Muitas iniciativas têm sido realizadas para disseminar a necessidade de adoção de uma mentalidade Zero Trust para proteção dos rastros digitais (digital footprint). Para o profissional cibernético experiente, esse não é um novo conceito, mas talvez as tecnologias de segurança estejam amadurecendo. A velocidade com que os incidentes de segurança estão ocorrendo e o ritmo da transformação digital criaram a oportunidade para uma visão de longo prazo para a abordagem de segurança Zero Trust.

Governança de identidade

Há mais de dez anos, o mercado tradicional de gerenciamento de identidade e acesso, focado em ciclo de vida, provisionamento, certificação de acesso e autoatendimento do usuário, evoluiu para o que conhecemos hoje como Governança de Identidade e Administração (Identity Governance and Administration - IGA).

As organizações investiram neste domínio para modernizar as abordagens de IGA, reduzir o risco de acesso, cumprir os regulamentos e fornecer as autorizações às pessoas certas, no momento certo. Embora isso possa ser visto como uma premissa básica para qualquer programa de segurança moderno, uma onda de transformação e melhoria nesse domínio pode ser observada, mesmo com algumas organizações ainda em ritmo lento para abordar esse elemento básico de segurança cibernética.

A governança de identidade e, mais especificamente, um conjunto sólido de processos de negócios e metodologia de dados para estabelecer a identidade digital dos colaboradores é fundamental para a implementação de uma abordagem Zero Trust de segurança.

A seguir, apresentamos três elementos críticos de governança de identidade que devem ser modernizados e abordados como parte de uma iniciativa Zero Trust:

  • Ciclo de vida para tudo e todos: as organizações devem se concentrar em estabelecer processos bem definidos e atributos mínimos para a identidade digital interna. Além disso, essa definição e os processos de entrada, mudança e saída devem incluir funcionários, contratados, fornecedores, bots e contas de serviço.

    O Zero Trust é sustentado pela suposição de que os usuários são conhecidos para poder avaliar a política e permitir, negar ou adaptar o acesso em tempo real. Simplificando, um modelo de dados de identidade bem definido e processos de suporte para gerenciar seus atributos são fundamentais para alcançar uma mentalidade Zero Trust.

  • Acertar é fundamental: muitas organizações desejam implementar um modelo de privilégio mínimo em relação ao acesso. Dizer que isso tem sido difícil em aplicativos, infraestrutura, provedores em nuvem, entre outros fatores, seria um eufemismo. Os modelos de acesso irrestrito, desenvolvidos para atribuição de direitos e funções e recertificação, devem evoluir.

    É necessário aproveitar o conhecimento existente para realizar uma modelagem de acesso eficaz, realizando uma revisão por pares, análise de valores discrepantes e eliminação do acesso excessivo ou não utilizado das contas. O momento atual é propício para adotar o uso da inteligência na modernização da abordagem ao IGA.

  • Do IGA estático ao dinâmico: as abordagens ao IGA anteriores negligenciaram o que acontece entre as estapas de ingresso, movimento, saída e recertificação do acesso. Essa realidade pontual ou desencadeada por processo também deve evoluir, de modo que o acesso seja revisado com base em sinais de risco ou de mudança.

    É preciso avançar para uma nova realidade, em que as mudanças nos privilégios ou eventos de segurança que exigem ajuste no acesso são organizadas por meio de automação em tempo real ou encaminhadas para a equipe de incidentes de segurança para correção.

    Isso deve ser feito para encurtar o prazo entre o momento em que o acesso é atribuído e usado e quando ele deve ser alterado, com base em sinais de risco ou mudança. O programa IGA moderno exige uma integração muito mais estreita com a área de operações de segurança, processos e sinais para atuar de maneira eficaz.

A governança de identidade eficaz, que inclui todos os tipos de acesso, é uma primeira etapa crítica na jornada Zero Trust. O que há muito era visto apenas como uma atividade de operações e conformidade agora é essencial para estabelecer uma segurança eficaz e centrada em identidade e para melhorar a experiência do usuário.

Por fim, as organizações que atuam com o nível básico de segurança devem continuar a aprimorar e modernizar suas abordagens de governança de identidade.

Conteúdo relacionado

Data Center
Segurança cibernética category
Segurança cibernética ganha aliado para inibir invasões virtuais

Método de segurança cibernética baseado na verificação de informações é mais eficaz.

Barraca laranja no meio do mar azul
Segurança cibernética category
Fatores-chave sobre Segurança Cibernética em 2022

Lideranças devem estabelecer medidas de proteção para assegurar continuidade dos negócios

Entre em contato conosco

Leandro Augusto blog posts
Leandro Antonio
Sócio-líder de Cyber Security e Privacy
KPMG no Brasil
Profile | | Phone
Klaus Kiessling blog posts
Klaus Kiessling
Sócio de Cyber Security & Privacy
KPMG no Brasil
Profile |
Siga a KPMG no Linked

conecte-se conosco