Gerenciamento de acesso e identidades: O acesso é um privilégio

Gerenciamento de ciclo de vida de acesso privilegiado é um framework de processo e tecnologia que pode tornar os controles de acesso, mais eficiente e eficaz.

John Mutch

Instituições financeiras, organizações de saúde e outras empresas que operam em setores altamente regulamentados continuamente devem enfrentar a monumental tarefa de gerenciar a autorização para sistemas de missão crítica. Muitas vezes, essas organizações têm grandes números de usuários internos e externos acessando um número crescente de aplicações. Cada usuário requer um nível diferente de requisitos de segurança e controle.

Empresas desses setores altamente regulamentados também devem abordar as preocupações de gerenciamento de identidades relacionadas com questões de conformidade. Regulamentações como Sarbanes-Oxley (SOX), o Health Insurance Portability Accountability Act (HIPAA), Gramm-Leach-Bliley Act (GLBA) e o Payment Card Industry Data Security Standard (PCI DSS) têm diretrizes rígidas sobre como as empresas dentro de seu alcance são necessários para gerenciar identidades e acesso.

Muitas vezes há custos administrativos excessivos devido à manutenção de conta, as redefinições de senha, informações inconsistentes, ambientes de TI inflexíveis, silos devido a fusões e aquisições-envelhecimento das infra-estruturas. Esses fatores ainda mais um desafio para as organizações de gerenciamento de acesso e identidade eficaz.

Privilégio de provisionamento

Esses fatores combinados estão impulsionando a adoção de soluções de gerenciamento (PALM) do ciclo de vida de acesso privilegiado em todos os setores. PALM é um framework de arquitetura de tecnologia consiste em quatro fases, funcionando continuamente sob uma plataforma centralizada e automatizada:

1. Acesso a recursos privilegiados
2. Controle de recursos privilegiados
3. Monitoramento de ações em recursos privilegiados
4. Remediação para reverter alterações fez a privilegiados recursos para um bom estado conhecido

Acesso inclui o processo de provisionamento central baseada em funções e tempo-limite de credenciais para acesso privilegiado aos ativos de TI. O processo inclui também automatizar a aprovação de solicitações de acesso e auditoria de logs de acesso.

Controle inclui o processo de gerenciamento centralizado de permissões role-based para tarefas que exigem acessem a privilegiado recursos. Esta parte do processo inclui também automatizar aprovações de solicitação de permissão e auditoria de ações administrativas do sistema.

Monitoramento de inclui gerenciamento de auditoria de registro, gravação e supervisão das atividades do usuário. Este processo também inclui fluxos de trabalho automatizados para evento e registrar comentários, agradecimentos e trilhas de auditoria centralizada para suporte de auditoria simplificada e elevada consciência de segurança.

Remediação inclui o processo de refinação anteriormente atribuído permissões de acesso e controle para atender aos objetivos de segurança ou de conformidade. Você precisa ser capaz de centralmente reverter configuração do sistema para um estado conhecido anterior aceitável quando necessário.

O processo de automatização PALM inclui o desenvolvimento de uma plataforma de política unificadora central, juntamente com um mecanismo de revisão de eventos. Isto dá-lhe controles e visibilidade em cada estágio do ciclo de vida.

PALM que justificam o custo

Existem vários negócios fatores operacionais que entram em jogam quando se considera os custos dos sistemas PALM:

• **Segurança:**Acesso privilegiado é fundamental para o bom curso Administração de TI. Ao mesmo tempo, ele expõe uma organização a riscos de segurança — especialmente as ameaças internas.
• **Conformidade:**Se não gerenciado corretamente, acesso privilegiado a sistemas críticos de negócios pode apresentar riscos de conformidade significativa. A capacidade de fornecer uma trilha de auditoria em todas as fases do ciclo de vida de acesso privilegiado é fundamental para a conformidade. Muitas vezes é difícil de conseguir em grande, complexo, heterogêneo, ambientes.
• **Redução da complexidade:**PALM eficaz em grandes ambientes heterogêneos com múltiplo, engenheiros, gestores e auditores pode ser uma tarefa extremamente desafiadora.
• **Cobertura heterogênea:**Uma solução eficaz de PALM deve oferecer suporte a uma ampla gama de plataformas, incluindo Windows, Unix, Linux, AS/400, Active Directory, bancos de dados, firewalls e roteadores e switches.

Aqui estão alguns dos primeiros passos para tomar quando se considera um sistema PALM:

Estabelece a segurança como uma meta empresarial. Empresas podem ter dificuldade em manter a segurança, porque todo mundo está muito ocupado tentando alcançar outros objetivos. Se você tem problemas para manter a segurança em sua empresa, considere a adição de segurança como uma meta para cada nível de gestão.

Fornecer ou se inscrever na formação conforme necessário. Segurança trabalhar, todo mundo precisa saber as regras básicas. Uma vez que eles sabem as regras, não faz mal para levá-los a seguir essas regras.

Certifique-se de que entendem de todos os gestores de segurança. É especialmente importante que todos os membros da equipa de gestão compreendem os riscos associados a sistemas inseguros. Caso contrário, opções de gerenciamento involuntariamente podem prejudicar a reputação da empresa, informações proprietárias e resultados financeiros.

Comunicar claramente a gestão. Muitas vezes, os gerentes de TI reclamam com seus terminais em vez de seus supervisores. Outras vezes, os profissionais de TI que encontra reclamando de seus supervisores notavelmente semelhante a queixar-se aos seus terminais. Certificar-se de que sua mensagem é ouvida e compreendida.

Se você é um gerente, certifique-se de que seu povo tem acesso a seu tempo e atenção. Quando chegar a problemas de segurança, é importante prestar atenção. A primeira linha de defesa para sua rede é forte comunicação com as pessoas por trás de suas máquinas. Se você é um administrador de TI da linha de frente, tente garantir que falar com o seu gerente imediato corrige os problemas que você vê de mau uso potencial ou realizado de privilégios. Se isso não acontecer, você deve ser confiante o suficiente para chegar mais alto da cadeia de gestão para alertá-los para agir.

Delinear o suporte de segurança inter-organizacional. Se sua empresa tem um grupo de segurança e um grupo de administração de sistemas, a gestão empresarial precisa definir claramente suas funções e responsabilidades. Por exemplo, são os administradores de sistemas responsáveis pela configuração dos sistemas? É o grupo de segurança responsável por relatórios de não-conformidade?

Se ninguém é oficialmente responsável, nada será feito. Nesses casos, responsabilidade para problemas resultantes muitas vezes vai ser suportada pela parte não ofender. Um quadro PALM eficaz é uma mistura de processo, tecnologia, responsabilidade e comunicação.

John Mutch tem sido um executivo e investidor na indústria de tecnologia para mais de 25 anos. Antes de ingressar na BeyondTrust como o CEO em 2008, Mutch foi fundador e sócio-diretor da MV Advisors LLC. Ele também tem servido como Presidente, CEO e diretor do HNC Software e passou sete anos na Microsoft em uma variedade de funções de marketing e vendas executivas.

Conteúdo relacionado

• Gerenciamento de acesso e identidades: Preenchendo a lacuna na identidade e controle de acesso
• Usando o Kerberos para autenticação do SharePoint
• Gerenciamento de acesso e identidades: Gerenciando usuários do Active Directory com o ILM 2007