O papel essencial da gestao de identidades e acessos

A possibilidade de trabalhar a partir de qualquer local tem várias vantagens para os colaboradores, mas, para as organizações, isso obriga garantir que o utilizador certo acede àquilo que necessita para realizar o seu trabalho. Ao mesmo tempo, a adoção de ambientes híbridos e a proliferação de aplicações e serviços na cloud aumentam a complexidade para as organizações.

É aqui que entra a gestão de identidades e acessos, ou Identity & Access Management (IAM); uma abordagem robusta não só reduz os riscos associados a acessos não autorizados e credenciais comprometidos, como também melhora a conformidade regulatória e a eficiência operacional.

A implementação de políticas e tecnologias de IAM eficazes não é apenas uma questão de segurança; é, também, um facilitador estratégico para a inovação e o crescimento sustentável da organização. A gestão de identidades e acessos possibilita a adoção ágil de novas tecnologias e modelos operacionais. Ao integrar IAM com iniciativas de transformação digital, as organizações aumentam a sua ciber-resiliência, reduzem fricções no acesso dos utilizadores e garantem uma experiência mais segura para os utilizadores.

A evolução da gestão de acessos e identidades

	A evolução de IAM tem sido “significativa” e “impulsionada sobretudo pela crescente adoção de tecnologia na cloud, pelo aumento de dispositivos móveis no ambiente empresarial e pela constante mudança no cenário” de ciberameaças Luís Rosa, Cybersecurity Solution Expert da Claranet Portugal

Luís Rosa, Cybersecurity Solution Expert da Claranet Portugal, afirma que a evolução de IAM tem sido “significativa” e “impulsionada sobretudo pela crescente adoção de tecnologia na cloud, pelo aumento de dispositivos móveis no ambiente empresarial e pela constante mudança no cenário” de ciberameaças. Se antes a gestão de identidades se centrava “em controlar o acesso a recursos dentro de uma organização”, agora, com a disseminação de aplicações baseadas na cloud e com o trabalho remoto, “o foco passou também por incluir a gestão de identidades externas, tais como parceiros e clientes”. Esta evolução, explica, fomentou “a integração de métodos de autenticação avançados”, como a autenticação multifator ou passwordless.

Na mesma linha, Fernando Gomes, CTO da Eurotux, refere que a evolução da gestão de identidades e acessos tem sido marcada por “avanços significativos” e impulsionados por “fatores como a transformação digital, migração para a cloud” e o “aumento das ameaças”. No caso da gestão de acessos e “devido às ameaças da Internet”, diz, o “modelo zero-trust deixou de ser um conceito teórico e tornou-se uma prática essencial” onde as empresas exigem “autenticação contínua e verificações rigorosas”.

Jorge Libório, Partner e Cybersecurity Leader na EY, defende que a gestão de identidades e acessos se tornou “provavelmente no único perímetro de segurança disponível” uma vez que “os assets críticos estão localizados fora dos tradicionais perímetros de segurança das organizações”, como por exemplo os data centers. “A perceção desta importância, por parte das organizações e instituições, também tem vindo a aumentar, e felizmente hoje é cada vez mais comum vermos ações como a atribuição de utilizadores, controlo e revisão de acessos, entre outras, serem feitas de uma forma muito mais estruturada”, afirma.

IAM + XDR + SASE

Sabendo que, numa altura em que se adota o trabalho remoto e os ambientes multicloud, a identidade do utilizador tornou-se o novo perímetro de segurança, Fernando Gomes afirma que a integração de IAM, de XDR (Extended Detection and Response) e SASE (Secure Access Service Edge) “leva a um modelo de segurança adaptativo e automatizado em que a identidade é monitorizada e protegida em tempo real”. Esta convergência, explica, está “a moldar o futuro da identidade digital, tornando-a mais inteligente, resiliente e centrada no utilizador”.

De um ponto de vista mais técnico, “os grandes desafios tendem a ver com a integração de sistemas IAM com aplicações legacy ou altamente personalizadas e que estão hospedadas em arquiteturas distribuídas, aumentando a complexidade e necessidades de compatibilidades” Jorge Libório, Partner e Cybersecurity Leader na EY

Jorge Libório clarifica que a arquitetura SASE realça os princípios de zero-trust e procura oferecer um acesso seguro a recursos, independentemente da sua localização e onde estes são acedidos, onde as soluções de IAM “são um elemento preponderante neste tipo de arquiteturas”, não só para identificar, mas também garantir os acessos devidos com base nos atributos dos utilizadores e no contexto das restantes soluções presentes. Já o XDR, diz, que entra “na ótica da visibilidade e resposta”, é “um complemento importantíssimo para permitir visibilidade” que permite minimizar “o tempo de resposta a um incidente”.

Para Luís Rosa, a fusão destas tecnologias “facilita a implementação de políticas de segurança de confiança zero, garantindo que apenas as identidades verificadas tenham acesso aos recursos necessários. Isto torna-se especialmente importante numa era em que o perímetro tradicional de rede já não existe, e o acesso pode ocorrer em qualquer lugar e a qualquer hora. Além disso, esta convergência ajuda a mitigar os riscos de segurança associados ao crescente número de dispositivos conectados e aplicações na cloud, fornecendo uma plataforma unificada de segurança que pode adaptar-se rapidamente a novas ameaças e mudanças na infraestrutura de IT”.

Desafios na implementação

Ao falar dos desafios na implementação de soluções de gestão de identidades e acessos, Jorge Libório divide o tema em duas perspetivas: uma mais técnica e outra mais organizacional. De um ponto de vista mais técnico, “os grandes desafios tendem a ver com a integração de sistemas IAM com aplicações legacy ou altamente personalizadas e que estão hospedadas em arquiteturas distribuídas, aumentando a complexidade e necessidades de compatibilidades”. Já do ponto de vista organizacional, o “grande desafio tem a ver com a resistência À mudança por parte das organizações e das pessoas”, onde “tudo o que envolva altera a forma habitual de aceder a um determinado tipo de informação ou asset tende a ter alguma resistência de adoção”.

Para além da integração com sistemas legacy e a resistência à mudança, Luís Rosa também aponta a escalabilidade como “uma preocupação constante” e explica que, “à medida que uma organização cresce, a solução IAM deve ser capaz de se adaptar para suportar um número maior de utilizadores, aplicações e transações sem perda de desempenho”. Assim, explica, “é crucial” escolher “uma solução IAM que possa escalar de forma flexível e eficiente”.

	A modernização da IAM “exige a integração com sistemas mais antigos”. Esta modernização também exige “um balanceamento entre a segurança e a experiência do utilizador”, uma vez que “métodos de autenticação excessivamente rígidos podem resultar em resistência dos colaboradores e num aumento de tickets de suporte” Fernando Gomes, CTO da Eurotux

Fernando Gomes afirma que a modernização da IAM “exige a integração com sistemas mais antigos”. Esta modernização também exige “um balanceamento entre a segurança e a experiência do utilizador”, uma vez que “métodos de autenticação excessivamente rígidos podem resultar em resistência dos colaboradores e num aumento de tickets de suporte”.O CTO da Eurotux acrescenta, ainda, que “é fundamental haver um compliance rigoroso de modo que exista uma gestão centralizada de acessos e monitorização contínua de privilégios”.

Conveniência e segurança

Equilibrar a segurança com a conveniência na autenticação dos utilizadores é “a chave não só dos temas de IAM, mas da segurança da informação como um todo”, explica Jorge Libório, que acrescenta que este equilíbrio entre a robustez da segurança e a experiência para o utilizador é “preponderante” e “já começa a ser bastante frequente com soluções de single sign-on, soluções de biometria com o reconhecimento facial” que, para além de serem “muito mais seguras”, também “evitam que os utilizadores tenham de memorizar dezenas de palavras-chave, introduzi-las cada vez que pretendam executar um tarefa”.

Luís Rosa menciona, também, a análise do comportamento do utilizador como uma abordagem “que está a ser amplamente adotada”, para além do single sign-on. “Este método implica a monitorização do comportamento do utilizador ao longo do tempo para detetar atividades suspeitas, podendo incluir a verificação da localização geográfica, do dispositivo utilizado e das horas de acesso. Por fim, a integração com dispositivos inteligentes, como smartphones ou wearables, está a facilitar a autenticação por meio de proximidade ou comunicação sem fios”, afirma.

Fernando Gomes relembra que “um método de autenticação demasiado rígido pode frustrar todos os tipos de utilizadores”, enquanto “uma abordagem demasiado permissiva expõe a empresa a risco”. Assim, defende, o futuro passa “por métodos de autenticação mais intuitivos e seguros, protegendo o acesso sem comprometer a produtividade”.