Últimas notícias

Fique informado

Você sabe a diferença? IAM x PAM

28/10/2020

Spotlight

ITI é um dos representes do Brasil na IV Reunião Ministerial da Red Gealc sobre Governo Digital da América Latina e Caribe

A Rede de Governo Eletrônico da América Latina e Caribe, Red GEALC, reúne – desde 2003 – as autoridades dos órgãos governamentais digitais dos países da região.

19/11/2020

Cidadãos poderão assinar documentos e validar transações com o governo de forma simples e eletrônica

O gestor público poderá adequar o nível de assinatura eletrônica exigido em um serviço levando em consideração o nível de segurança da transação.

18/11/2020

Decreto 14.543/2020 regulamenta o artigo 5º da Lei 14.063/2020

O decreto 14.543/20 define alguns requisitos do artigo 5º Lei 14.063/2020.

16/11/2020

Entenda o Universo dos Certificados de Atributo

# TBT | Este artigo escrito em novembro de 2014, apresenta o que são Certificados de Atributo, como estão regulamentados, na época, para uso na ICP-Brasil, quais suas possíveis utilizações e como se tornar uma EEA – Entidade Emissora de Atributos. 

13/11/2020

Desenvolvimento de soluções em IoT sustentáveis é impulsionado pela pandemia. Por Paulo Spaccaquerche

Para o retorno seguro das atividades de trabalho diversas empresas, especializadas no desenvolvimento de soluções com base na internet das coisas (IoT).

20/08/2020

A diferença entre Gerenciamento de Identidade de Acesso (Identity & Access Management – IAM) e Gerenciamento de Acesso Privilegiado (Privileged Access Management – PAM)

É incontestável a importância de ter uma identidade. Não só os documentos pessoais definem nossa identidade perante a sociedade, mas qualquer característica que possa retratar quem somos e o que fazemos.

Nome, personalidade, aparência física e outras características em conjunto criam uma imagem única de cada pessoa, definem a sua identidade. Considerando que o planeta Terra tem 7,7 bilhões de seres humanos registrados, não possuir uma identidade torna praticamente impossível a tarefa de reconhecer um indivíduo entre todos estes.

Imagine um sistema em que todos os usuários possuem a mesma identidade: Bob loga no sistema e tem acesso ao banco de dados com informações dos clientes da empresa, da mesma forma que Alice faz todos os dias para executar suas tarefas, porém Bob trabalha na área de Recursos Humanos e não necessita de informações de clientes. Com usuários que possuem a mesma identidade, como saber se o acesso é autêntico? Ou se o usuário possui autorização para a sua requisição?

A resposta mais provável é que este tipo de acesso não autorizado não pode ser evitado. Um sistema precisa possuir uma visibilidade que possibilite saber quem são os usuários do sistema e o que eles fazem, deste modo, cada um deve possuir sua identidade dentro do sistema.

Devido a esta preocupação, surge o conceito Identity & Access Management (IAM) ou Identidade e Gestão de Acesso, sistema que possibilita gerenciar identidades e seus acessos aos recursos da organização (dispositivos, aplicações, ambientes, arquivos de rede etc.), ou seja, gerenciar e definir o que cada usuário é e poderá fazer no sistema.

Esses usuários podem ser clientes que necessitam, de alguma forma, ter acesso a informações da organização, empregados, funcionários terceirizados ou até mesmo aplicações. Independentemente do tipo de usuário, sistemas IAM seguem a ideia que cada usuário deve ter a sua própria identidade digital, deve ser individual, mantida e monitorada de acordo com o ciclo de vida que possuirá (criação, manuseio e exclusão). A identidade digital inclui: username, senha e atividades realizadas on-line.

O IAM possui alguns modelos de aplicação, talvez o mais comum seja o sistema usado como serviço. É chamado de Identity as a Service (IDaaS) ou Identidade como Serviço, isso se dá quando a infraestrutura de autenticação é sustentada e gerenciada por um terceiro.

No geral, existem muitos modelos de aplicação, porém todo sistema IAM deve possuir ferramentas que possibilitem habilitar e desabilitar contas, banco de dados para armazenamento das informações de usuário e meios para conceder e revogar direitos de acesso.

Infraestruturas organizacionais estão sempre evoluindo; ambientes em nuvem, BYOD (bring your own device ou traga o seu próprio dispositivo), IoT e outras tantas tecnologias podem ser um conjunto de fatores capazes de dificultar o gerenciamento de identidades, cujo número é crescente com essa evolução. Assim sendo, não possuir um sistema de gerenciamento de identidades efetivo pode acarretar problemas e riscos de segurança muito graves.

IAM x PAM

Em resumo, sistemas IAM gerenciam identidades digitais, tentando garantir que o acesso seja concedido àqueles que de fato têm direito, sendo que esta definição, para muitos, pode lembrar a de soluções Privileged Access Management (PAM) ou Gerenciamento de Acesso Privilegiado, que são contextualizadas como soluções que fazem a gestão de acesso a partir do controle, armazenamento, segregação e rastreamento de todas as credenciais privilegiadas.

Comumente, os dois termos são fáceis de serem confundidos se a palavra “privilégio” for ignorada. IAM gerencia identidades para acessos comuns que acontecem em atividades rotineiras; PAM controla o acesso de usuários privilegiados e ativos em ambientes críticos do sistema.

Soluções PAM são um passo a mais em relação aos sistemas IAM, pois protegem dados críticos de usuários privilegiados que podem abusar de seus benefícios e fazer uso incorreto dos dados que manipulam. Sistemas IAM conseguem habilitar e remover acessos, mas não concedem as mesmas funcionalidades de soluções PAM, tais como:

Cofre de senhas: gerenciamento e proteção de credencias críticas através de monitoramento de sessões.

Limite de uso: limitação do uso da conta com base em um tempo específico, uma quantidade de aprovação determinada.

Discovery: auto discovery de credenciais privilegiadas que possam estar no sistema sem o conhecimento do administrador.

Visibilidade: visão do que acontece quando um acesso é requisitado, aprovado e executado.

Auditoria: gravação de evidências de acessos realizados de forma correta ou não.

Entre outras funcionalidades, enquanto o IAM define o que Bob e Alice poderão ver ou fazer no sistema, a solução PAM garante que Alice não poderá apagar, copiar ou modificar nenhuma informação de seu sistema crítico sem ser monitorada ou bloqueada, caso suas ações sejam consideradas maliciosas.

Uma solução PAM faz parte de um sistema IAM, assim como funções de múltiplo fator de autenticação e single sign-on (acesso em diversas aplicações com apenas um login), já que essas funções e ferramentas habilitam uma autenticação mais segura, além do uso cauteloso de identidades e perfis. Por isso, IAM e PAM podem trabalhar juntos, aliás, é o que se recomenda.

Sistemas IAM oferecem aos administradores a facilidade de modificar um usuário, criar relatórios de uso e reforçar políticas, mas falham no gerenciamento de contas privilegiadas. Soluções PAM entregam informações sobre o que está sendo feito, as sessões iniciadas e como as credenciais estão sendo usadas.

IAM + PAM

A primeira frente de batalha no gerenciamento deve ser o IAM, que define e gerencia as identidades existentes no sistema, seguida do PAM, que controla e monitora o uso de credenciais privilegiadas.

As duas soluções suprem as necessidades uma da outra. IAM cria, modifica e apaga contas privilegiadas; mudanças em políticas e procedimentos serão automaticamente atribuídos em soluções PAM por meio do IAM.

Obter o controle de usuários e contas do sistema é o objetivo de segurança de muitas organizações. Implementar soluções IAM e PAM é um ótimo começo, mas quando feitas de forma independente, podem não ser tão eficazes, mas quando integradas, conseguem de fato cobrir questões importantes de acesso.

Soluções IAM gerenciam todas as identidades digitais e seus acessos, e soluções PAM dão um passo a mais trazendo segurança e compliance para estes acessos, protegendo dados críticos e controlando contas privilegiadas.

As soluções de IAM e PAM, poderão ajudá-los com relação a normas de segurança e a LGDP.

Fonte: Rationale

Acesso ao SISCOAF: entenda o uso obrigatório do Certificado Digital. Ouça

Como evitar acessos indevidos e vazamento de dados no contexto da LGPD?

Escassez de habilidade profissional pode afetar potencial da Inteligência Artificial

Content Syndication

Content syndication – distribuição de conteúdo é um método de republicar conteúdo desenvolvido por sua empresa em outros sites para atingir um público mais amplo e levar novos visitantes a seu site. Fale conosco sobre Content Syndication, contato@cryptoid.com.br | +55 11 3881 0019.

Surpreenda-se com a qualificação da nossa audiência! Mídia Kit.