Gerir o ciclo de vida da identidade nas organizações

Proteger as identidades dos utilizadores internos e externos é uma necessidade das organizações. Num pequeno-almoço executivo que se realizou no Pestana Palace Hotel, a IT Security, a One Identity e a Timestamp juntaram representantes de várias organizações portuguesas para debater o tema da proteção das identidades dos utilizadores privilegiados.

Daniel Gaspar, One Identity

Daniel Gaspar, Senior Sales Account Manager and Team Leader for Iberia da One Identity, apresentou a sua visão e explicou que a One Identity conta com quatro soluções “completamente diferentes” que resolvem “vários tipos de problemas relacionados com a identidade”.

O primeiro está relacionado com o acesso, “mais conhecido por single sign-on ou multifactor authentication”, onde qualquer utilizador “tipicamente utiliza uma solução deste tipo para garantir que, ao entrar nos sistemas internos, é realmente quem diz que é”.

Naturalmente, é “necessário garantir que a pessoa é quem diz que é, mas depois temos de interagir com os sistemas, temos de dar acesso aos sistemas consoante o perfil dessa identidade” e é aí que entra o Identity Governance, ou seja, como é que se espelha a identidade nos sistemas internos que a empresa utiliza, que podem ou não ser baseados na cloud.

Depois, também há a questão dos sistemas OT onde é importante garantir que, quando uma pessoa interage com estes sistemas, tem acesso ao mesmo e pode ser monitorizado. Por fim, existem os sistemas firewall, routers, servidores Windows e Linux e que, normalmente, é preciso fazer manutenção, melhorar a segurança, entrar e fazer algum tipo de trabalho.

O que a One Identity faz é facilitar a gestão das identidades e que cada pessoa tem acesso consoante o seu perfil e fazer o ciclo de vida da identidade, ou seja, o que é que acontece quando uma pessoa entra na organização, que tipo de acesso é que tem de ter, como fazê-lo da forma mais automática possível e não gerando erros humanos.

Também em termos de auditoria, a solução da One Identity permite demonstrar que “os acessos estão devidamente traçados e posso entregar provas; estes sistemas são exatamente para isso. Fazem um relatório, não só dos utilizadores normais, como também dos utilizadores privilegiados e ainda os críticos”.

Uma das soluções da One Identity é o Privileged Access Manager que “permite garantir que os sistemas não têm passwords fracas”. Esta solução conta com duas dimensões: o Password Vault, um mecanismo que guarda os segredos dentro da organização e gera uma palavra-passe para um utilizador e é devidamente aprovado e, inclusive, permite cortar a sessão do utilizador se este utiliza comandos para o qual não tem autorização.

Outra dimensão é a analítica onde, à medida que os utilizadores privilegiados vão entrando no sistema e utilizando a plataforma, a solução “começa a fazer um padrão de como o utilizador se comporta: a que horas entra, qual é o IP, como utiliza o teclado e o rato. Faz um padrão de como utiliza a solução e, se o utilizador se desviar desse padrão, pode cortar a sessão para garantir que não provoque estragos”. Ainda uma outra solução fornecida pela One Identity é o Active Roles que permite gerir e proteger o Active Directory (AD), seja on-premises ou no EntryID.

	Nuno Dias, Timestamp SGS

Nuno Dias, Managing Partner da Timestamp SGS: “Um dos maiores problemas que existem do ponto de vista de Active Directory é a complexidade de gestão. O Active Directory vai crescendo, a complexidade da organização cria complexidade no Active Directory. Começamos a ter milhares de objetos para gerir e não é a ferramentas mais user- -friendly. A esmagadora maioria das organizações em Portugal ainda não tem sistemas IGA e estão a gerir identidades com o AD, quando o AD não foi desenhado para gerir identidades”

João Paulo Cavaco, Inspeção Geral da Educação e da Ciência

João Paulo Cavaco, Head of the Communication and Information Systems Division da Inspeção Geral da Educação e Ciência: “O histórico das organizações levanta níveis de complexidade muito acima do que aquilo que se tinha no início. Na altura era só complicado; hoje é complicado, complexo e com maior dificuldade de gestão porque não há pessoas para gerir; isto é quase uma profissão, ainda para mais com as mudanças de filosofia que vão acontecendo e as evoluções ao longo do tempo”

	José Gonçalves, IP Telecom

José Gonçalves, CISO da IP Telecom: “O legacy é a parte mais complicada. Numa auditoria a uma organização grande, apanhámos contas de matrículas de carros, ou seja, contas que foram criadas para sistemas envolvidos nos carros quando se achou que se ia para o mobile. Esta conta foi criada, mantida e esquecida e tem uma password, ou seja, quem entrasse no carro, entrava no sistema”

Luís Costa, Infraestruturas de Portugal

Luís Costa, Administrador de Sistemas da Infraestruturas de Portugal: “O legacy é uma questão, mas não acho que seja propriamente um problema. O problema que considero é, por exemplo, introduzir novas ferramentas que não se conhece e que vai aumentar, por um lado, a superfície de ataque e, por outro, a superfície de auditoria. Em termos de auditoria, vou ter de manter mais um sistema, manter mais uma preocupação de garantir a segurança de mais um add-on a todo o sistema que já está implementando. Para mim, esse é o problema”

	Ricardo Vieira, Imprensa Nacional - Casa da Moeda

Ricardo Vieira, Solutions Architecture & Pre- Sales da Imprensa Nacional – Casa da Moeda: “Diferentes ferramentas oferecem diferentes vantagens e acho que o grande problema que temos é a cultura e as pessoas. O principal problema da governação e da complexidade são pedidos como esta pessoa tem um papel e um perfil muito bem definido, mas agora vai ajudar aquele lado, portanto tem acesso àquelas ferramentas e depois vai ajudar outro lado e também precisa de determinados acessos. Quanto mais tivermos estas exceções, maior a complexidade. Este é parte do problema, porque obviamente as pessoas não esticam para fazer esta própria gestão”

José Luís Silva, Timestamp SGS

José Luís Silva, Diretor da Timestamp SGS: “A introdução destas ferramentas numa organização obriga a refletir um pouco sobre aquilo que é o seu histórico e a forma como têm de gerir as entidades, os processos e os procedimentos que utilizam para fazer a gestão da identidade dos seus colaboradores. Ao fazer isso, é obrigatório olhar para aquilo que está implementado, olhar para a aquilo que é a forma de, habitualmente, criar uma identidade ou fazer uma mudança”

	Olívia Arantes, Imprensa Nacional - Casa da Moeda

Olivia Arantes, CISO da Imprensa Nacional – Casa da Moeda: “Como CISO, não tenho propriamente de configurar o AD, mas tenho de garantir o compliance. Implementar uma ferramenta destas será sempre no âmbito de mitigar o risco que existe hoje nas organizações, a incapacidade de uma gestão efetiva do AD”

Conteúdo co-produzido pela MediaNext, pela One Identity e pela Timestamp SGS