A diferença entre o provisionamento de usuários e o gerenciamento de acesso a dados do Identity and Access Management (IAM)

O Identity and Access Management (IAM) é “peça-chave” na integração do provisionamento de usuários com o gerenciamento de acesso a dados. Conheça os motivos.
Emilia Bertolli
2 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

O provisionamento de usuários não é um recurso substituto, nem mesmo um recurso de reposição para o gerenciamento de acesso a dados do Identity and Access Management (IAM). Ambos são importantes, mas suas diferenças são suficientes para colocá-los em categorias distintas.

O que é provisionamento de usuários?

Provisionamento de usuários é a criação e gerenciamento de acesso aos recursos da empresa. O acesso pode variar de contas de TI (CRM, e-mail, etc.) para equipamentos e recursos que não sejam de TI (crachá de acesso, telefone, carro, etc). Os administradores de TI, responsáveis pelo fornecimento de acesso, sabem que o provisionamento manual de acesso pode ser tedioso, complicado e, mesmo que haja uma lista de verificação, o risco de cometer erros é bastante alto.

Por isso, deve-se aproveitar ao máximo as opções disponíveis que permitem automatizar o fluxo do processo de provisionamento por meio dos sistemas de IAM. E para simplificar esse provisionamento, as empresas criam modelos – chamados de “funções” – que agrupam e atribuem valores específicos para cada conta corporativa.

Por exemplo: qualquer funcionário que atua em tempo integral no departamento financeiro da empresa vai receber acesso à conta de e-mail, autorização para a área de estacionamento e acesso aos sistemas de cobrança e pagamento. Posteriormente, esse funcionário pode sair do departamento financeiro e ingressar no departamento jurídico da empresa. Neste cenário, o IAM vai facilitar a mudança de acesso – como o funcionário já estava na empresa, ele terá a conta de-mail e o acesso ao estacionamento mantidos, mas o sistema vai revogar os direitos sobre os sistemas de cobrança e de pagamento para conceder acesso aos sistemas jurídicos.

Então, qual é o problema?

Com certeza, as soluções de IAM possuem listas completas de usuários e grupos dos diretórios. No entanto, um dos maiores desafios do provisionamento é mapear “quem” vai para a Lista de Controle de Acesso (ACL – ou Access Control List), pois, mesmo que os usuários estejam em grupos corretos, eles inevitavelmente acabam tendo muito mais acesso aos dados do que é necessário (ou relevante) para seus trabalhos.

Como o gerenciamento do acesso a dados funciona

Nesse contexto, a melhor forma de provisionar o usuário é promover a integração com o gerenciamento de acesso por meio de grupos, levando em consideração que uma ACL consiste em vários grupos com vários direitos. Por exemplo: a ACL vai ter um grupo com permissão para leitura dos dados, enquanto outro grupo vai ter permissão para leitura e gravação dos dados.

Na teoria, isso parece simples o suficiente para controlar a segurança, mantendo os usuários nos grupos certos e os grupos nas respectivas ACLs. Porém, a realidade é diferente: links entre usuários, grupos e dados são quebrados ao longo do tempo. Muitas vezes, esses usuários são adicionados a grupos e nunca são removidos. Mais do que isso, as ACLs são modificadas para incluir grupos que não estão relacionados aos dados que deveriam proteger. Ou, pior ainda, os grupos são adicionados a outros grupos, complicando ainda mais a situação e causando o “efeito cascata”.

Para gerenciar o acesso a dados adequadamente, é vital garantir que os grupos de segurança realmente concedam acesso aos grupos de usuários corretos, de modo a evitar conseqüências não desejadas – como adicionar um usuário a um grupo aparentemente inócuo, mas, por meio do “agrupamento de grupo”, acabar permitindo o acesso a dados comerciais críticos ou sensíveis.

Analisando essa complexidade dos detalhes práticos no gerenciamento de acesso a dados, podemos concluir que o provisionamento do usuário para recursos de TI é muito importante para a segurança, mas não é adequado utilizá-la como forma isolada de controle.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

aventuras-em-ataques-sem-malware
Aventuras em ataques sem malware
Até um ataque livre de malware pode ser perigoso para a rede da sua empresa. Conheça os detalhes e evite o compartilhamento de dados de forma inadequada.
como-grandes-empresas-encontram-vazamentos
Como grandes empresas encontram vazamentos
Conheça algumas ações e modelos diferentes utilizados pelas empresas para se prevenirem de vazamentos de dados confidenciais
shadow-it:-riscos-de-segurança-da-informação-ocultos
Shadow IT: Riscos de segurança da informação ocultos
O uso de softwares e dispositivos sem o conhecimento da área de TI é chamado de TI invisível, e é responsável por oferecer brechas para invasões
três-perguntas-de-segurança-que-os-executivos-deviam-fazer
Três perguntas de segurança que os executivos deviam fazer
Os executivos da sua empresa estão fazendo as perguntas de segurança certas? Leia o artigo da Varonis e saiba mais.