criptografia de conhecimento zero garante que o provedor não possa ver nada dentro do seu cofre, o contexto do logon único ganha um significado diferente.

A premissa central de um gerenciador de senhas é que o usuário final detém a chave para criptografar e descriptografar seus dados. O gerenciador de senhas não conhece a chave e não pode fornecê-la ao usuário caso ela seja perdida. Da mesma forma, um gerenciador de senhas não pode simplesmente entregar às cegas a chave de descriptografia de um usuário final a outro serviço de terceiros (como um provedor de identidade) e confiar que esse outro provedor manterá a chave segura.

Reconhecendo isso, um modelo seguro para integração com provedores de identidade existentes permite a autenticação por meio do provedor de identidade, mas mantém a criptografia e a descriptografia com uma senha mestra mantida pelo usuário, específica para o gerenciador de senhas. Isso garante que nenhum terceiro tenha acesso para descriptografar o cofre do usuário final. Também significa que a senha mestra de criptografia e descriptografia deve ser exclusiva para o gerenciador de senhas.

Essa abordagem também garante que os usuários possam se beneficiar de todos os aplicativos cliente oferecidos pelo gerenciador de senhas em navegadores, sistemas operacionais móveis, sistemas operacionais de desktop, acesso via web e interfaces de linha de comando.

Em uma escala maior, as empresas precisam monitorar seus sistemas, incluindo o acesso e o uso pelos funcionários. Frequentemente, as empresas implantam soluções de registro e auditoria como receptoras de informações de diversas fontes. Sistemas populares de registro e análise empresarial incluem o Splunk, juntamente com o Kibana, da Elastic. 

Sistemas robustos de gerenciamento de senhas fornecem as informações de registro por meio de interfaces de programação de aplicações (APIs) que podem alimentar os sistemas de registro existentes. Isso oferece

• Um único local para as equipes de TI e segurança coletarem informações

• A capacidade de correlacionar eventos entre um gerenciador de senhas e outros elementos de uma abordagem geral de Gerenciamento de Identidade e Acesso

• A opção de alimentar alertas existentes

As empresas têm opções ao implantar a combinação certa de ferramentas de Gerenciamento de Identidade e Acesso e podem expandir conforme crescem. Independentemente do ponto em que estejam nessa jornada, todas as empresas devem capacitar os funcionários a gerenciar credenciais com segurança, gerar senhas longas e aleatórias quando necessário e facilitar o compartilhamento criptografado de ponta a ponta de informações sensíveis.

Para levar esses recursos à sua empresa, comece hoje mesmo com uma avaliação gratuita do Bitwarden para empresas.