A identidade federada é uma solução que simplifica o acesso seguro do usuário pela combinação de vários componentes, entre eles autenticação, autorização, controle de acesso, sistemas de detecção e prevenção de intrusão (IDPS) e provedores de serviços. Com a identidade federada, os usuários autorizados podem acessar vários domínios, aplicativos e vários sistemas de gerenciamento de identidade distintos com um único conjunto de credenciais de login. Isso elimina a necessidade de logins separados, o que aumenta a produtividade, reduz a frustração do usuário e agiliza o gerenciamento de senhas para usuários e TI. A função de identidade federada é controlada por serviços de terceiros que atestam a identidade dos usuários. Esses serviços de identidade de federação de terceiros são posicionados entre usuários e recursos, atuando como middleware. As ferramentas de segurança, como a autenticação multifator (MFA) e o logon único (SSO), são usadas para gerenciar o acesso do usuário e validar as identidades do usuário.

Identidade federada e logon único (SSO) 

Identidade federada e logon único (SSO) são conceitos que, muitas vezes, erroneamente são considerados sinônimos. Embora suas funções pareçam semelhantes e se enquadrem no gerenciamento de identidade, eles desempenham funções diferentes. Tanto a identidade federada quanto o SSO autenticam os usuários com um protocolo seguro e reduzem o acesso do usuário a um evento de login, que geralmente inclui autenticação multifator. Após terem feito o login, os usuários podem se conectar a diferentes serviços sem novos logins. No entanto, o SSO permite que os usuários acessem vários sistemas dentro de uma organização, e a identidade federada fornece aos usuários acesso a vários sistemas em organizações diferentes.

A identidade federada agiliza o SSO, permitindo que os usuários acessem os sistemas sem barreiras de autenticação. 

Ela também agrega vários grupos. Esses grupos podem ser isolados dentro de um único ambiente corporativo ou distribuídos por empresas diferentes com autenticação centralizada. 

Identidade e autenticação federadas

A identidade federada é autenticada por meio de protocolos seguros baseados em padrões. Eles permitem autenticação e acesso em domínios federados. Os protocolos de autenticação segura mais comuns são: 

• JWT (JSON Web Token) 
• Kerberos 
• LDAP (Lightweight Directory Access Protocol)
• OAuth (Open Authorization) 
• OIDC (OpenID Connect) 
• RADIUS (Remote Authentication Dial-In User Service)  
• SAML (Security Assertion Markup Language) 
• SCIM (System for Cross-domain Identity Management)

Outros protocolos de autenticação segura são: 

• CHAP (Challenge-Handshake Authentication Protocol)  
• Diameter 
• EAP (Extensible Authentication Protocol)  
• PAP (Password Authentication Protocol)  
• TACACS (Terminal Access Controller Access Control System) 

Como funciona a identidade federada

A identidade federada baseia-se em relações de confiança entre dois tipos de entidades.

• Os provedores de serviço são quaisquer aplicativos, softwares ou sites externos que utilizam um provedor de identidade para identificar e autenticar um usuário.
• Os provedores de identidade (IdP) são sistemas que criam, mantêm e gerenciam informações de identidade (por exemplo, nome, endereço de e-mail, localização, dispositivo, tipo de navegador, informações biométricas).

A seguir, será apresentado um resumo de como funciona a identidade federada. Observe que cada etapa é instantânea e invisível, o que cria um processo contínuo e sem intervenções para os usuários. 

1. O usuário tenta fazer login em um provedor de serviços que usa identidade federada.
2. O provedor de serviços solicita autenticação federada do provedor de identidade do usuário para garantir que o usuário seja quem ele afirma ser.
3. O provedor de identidade verifica as informações de identidade do usuário e confere seus direitos de acesso e permissão. 
4. O provedor de identidade autoriza o usuário ao provedor de serviços usando um protocolo seguro (por exemplo, oAuth, OIDC, SAML).  
5. O usuário obtém acesso ao provedor de serviço. 

Identidade federada e o governo dos Estados Unidos 

Em 2004, foi publicada a Diretriz Presidencial de Segurança Interna 12, que tornou obrigatório o uso de credenciais seguras para acessar ativos do governo. Isso gerou uma série de acordos, protocolos e programas para identidade federada. O National Cybersecurity Center of Excellence e o National Strategy for Trusted Identities in Cyberspace National Program Office colaboraram em um projeto da Privacy-Enhanced Identity Federation para estabelecer um conjunto de padrões que devem ser seguidos para a identidade federada.

A estrutura Global Federated Identity and Privilege Management (GFIPM) fornece uma abordagem baseada em padrões para implementar a identidade federada. A estrutura suporta as três principais áreas de interoperabilidade de segurança na federação.

1. Identificação/autenticação Quem é o usuário e como ele foi autenticado?
2. Gestão de privilégios Quais certificações, liberações, funções de trabalho, privilégios locais e afiliações organizacionais estão associados ao usuário e podem servir de base para decisões de autorização?
3. Auditoria Quais informações são necessárias ou exigidas para fins de auditoria de cada sistema, acesso e uso de sistemas e conformidade legal de práticas de dados?

Benefícios da identidade federada

Economia de custos O uso da identidade federada libera as organizações do tempo e das despesas de configuração e manutenção do SSO para gerenciar várias identidades.

Gerenciamento fácil de dados  A identidade federada facilita o armazenamento, o acesso e o gerenciamento de informações em todos os sistemas, simplificando as operações de gerenciamento de dados.

Experiência do usuário aprimorada  Os usuários só precisam fornecer suas credenciais uma vez em uma sessão para acessar vários sistemas em domínios federados. Isso melhora a experiência do usuário, pois remove obstáculos ao acesso.

Segurança aprimorada  O número de vezes que um usuário tem que fazer login em cada sistema é reduzido, o que melhora a segurança e fornece melhor proteção de dados, uma vez que cada login cria um ponto de vulnerabilidade e aumenta o risco de acesso não autorizado.

Aumento da produtividade  A identidade federada libera os usuários do ônus de vários logins para acessar recursos, reinserir senhas e enviar solicitações de helpdesk para redefinições de senha. Essa economia de tempo e a redução da frustração resultam em maior produtividade do usuário final e da organização em geral.

Compartilhamento seguro de recursos  As organizações podem facilitar o compartilhamento de recursos e dados de forma eficiente, sem colocar em risco as credenciais ou a segurança.

Provisionamento de ponto único  A identidade federada permite o provisionamento de ponto único, o que torna mais fácil para as equipes de TI fornecerem acesso a usuários e sistemas fora de um único perímetro corporativo.

Mal-entendidos sobre identidade federada

A identidade federada, muitas vezes, é mal compreendida e marcada por crenças errôneas. Os dois principais equívocos são: 

1. Como os sistemas de gerenciamento de identidade federada seguem regras e políticas específicas, há menos controle sobre como eles podem ser configurados. Isso é incorreto. Embora esses sistemas tenham uma estrutura rígida, existem opções de configurações personalizadas para atender aos requisitos exclusivos das organizações.
2. Possíveis riscos de segurança citados com identidade federada são, em grande parte, infundados. Quase todas as abordagens de segurança têm falhas, mas a identidade federada é amplamente considerada como uma solução de segurança superior.   

Diminuição da fadiga de senhas com a identidade federada

Mesmo com a obrigação do uso de senhas fortes, as senhas representam problemas de segurança persistentes, porque os usuários tomam atalhos arriscados em um esforço para simplificar o gerenciamento de várias senhas. A identidade federada reduz essa fadiga de senhas, agilizando o acesso dos usuários e simplificando o gerenciamento de senhas para as equipes de TI.   

Recursos

Você também pode estar interessado em:

Como funciona o logon único (SSO)

Com várias opções de implantação, o logon único pode se adequar a praticamente qualquer caso de uso.

Ler mais

O que é Governança e Administração de Identidade (IGA)

Veja como a governança e administração de identidade (IGA) permite que as empresas forneçam acesso à tecnologia e gerenciem os riscos de segurança e conformidade.

Ler mais

Security Sessions: horizontes da segurança de identidade

Venha conosco entender sobre o impacto que os novos paradigmas digitais estão gerando no mundo corporativo. 

Ler mais

Ver a biblioteca de recursos

The post O que é identidade federada? appeared first on SailPoint.

O que é autenticação sem senha?

A autenticação sem senha é um método de autenticação ou verificação de identidade que usa biometria, certificações ou senhas de uso único (OTPs). Considerada mais segura do que as perguntas de segurança de senha tradicionais ou os códigos PIN (número de identificação pessoal), a autenticação sem senha oferece segurança aprimorada, carga administrativa reduzida e acesso mais simples para os usuários. A autenticação sem senha é comumente usada em combinação com a autenticação multifator (MFA) ou logon único (SSO).

Saiba mais sobre as cinco maneiras pelas quais a identidade fortalece a segurança cibernética para a empresa.

Ao contrário dos modos de autenticação tradicionais, que podem ser roubados, compartilhados ou reutilizados, a autenticação sem senha exige que os usuários verifiquem sua identidade com um fator de posse ou de inerência. Um fator de posse é algo que identifica exclusivamente o usuário e que nenhum outro usuário possa ter, como um dispositivo móvel registrado ou um token de hardware a ele atribuído. Os fatores de inerência são impressões digitais, impressões da palma da mão ou da mão, reconhecimento de voz e facial, além de escaneamento de retina ou íris. 

A autenticação sem senha oferece uma alternativa eficaz às senhas, que geralmente são divulgadas, adivinhadas ou submetidas a engenharia reversa. A segurança aprimorada fornecida protege contra muitos ataques conhecidos que exploram as vulnerabilidades da autenticação por senha.  

Entre os tipos de ataques aos quais a autenticação sem senha é resistente estão: 

• Ataques de força bruta  
• Preenchimento de credenciais
• Ataques de dicionário 
• Keylogging  
• Ataques de man-in-the-middle (MitM)
• Pulverização de senha 
• Phishing 
• Ataques de tabela arco-íris 
• Ataques de força bruta reversa 
• Smishing
• Spear phishing 
• Vishing 
• Whaling

Os benefícios adicionais da autenticação sem senha são: em camadas.

• Menos impacto nas equipes de suporte
• Mais fácil de usar do que a tradicional autenticação baseada em senha
• Custo total de propriedade (TCO) mais baixo com infraestrutura reduzida 
• Complexidade reduzida na pilha de identidade
• Os usuários não precisam mais se lembrar de uma senha 

Tipos de autenticação sem senha

Biometria

São usados scanners avançados para capturar e validar fatores de autenticação biométrica, como impressões digitais, impressões da palma da mão ou da mão, reconhecimento de voz e facial, além de escaneamento de retina ou íris, em relação aos dados salvos em um banco de dados de autenticação.  

A biometria é um fator de autenticação especialmente confiável porque é estatisticamente impossível de replicar. Por exemplo, a probabilidade de dois rostos serem semelhantes em atributos físicos é inferior a uma em um trilhão, e a chance de impressões digitais idênticas é de uma em 64 trilhões.

Tokens de hardware

Um token de hardware é um pequeno dispositivo eletrônico (por exemplo, chaveiro ou dispositivo USB) que gera uma senha de uso único (OTP), também chamada de token de software, cada vez que um usuário a ativa. O código é inserido no sistema para autenticar o usuário. 

Links mágicos

Um link mágico é um URL único enviado aos usuários por e-mail ou texto para verificação de identidade. Um aplicativo de autenticação em segundo plano faz a correspondência do dispositivo a um token em um banco de dados quando o usuário clica no link. 

Opções nativas

As ferramentas de autenticação sem senha são incorporadas em alguns aplicativos ou sistemas, como Google e Microsoft. Esta opção nativa para autenticação sem senha permite que os usuários acessem códigos desses aplicativos em vez de usar outros códigos.  

Cookies persistentes

Os cookies persistentes são armazenados em dispositivos autenticados. Eles têm armazenadas as credenciais de logon do usuário do dispositivo. Quando os usuários estão conectados, o cookie persistente é usado para conceder acesso a recursos com base em permissões. Os cookies persistentes podem permanecer nos sistemas de modo permanente ou ser configurados para expirar após um período específico.   

Cartões inteligentes

Os cartões inteligentes são cartões físicos que um leitor escaneia para autenticar os usuários e conceder-lhes acesso aos recursos. A maioria dos cartões inteligentes armazena dados em chips e usa RFID (identificação por radiofrequência) para conectividade.   

Como funciona a autenticação sem senha

A autenticação sem senha solicita que os usuários se autentiquem usando algo que tenham (por exemplo, chaveiro ou token) ou algo que seja parte deles (por exemplo, impressão digital) para verificação de identidade antes que obtenham acesso a recursos seguros. As etapas que um usuário segue são divididas em duas fases: registro e verificação. 

Registro de autenticação sem senha

1. Quando os usuários têm contato com um aplicativo ou serviço pela primeira vez, eles recebem uma solicitação de aprovação de registro validada usando autenticação sem senha (por exemplo, biometria). 
2. Quando a solicitação é aprovada, uma chave de criptografia privada é gerada para o usuário. 
3. A chave de criptografia pública é enviada ao aplicativo ou serviço. 

Verificação de autenticação sem senha

1. Um desafio é gerado e enviado para o dispositivo do usuário quando ele tenta fazer login. 
2. O usuário responde ao desafio desbloqueando a chave privada, usando o método estabelecido de autenticação sem senha. 
3. A chave privada é usada para concluir o desafio. 
4. Para que o usuário tenha acesso, a chave pública deve aceitar a chave privada. 

Segurança de dados e autenticação sem senha

A autenticação sem senha reduz as vulnerabilidades inerentes às senhas tradicionais e melhora significativamente a segurança de dados das seguintes formas:

• A satisfação do cliente pode ser melhorada sem comprometer a segurança de dados. 
• A segurança de dados para informações confidenciais pode ser significativamente melhorada. 
• É possível ter grande facilidade de uso combinada a uma maior segurança de dados. 
• O custo da segurança de dados pode ser reduzido. 

Autenticação multifator (MFA) vs. autenticação sem senha

A autenticação sem senha e a autenticação multifator (MFA), muitas vezes, são confundidas e consideradas sinônimos. Ambas são tipos de autenticação multifator, mas se baseiam em fatores diferentes. A autenticação sem senha não usa senhas, ao passo que a MFA usa senhas como um dos fatores para verificação de identidade. 

Implementação da autenticação sem senha

A autenticação sem senha pode ser implementada de várias maneiras, mas as mais comuns são a biometria, os tokens FIDO (Fast Identity Online Client) e os códigos de uso único.   

• A biometria usa dispositivos que contam com sensor biométrico. 
• Os tokens FIDO usam dispositivos físicos que geram códigos de uso único. 
• Os links mágicos são enviados para o e-mail ou número de telefone de um usuário. 
• Os códigos de uso único enviam códigos de acesso para o endereço de e-mail ou número de telefone de um usuário. 

As organizações podem usar uma delas ou implementar uma combinação delas. Por exemplo, elas podem usar um código único ou um token FIDO para verificação inicial de identidade e, em seguida, usar a biometria para autenticação adicional.   

A seguir estão as etapas usadas para implementar a autenticação sem senha.  

1. Selecionar o modo de autenticação (por exemplo, biometria, tokens FIDO, links mágicos, códigos de uso único). 
2. Determinar quantos fatores serão usados — vários fatores são considerados uma prática recomendada.  
3. Adquirir e implantar sistemas de hardware e software de suporte. 
4. Registrar os usuários no sistema de autenticação (por exemplo, digitalizar o rosto de todos os colaboradores no caso de sistema de reconhecimento facial). 

Autenticação sem senha e autenticação adaptativa

Embora seja mais difícil hackear fatores de inerência, fatores de posse ou links mágicos, não deixa de ser possível. A combinação de autenticação sem senha com autenticação adaptável eleva a segurança de acesso a um nível mais alto.

A autenticação adaptativa adiciona uma camada de proteção respaldada por inteligência artificial (IA) à autenticação sem senha, que usa aprendizado de máquina para desenvolver padrões típicos de comportamento do usuário. Um desvio nos padrões representa um risco e aciona uma resposta de segurança designada, como solicitar ao usuário autenticação secundária ou bloquear a conta.

Autenticação sem senha e confiança zero

Uma estratégia de segurança de confiança zero requer a eliminação de qualquer tipo de confiança. Isso significa eliminar as senhas tradicionais para autenticação de identidade, uma vez que elas não apenas não são dignas de confiança e caras, mas também retardam os programas de confiança zero. A autenticação sem senha é uma substituição razoável, pois se alinha aos princípios de confiança zero e oferece muitos outros benefícios.

Mitigação de vetores de ataque primários

As senhas são amplamente consideradas como um ponto de entrada principal para violações de dados. O uso da autenticação sem senha reduz essa vulnerabilidade.

Ao contrário de algumas soluções de segurança aprimoradas, a autenticação sem senha é econômica e fácil de usar. Organizações de todos os tipos e tamanhos vêm implementando com sucesso autenticações sem senha, que devem ser consideradas para qualquer organização com ativos digitais a proteger. 

Recursos

Você também pode estar interessado em:

Security Sessions: horizontes da segurança de identidade

Venha conosco entender sobre o impacto que os novos paradigmas digitais estão gerando no mundo corporativo. 

Ler mais

Acolha a Zero Trust

Use um modelo de segurança Zero Trust para proteger seus usuários, dados e sistemas em todos os pontos de acesso.

Ler mais

Métodos de autenticação usados para segurança de rede

Conheça os diversos métodos de autenticação, que vão desde senhas até impressões digitais, para confirmar a identidade de um usuário antes de permitir o acesso.

Ler mais

Ver a biblioteca de recursos

The post Autenticação sem senha: o que é e como funciona appeared first on SailPoint.

O controle de acesso baseado em atributo (ABAC), também conhecido como controle de acesso baseado em política (PBAC) ou controle de acesso baseado em declarações (CBAC), é uma metodologia de autorização que define e aplica políticas com base em características, como departamento, local, gerente e hora do dia. Usando a lógica booleana, o ABAC cria regras de acesso com instruções “se-então” que definem o usuário, a solicitação, o recurso e a ação. Por exemplo, se o solicitante for um vendedor, ele receberá acesso de leitura e escrita à solução de gerenciamento de relacionamento com o cliente (CRM), ao contrário de um administrador, que recebe apenas privilégios de visualização para criar um relatório.

Com o controle de acesso baseado em conta, pode ser fornecida segurança dinâmica e sensível ao contexto para atender a requisitos de TI cada vez mais complexos. Alguns casos de uso para ABAC são: 

• Proteção de dados, dispositivos de rede, serviços em nuvem e recursos de TI de usuários ou ações não autorizados     
• Segurança de microsserviços/interfaces de programação de aplicativos (APIs) para evitar a exposição de transações confidenciais   
• Habilitação de controles dinâmicos de firewall de rede, o que permite que as decisões de política sejam tomadas por usuário 

Componentes do ABAC

Atributos são as características ou valores de componentes que são usados em um evento de acesso.  Esses atributos podem ser extraídos de várias fontes de dados, inclusive sistemas de gerenciamento de identidade e acesso (IAM), sistemas de planejamento de recursos empresariais (ERP), informações de funcionários de um sistema interno de recursos humanos, informações de clientes de um CRM e de servidores de Lightweight Directory Access Protocol (LDAP).

O controle de acesso baseado em atributo permite o uso de vários atributos para autorização para fornecer uma abordagem mais granular ao controle de acesso, por exemplo, separação de funções (SOD).

A seguir estão listadas as características que podem ser usadas para determinar a concessão ou recusa de acesso. 

Atributos subjetivos ou de usuário

Os atributos subjetivos ou de usuário descrevem quem está tentando obter acesso a um recurso para executar uma ação. Isso pode incluir nome de usuário, idade, cargo, nacionalidade, ID de usuário, departamento e afiliação da empresa, habilitação de segurança, nível de gerenciamento e outros critérios de identificação. Os sistemas ABAC podem coletar essas informações de tokens de autenticação usados durante o login ou podem ser extraídas de um banco de dados ou sistema (por exemplo, um sistema LDAP, de recursos humanos). 

Atributos objetivos ou de recurso

Os atributos objetivos ou de recurso abrangem características de um objeto ou recurso (por exemplo, arquivo, aplicativo, servidor, API) que recebeu uma solicitação de acesso. Exemplos de atributos objetivos ou de recurso são data de criação, última atualização, autor, proprietário, nome do arquivo, tipo de arquivo e confidencialidade dos dados. 

Atributos ambientais ou de contexto

Os atributos ambientais indicam o contexto mais amplo das solicitações de acesso. Os atributos ambientais podem ser uma variedade de itens contextuais, como a hora e o local de uma tentativa de acesso, o tipo de dispositivo do sujeito, o protocolo de comunicação, a força de autenticação, os padrões normais de comportamento do sujeito, o número de transações já feitas nas últimas 24 horas ou mesmo a relação com terceiros. 

Atributos de ação

Os atributos de ação indicam como um usuário deseja se envolver com um recurso. Exemplos de atributos de ação comuns em solicitações de acesso são ver, ler, escrever, copiar, editar, transferir, excluir ou aprovar. Eles podem ser usados individualmente ou combinados em cenários mais complexos. 

Como funciona o controle de acesso baseado em atributo 

O ABAC concede permissões baseadas em quem o usuário é e não no que ele faz, o que permite controles granulares. Os atributos são analisados para avaliar como eles interagem em um ambiente e, posteriormente, são aplicadas regras com base nos relacionamentos.  

Veja como o processo normalmente funciona:

1. É feita uma solicitação de acesso. 
2. A ferramenta de controle de acesso baseado em atributo verifica os atributos para determinar se eles correspondem às políticas existentes.  
3. Com base no resultado da análise da ferramenta ABAC, a permissão é concedida ou negada. 

Benefícios do ABAC

O modelo de autorização de controle de acesso baseado em atributo tem recursos exclusivos que oferecem benefícios valiosos para as organizações, como os apresentados a seguir. 

Ampla gama de políticas

Praticamente qualquer tipo de política pode ser criado, pois as únicas limitações do ABAC são os atributos e as condições que a linguagem computacional pode expressar. 

O controle de acesso baseado em atributo permite controlar variáveis situacionais para ajudar os formuladores de políticas a implementar o acesso granular.

Ele também permite que os administradores usem restrições de acesso inteligentes que fornecem contexto para decisões inteligentes de segurança, privacidade e conformidade. Por exemplo, um grupo de funcionários pode ter acesso apenas a alguns tipos de informações em determinados momentos ou apenas em um determinado local.

Fácil de usar 

O controle de acesso baseado em atributo é muito intuitivo para o usuário. Ele oculta os conjuntos de permissões técnicas por trás de uma interface fácil de usar. Qualquer pessoa com as permissões certas pode atualizar um perfil de usuário e ter certeza de que o usuário terá o acesso de que precisa, desde que seus atributos estejam atualizados. Além disso, o número máximo de usuários pode ter acesso ao máximo de recursos disponíveis sem que os administradores tenham que especificar as relações entre cada usuário e objeto. 

Integração rápida de novos usuários

Os modelos ABAC agilizam a integração de novos funcionários e parceiros externos permitindo que os administradores e proprietários de objetos criem políticas e confiram atributos que permitem aos novos usuários o acesso aos recursos. Com o controle de acesso baseado em atributo, as regras existentes ou as características do objeto não precisam ser alteradas para conceder esse acesso.

Flexibilidade

Com o ABAC, praticamente qualquer atributo pode ser representado e alterado automaticamente com base em fatores contextuais, como quais aplicativos e tipos de dados os usuários podem acessar, quais transações podem enviar e as operações que podem realizar.   

Conformidade regulatória

A segurança reforçada fornecida pelas permissões e controles granulares do controle de acesso baseado em atributo ajuda as organizações a atender aos requisitos de conformidade para proteger as informações de identificação pessoal (PII) e outros dados confidenciais estabelecidos na legislação e nas regras como, por exemplo, Health Insurance Portability and Accountability Act (HIPAA), Lei Geral de Proteção de Dados (LGPD) e Payment Card Industry Data Security Standard (PCI DSS).

Escalabilidade

Uma vez configurado o ABAC, os administradores podem copiar e reutilizar atributos para componentes e posições de usuário semelhantes, o que simplifica a manutenção de políticas e a integração de novos usuários. 

Desafios do controle de acesso baseado em atributo

Uma vez implantado, o ABAC é simples de escalar e integrar em programas de segurança, mas começar a utilizá-lo exige algum esforço. Embora a maioria concorde que os benefícios do ABAC superam em muito os desafios, há algo que deve ser considerado: a complexidade da implementação. Isso ocorre porque os administradores devem: 

• Conferir atributos a cada componente. 
• Criar um mecanismo de política central para determinar quais atributos têm permissão para fazer, com base em várias condições (ou seja, se X, então Y). 
• Definir todos os atributos. 
• Avaliar as permissões disponíveis para usuários específicos antes que todos os atributos e regras estejam em vigor.  
• Mapear políticas de autorização para criar um conjunto de políticas abrangente para governar o acesso. 

ABAC x RBAC

O controle de acesso baseado em atributo e o controle de acesso baseado em função são métodos de gerenciamento de acesso. Ao contrário do ABAC, o RBAC concede acesso com base em funções planas ou hierárquicas. Com o RBAC, as funções atuam como um conjunto de direitos ou permissões. 

Como escolher entre ABAC e RBAC

A escolha certa entre o controle de acesso baseado em atributo ou em função depende do tamanho, do orçamento e das necessidades de segurança da empresa. O tamanho desempenha um papel importante na escolha, pois a implementação inicial do ABAC é complicada e consome muitos recursos. 

ABAC e RBAC: uma abordagem híbrida

O controle de acesso baseado em atributo e o controle de acesso baseado em função podem ser usados em conjunto para aproveitamento da facilidade de administração de políticas do RBAC com as especificações de políticas flexíveis e os recursos dinâmicos de tomada de decisão do ABAC. O uso do ABAC e do RBAC (ARBAC) pode fornecer segurança poderosa e otimizar os recursos de TI. 

A abordagem híbrida ARBAC permite que os administradores de TI automatizem o acesso básico e dá às equipes de operações a capacidade de fornecer acesso adicional a usuários específicos por meio de funções que se alinham à estrutura de negócios. Tornando as funções dependentes de atributos, as limitações podem ser aplicadas a usuários específicos automaticamente, sem pesquisa ou configurações.

Isso simplifica as atribuições de acesso e minimiza o número de perfis de usuário que precisam ser gerenciados. Com o ARBAC, as equipes de TI podem essencialmente terceirizar a carga de trabalho de integração e exclusão de usuários para os tomadores de decisão da empresa. 

Por exemplo, o ARBAC pode ser usado para impor o controle de acesso com base em atributos específicos com controle de acesso discricionário por meio de funções de trabalho baseadas em perfil que são baseadas nas funções dos usuários. O ARBAC também pode suportar um modelo de controle de acesso adaptável ao risco com privilégios mutuamente exclusivos concedidos, de modo que permitam a segregação de funções. 

Apoiar a segurança organizacional com o ABAC

O controle de acesso baseado em atributo tornou-se amplamente aceito como o modelo de autorização preferido de muitas organizações. Não só é incrivelmente poderoso, mas alivia parte da carga de administração de segurança.  

Você também pode estar interessado em:

Artigo

Como funciona o logon único (SSO)

Artigo

Controle de acesso baseado em função (RBAC)

Artigo

O que é Gerenciamento de Identidade e Acesso (IAM)?

The post O que é controle de acesso baseado em atributo (ABAC)?  appeared first on SailPoint.

Definição de separação de funções

A separação de funções (SoD), também conhecida como segregação de funções, é o princípio de que nenhum usuário deve ter controle total sobre sistemas, processos ou atividades confidenciais. Por exemplo, uma pessoa não pode concluir uma tarefa sem outra pessoa que atue como verificador, ou o acesso pode ser limitado a um número definido de vezes. A separação de funções visa evitar comprometimentos de segurança, como erros, fraudes, uso indevido de informações, sabotagem e roubo.

A aplicação da separação de funções pode ser estática ou dinâmica. 

1. Aplicação estática A mesma pessoa não pode executar funções que tenham um conflito. Por exemplo, a pessoa que autoriza o pagamento por cheque não deve ser aquela que assina eletronicamente o cheque.
2. Aplicação dinâmica O controle é exercido em tempo real. Os usuários precisam da aprovação de uma pessoa autorizada para concluir uma tarefa.

A separação de funções divide as tarefas em quatro categorias: autorização, custódia, reconciliação e manutenção de registros. Seguindo os protocolos, diferentes pessoas executam cada uma das seguintes tarefas como parte do sistema de verificações e compensações.  

1. Autorização A revisão e aprovação de transações ou operações
2. Custódia de ativos Controle sobre acesso a ativos e sistemas físicos e digitais
3. Reconciliações A verificação da precisão, integridade e validade de transações ou operações
4. Registro de transações A criação e manutenção de registros relacionados a transações ou operações

Importância da separação de funções

Algumas funções organizacionais importantes para a separação de funções são: 

• Contabilidade e finanças 
• Segurança cibernética
• Tecnologia da informação 
• Outras áreas que podem ter um impacto crítico na organização 

A implementação da separação de funções em funções sensíveis ajuda a minimizar os riscos relacionados a ameaças internas, como por exemplo:

• Falsificação de registros financeiros para corresponder a previsões de ganhos 
• Realização de espionagem corporativa 
• Roubo de dinheiro da organização   

A conformidade é outro motivo para implementar a separação de funções. Nos Estados Unidos, a Lei Sarbanes-Oxley de 2002 (SOX) especifica a necessidade da separação de funções. O objetivo é proteger contra fraudes contábeis se houver falsificação de demonstrações financeiras.

Com a SOX, os comitês de auditoria e executivos de nível sênior são responsáveis pela idoneidade das demonstrações financeiras. A separação de funções é necessária para fornecer sistemas de controle interno eficazes para relatórios financeiros, para garantir a veracidade. 

A seguir apresentamos outras razões pelas quais a separação de funções é importante. 

Responsabilidade  Um programa de separação de funções promove a responsabilidade e a transparência dentro da organização, atribuindo responsabilidades a equipes e pessoas especificamente. Além de suas responsabilidades, eles são responsáveis pela supervisão de funções e atividades secundárias.

Atenção aos detalhes  Ninguém gosta que descubram seus erros, e a separação de funções fornece supervisão que identifica erros. Devido às verificações e compensações fornecidas, as organizações veem o desenvolvimento de uma cultura que demonstra atenção aos detalhes impulsionada pelo desejo de evitar erros, o que beneficia todos os aspectos da empresa.

Prevenção de erros  Com a atribuição de diferentes tarefas e responsabilidades a pessoas ou equipes, a separação de funções ajuda as organizações a identificarem erros em tempo hábil. Isso ajuda a evitar, na melhor das hipóteses, a perda de tempo com correções e problemas legais e, na pior das hipóteses, violações de conformidade.

Prevenção a fraudes  A separação de funções, como autorização, registro e custódia, fornece um sistema de verificações e compensações que reduz significativamente o risco de fraude. Como nenhuma pessoa ou equipe tem controle total sobre os processos ou funções confidenciais, são eliminadas as oportunidades de manipulação, desfalque ou outros tipos de má conduta financeira.

Riscos associados à separação de funções

A separação de funções oferece muitos benefícios, mas há vários desafios, entre eles os seguintes: 

• Complica os processos de negócios 
• Cria conflitos entre segurança e eficiência 
• Dá a falsa impressão de reduzir erros 
• Interfere na satisfação, engajamento e retenção dos funcionários  
• Aumenta os requisitos e custos de pessoal 
• Cria oportunidades de conluio  
• Reduz a produtividade operacional 

Melhores práticas para separação de funções 

Avaliar os níveis de risco ao estabelecer o SoD

A separação de funções será diferente dependendo das organizações e departamentos. No entanto, ao determinar a melhor abordagem, todas as organizações devem criar e implementar políticas com base nos níveis de risco associados.   

Ter a capacidade de demonstrar a separação de funções

Para confirmar a eficácia, a documentação de processos que devem ser usados para a separação de funções deve ser demonstrável para alguém externo.  

Realizar treinamento de funcionários para divulgar a importância da SoD

Reserve tempo para desenvolver e agendar treinamento para os funcionários, que explique como e por que deve ser feita a separação de funções. Isso permite melhorias na eficácia do programa e obter o apoio dos funcionários.   

Definir e documentar as responsabilidades para a separação de funções

Cada etapa dos processos de separação de funções, cargos e responsabilidades deve ser claramente definida e documentada. Isso deve incluir quem, seja uma pessoa específica ou um cargo, é responsável por iniciar, enviar, autorizar, revisar e auditar as atividades pertinentes à SoD.   

Monitorar a SoD quanto à conformidade

Para muitas organizações, a separação de funções é um requisito de conformidade ou faz parte de programas de conformidade. As organizações devem revisar regularmente o programa para garantir que os controles e processos relacionados atendam aos requisitos em evolução.   

Avaliar os esforços de separação de funções para identificar oportunidades de melhoria

Solicite feedback de usuários e auditores sobre o programa de SoD para identificar proativamente as áreas que podem ser otimizadas e melhoradas para agilizar as operações e reduzir o risco. 

Realizar revisões regulares e manter os processos de SoD

Devem ser definidos e implementados controles para realizar monitoramento contínuo e revisões regulares de como a separação de funções está sendo executada para garantir que os processos não estejam impedindo a eficiência operacional e auditar a eficácia. Isso deve incluir mecanismos de relatório para documentar os resultados. 

A SoD como um complemento aos portfólios de gerenciamento de risco

Incluir a separação de funções em programas de gerenciamento de risco pode ser uma maneira fácil e de baixa tecnologia de aumentar a eficácia. A separação de funções em toda a organização (ou seja, cobrindo tudo, desde operações e desenvolvimento até finanças e segurança de TI) pode reduzir o risco geral.

A separação de funções implementa verificações e compensações que ajudam a evitar problemas que podem prejudicar uma organização, o que resulta em perdas financeiras, penalidades regulatórias e danos irreparáveis à marca. Também ajuda a minimizar erros, evitar fraudes e limitar o escopo dos danos que um incidente pode causar. 

Recursos

Você também pode estar interessado em:

Gestão da política de separação de funções

As políticas de separação de funções da SailPoint ajudam a proteger os dados dividindo as tarefas em várias partes que requerem mais de uma pessoa para serem concluídas.

Ler mais

O que é a segurança de identidade?

A segurança de identidade, também conhecida como governança de identidade, é uma forma de proteção contra as ameaças cibernéticas associadas ao fornecimento de acesso a tecnologias a uma força de trabalho diversificada. Saiba mais.

Ler mais

Identity Security Cloud

Gerencie e proteja o acesso a dados e aplicativos críticos para todas as identidades corporativas com uma solução inteligente e unificada.

Ler mais

Ver a biblioteca de recursos

The post Separação de funções (SoD) appeared first on SailPoint.

Embora a autenticação e a autorização sejam frequentemente usadas de forma intercambiável, são processos separados usados para proteger uma organização contra ataques cibernéticos. À medida que as violações de dados continuam a aumentar em frequência e alcance, a autenticação e a autorização são a primeira linha de defesa para evitar que dados confidenciais caiam em mãos erradas. Como resultado, métodos eficazes de autenticação e autorização devem ser uma parte crítica da estratégia geral de segurança de todas as organizações.

Autenticação x Autorização

Então, qual é a diferença entre autenticação e autorização? Simplificando, a autenticação é o processo de verificação de quem é uma determinada pessoa, enquanto a autorização é o processo de verificar a quais aplicativos, arquivos e dados específicos um usuário tem acesso. A situação é como a de uma companhia aérea que precisa determinar quais pessoas podem embarcar. O primeiro passo é confirmar a identidade de um usuário para garantir que ele seja quem diz ser. Uma vez que a identidade de um passageiro tenha sido determinada, a segunda etapa é verificar os serviços especiais aos quais o passageiro tem acesso, como primeira classe ou uso da sala VIP por exemplo.

No mundo digital, a autenticação e a autorização atingem esses mesmos objetivos. A autenticação é usada para verificar se os usuários realmente são quem eles dizem ser. Uma vez que isso tenha sido confirmado, a autorização é usada para conceder ao usuário permissão para acessar diferentes níveis de informação e executar funções específicas, dependendo das regras estabelecidas para diferentes tipos de usuários.

Métodos comuns de autenticação

Embora a identidade do usuário seja tradicionalmente validada usando a combinação de um nome de usuário e senha, os métodos de autenticação atuais geralmente dependem de três classes de informações:

• O que você sabe: a forma mais comum disso é uma senha. Mas também pode ser uma resposta a uma pergunta de segurança ou um PIN de uso único que concede ao usuário acesso a apenas uma sessão ou transação.

• O que você tem em seu poder: pode ser um dispositivo móvel ou aplicativo, um token de segurança ou um cartão de identificação digital.

• O que você é: são dados biométricos, como impressão digital, varredura da retina ou reconhecimento facial.

Muitas vezes, esses tipos de informações são combinados por meio de várias camadas de autenticação. Por exemplo, um usuário pode ser solicitado a fornecer um nome de usuário e senha para concluir uma compra on-line. Uma vez que isso seja confirmado, um PIN de uso único pode ser enviado para o telefone celular do usuário como uma segunda camada de segurança. Combinando vários métodos de autenticação com protocolos de autenticação coerentes, as organizações podem garantir a segurança e a compatibilidade entre os sistemas.

Métodos comuns de autorização

Depois de um usuário ser autenticado, os controles de autorização são aplicados para garantir que os usuários possam acessar os dados de que precisam e executar funções específicas, como adicionar ou excluir informações, com base nas permissões concedidas pela organização. Essas permissões podem ser atribuídas nos níveis de aplicativo, sistema operacional ou infraestrutura. Duas técnicas de autorização comuns são:

• Controles de acesso baseados em função (RBAC): esse método de autorização fornece aos usuários acesso a informações com base em sua função na organização. Por exemplo, todos os funcionários de uma empresa podem visualizar, mas não modificar, suas informações pessoais, como salário, período de férias e dados do plano de aposentadoria. No entanto, os gerentes de recursos humanos (RH) podem ter acesso às informações de RH de todos os funcionários com a capacidade de adicionar, excluir e alterar esses dados. Ao atribuir permissões de acordo com a função de cada pessoa, as organizações podem garantir que todos os usuários sejam produtivos e, ao mesmo tempo, limitar o acesso a informações confidenciais.

• Controle de acesso baseado em atributo (ABAC): o ABAC concede aos usuários permissões em um nível mais granular do que o RBAC por meio de uma série de atributos específicos. Isso pode incluir atributos de usuário, como nome, função, organização, ID e credenciamento de segurança do usuário. Ele pode incluir atributos ambientais, como o tempo de acesso, a localização dos dados e os níveis atuais de ameaça organizacional. E pode incluir atributos de recurso, como o proprietário do recurso, o nome do arquivo e o nível de confidencialidade dos dados. O ABAC é um processo de autorização mais complexo do que o RBAC, projetado para limitar ainda mais o acesso. Por exemplo, em vez de permitir que todos os gerentes de RH de uma organização alterem os dados de RH dos funcionários, o acesso pode ser limitado a determinadas localizações geográficas ou horas do dia para manter limites de segurança rígidos.

Uma estratégia eficaz de autenticação e autorização é essencial

Uma estratégia de segurança eficaz requer a proteção dos recursos com autenticação e autorização. Com uma estratégia robusta de autenticação e autorização em vigor, as organizações podem verificar consistentemente quem é cada usuário e o que tem permissão para fazer evitando atividades não autorizadas que representam uma ameaça séria. Obrigando que todos os usuários se identifiquem adequadamente e acessem apenas os recursos de que precisam, as organizações podem maximizar a produtividade e, ao mesmo tempo, reforçar sua segurança em um momento em que as violações de dados estão prejudicando a receita e a reputação das empresas. 

Veja como o SailPoint se integra com os provedores de autenticação certos.

You might also be interested in:

Article

Autenticação sem senha: o que é e como funciona

Article

O que é controle de acesso baseado em atributo (ABAC)? 

Article

Como funciona o logon único (SSO)

The post Qual é a diferença entre autenticação e autorização? appeared first on SailPoint.

Embora sejam apenas uma faceta da segurança cibernética, os métodos de autenticação são a primeira linha de defesa. Este é o processo de determinar se um usuário é quem ele diz ser. Não deve ser confundido com a etapa que o precede, a autorização. A autenticação é puramente o meio de confirmar a identificação digital, para que os usuários tenham o nível de permissões para acessar ou executar uma determinada tarefa.

Existem muitos métodos de autenticação, desde senhas até impressões digitais, para confirmar a identidade de um usuário antes de permitir o acesso. Isso adiciona uma camada de proteção e evita lapsos de segurança, como violações de dados, embora muitas vezes seja a combinação de diferentes tipos de autenticação que fornece reforço seguro ao sistema contra possíveis ameaças.

Métodos de autenticação

A autenticação mantém usuários inválidos fora de bancos de dados, redes e outros recursos. Esses tipos de autenticação usam fatores, uma categoria de credencial para verificação, para confirmar a identidade do usuário. Aqui estão alguns métodos de autenticação.

Autenticação de fator único/primária

Historicamente, a forma mais comum de autenticação, a autenticação de fator único, também é a menos segura, pois requer apenas um fator para obter acesso total ao sistema. Pode ser um nome de usuário e senha, número PIN ou outro código simples. Se por um lado são fáceis de usar, os sistemas autenticados de fator único são, por outro lado, relativamente fáceis de se infiltrar por phishing, inserção de chaves ou mera adivinhação. Como não há outro portão de autenticação para passar, essa abordagem é altamente vulnerável a ataques.

Autenticação de dois fatores (2FA)

Com o acréscimo de um segundo fator para verificação, a autenticação de dois fatores reforça os esforços de segurança. É uma camada adicional que essencialmente verifica se um usuário é, na realidade, o usuário que está tentando fazer login, tornando muito mais difícil a invasão. Com esse método, os usuários inserem suas credenciais de autenticação primárias (como o nome de usuário/senha mencionado acima) e, em seguida, devem inserir uma informação de identificação secundária.

O fator secundário geralmente é mais difícil, pois normalmente requer algo ao qual o usuário válido tenha acesso e que não seja relacionado ao sistema fornecido. Os fatores secundários podem ser uma senha de uso único de um aplicativo autenticador, um número de telefone ou dispositivo que pode receber uma notificação por push ou código SMS, ou uma impressão digital biométrica (Touch ID) ou facial (Face ID) ou reconhecimento de voz.

A 2FA minimiza significativamente o risco de comprometimento do sistema ou dos recursos, pois é improvável que um usuário inválido conheça ou tenha acesso a ambos os fatores de autenticação. Embora a autenticação de dois fatores seja agora mais amplamente adotada por esse motivo, ela causa alguns inconvenientes ao usuário, o que ainda é algo a ser considerado na sua implementação.

Logon único (SSO)

Com o SSO, os usuários só precisam fazer login em um aplicativo e, ao fazê-lo, obtêm acesso a muitos outros aplicativos. Esse método é mais prático para os usuários, pois elimina a obrigação de reter vários conjuntos de credenciais e cria uma experiência mais cômoda durante as sessões operacionais.

As organizações podem fazer isso identificando um domínio central (ou, o que seria ainda melhor, um sistema de IAM) e, em seguida, criando links de SSO seguros entre os recursos. Esse processo permite a autenticação do usuário monitorado por domínio e, com o logon único, pode garantir que, quando os usuários válidos terminarem sua sessão, eles se desconectarão com sucesso de todos os recursos e aplicativos vinculados. 

Autenticação multifator (MFA)

A autenticação multifator é um método de alta segurança, pois usa mais fatores independentes de sistema para legitimar os usuários. Como a 2FA, a MFA usa fatores como biometria, confirmação baseada em dispositivo, senhas adicionais e até mesmo informações baseadas em localização ou comportamento (por exemplo, padrão de pressionamento de teclas ou velocidade de digitação) para confirmar a identidade do usuário. No entanto, a diferença é que, embora a 2FA sempre utilize apenas dois fatores, a MFA pode usar dois ou três, com a capacidade de variar entre as sessões, adicionando um elemento elusivo para usuários inválidos.

Quais são os protocolos de autenticação mais comuns? 

Os protocolos de autenticação são as regras designadas para interação e verificação que os endpoints (laptops, desktops, telefones, servidores, etc.) ou sistemas usam para se comunicar. Assim como existem vários aplicativos diferentes que os usuários precisam acessar, existem variados padrões e protocolos. Selecionar o protocolo de autenticação correto para sua organização é essencial para garantir operações seguras e compatibilidade de uso. Aqui estão alguns dos protocolos de autenticação mais usados.

Protocolo de autenticação de senha (PAP)

Embora seja comum, o PAP é o protocolo menos seguro para validar usuários, principalmente devido à sua falta de criptografia. É essencialmente um processo de login de rotina que requer uma combinação de nome de usuário e senha para acessar um determinado sistema, o que valida as credenciais fornecidas. Agora é mais usado como uma última opção na comunicação entre um servidor e um desktop ou dispositivo remoto.

Protocolo de Autenticação de Aperto de Mão de Desafio (CHAP)

O CHAP é um protocolo de verificação de identidade que verifica um usuário para uma determinada rede com um padrão mais alto de criptografia usando uma troca de três vias de um “segredo”. Primeiro, o roteador local envia um “desafio” para o host remoto, que então envia uma resposta com uma função hash MD5. O roteador compara a resposta esperada (valor de hash) e, se o roteador determinar que existe uma correspondência, ele estabelece uma conexão autenticada – o “aperto de mão” – ou nega o acesso. É inerentemente mais seguro que o PAP, pois o roteador pode enviar um desafio a qualquer momento durante uma sessão, e o PAP só opera com a aprovação de autenticação inicial.

Protocolo de autenticação extensível (EAP)

Este protocolo suporta muitos tipos de autenticação, desde senhas únicas até cartões inteligentes. Quando usado para comunicações sem fio, o EAP é o mais alto nível de segurança, pois permite que um determinado ponto de acesso e dispositivo remoto realizem autenticação mútua com criptografia integrada. Ele conecta os usuários ao ponto de acesso que solicita credenciais, confirma a identidade por meio de um servidor de autenticação e, em seguida, faz outra solicitação de uma outra forma de identificação do usuário para confirmar novamente por meio do servidor – concluindo o processo com todas as mensagens transmitidas e criptografadas.

Veja como o SailPoint se integra com os provedores de autenticação certos.

You might also be interested in:

Article

O que é identidade federada?

Article

Autenticação sem senha: o que é e como funciona

Article

O que é controle de acesso baseado em atributo (ABAC)? 

The post Métodos de autenticação usados para segurança de rede appeared first on SailPoint.

A governança e administração de identidade (IGA), também conhecida como segurança de identidade, está no centro das operações de TI, pois habilita e protege identidades digitais para todos os usuários, aplicativos e dados. Ela permite que as empresas forneçam acesso automatizado a um número cada vez maior de ativos de tecnologia enquanto gerenciam possíveis riscos de segurança e conformidade.

Governança de identidade em ação

Saiba como a plataforma de identidade da SailPoint ajuda as empresas a capacitar sua força de trabalho pela proteção das identidades digitais.

Quais problemas de segurança de negócios a IGA aborda?

A governança e administração de identidade pode ajudar sua organização a abordar com eficácia os desafios de negócios complexos da atualidade, equilibrando quatro objetivos críticos:

1. Reduzir custos operacionais
2. Reduzir riscos e fortalecer a segurança
3. Melhorar a conformidade e o desempenho da auditoria
4. Oferecer acesso rápido e eficiente aos negócios

Reduzir custos operacionais

O recurso de governança e administração de identidade automatiza processos que exigem muita mão de obra, como certificações de acesso, solicitações de acesso, gerenciamento e provisionamento de senhas, o que reduz drasticamente os custos operacionais. Com sua interface de usuário adequada para os negócios, isso pode reduzir significativamente o tempo que a equipe de TI gasta em tarefas administrativas e capacitar os usuários a solicitar acesso, gerenciar senhas e revisar o acesso de forma independente. E com acesso a dashboards e ferramentas analíticas, as organizações têm as informações e métricas de que precisam para fortalecer os controles internos e reduzir riscos.

Reduzir riscos e fortalecer a segurança

O comprometimento de identidades causado por identidades fracas, roubadas ou credenciais de usuário padrão são uma ameaça crescente para as organizações. A visibilidade centralizada cria uma única visão de autoridade de “quem tem acesso a quê”, permitindo que usuários autorizados detectem prontamente o acesso indevido, violações da política ou controles fracos que colocam as organizações em risco. As soluções de governança de identidade permitem que os usuários de negócios e de TI identifiquem categorias de risco de empregados, violações de políticas e privilégios de acesso inadequados e corrijam esses fatores de risco.

Melhorar a conformidade e o desempenho da auditoria

A governança e as administrações de identidade permitem que as organizações verifiquem se os controles corretos estão em uso para atender aos requisitos de segurança e privacidade de regulamentos como SOX, HIPAA e LGPD. Eles oferecem processos de negócios consistentes para gerenciar senhas, bem como analisar, solicitar e aprovar o acesso, tudo com base em um modelo de política comum, função e risco. Com o controle de acesso baseado em função, as empresas reduzem significativamente o custo da conformidade e gerenciam risco e estabelecem práticas repetíveis para que os trabalhos de certificação sejam mais coerentes, auditáveis e fáceis de gerenciar.

Oferecer acesso rápido e eficiente à empresa.

Por conceder aos seus usuários o acesso oportuno aos recursos de que precisam para fazer seu trabalho, a governança e as administrações de identidade permitem que eles se tornem produtivos mais rápido e permaneçam produtivos, não importa o quanto as suas funções e responsabilidades mudem nem com que rapidez. Também permite que os usuários de negócios solicitem acesso e gerenciem senhas, reduzindo a carga de trabalho das equipes de help desk e de operações de TI. E com a aplicação automatizada de políticas, a governança de identidade permite que você atenda aos requisitos de nível de serviço sem comprometer a segurança ou a conformidade.

Soluções de governança e administração de identidade da SailPoint

Em março, fomos reconhecidos como o Gartner Peer Insights Customers’ Choice de 2020 quanto a governança e administração de identidade (IGA). Esta distinção reconhece os fornecedores que são mais bem avaliados por seus clientes, com base em uma série de avaliações enviadas pelos clientes.

Quando se trata de governança de identidade, nenhuma empresa é mais adequada para ajudar você a resolver seus desafios exclusivos de segurança e conformidade. Saiba como podemos ajudar você a proteger seus dados confidenciais, onde quer que estejam.

Governança de identidade em ação

US$ 1 milhão em economia de custos. O poder de aproveitar as oportunidades.

Saiba mais

Saiba mais sobre tópicos de identidade

• Prioridades do CIO
• Segurança na nuvem
• Lei Geral de Proteção de Dados (LGPD)
• Controle de acesso a dados armazenados em arquivos
• Identidade como serviço
• Gerenciamento de identidade e acesso
• Governança de identidade
• Gerenciamento de senhas
• Conformidade regulatória

Perguntas frequentes

O que é governança de identidade em nuvem?

A governança de identidade em nuvem oferece a mesma segurança, conformidade e automação oferecidas pelas soluções tradicionais de identidade de classe empresarial, combinada a um custo total de propriedade mais baixo e implantação mais rápida. Simplificando, a identidade fornece o poder de dar segurança à empresa em nuvem.

A nuvem está transformando a maneira como trabalhamos. As organizações devem abordar com eficácia os desafios de negócios complexos da atualidade, e a empresa de hoje está se tornando uma empresa em nuvem. Enquanto as empresas estão tendo mais desenvoltura com a movimentação de aplicativos estratégicos e de missão crítica para a nuvem, pode parecer um passo largo demais pensar em utilizar soluções como identidade como um serviço (SaaS). As empresas geralmente evitam a governança de identidade porque acreditam que não têm orçamento suficiente, tempo ou os recursos de identidade qualificados necessários para implementá-la. No entanto, estes fatores não são mais inibidores para colher os benefícios do gerenciamento de identidade.

Na SailPoint, continuamos totalmente focados na governança de identidade, seja no local ou na nuvem. O IdentityNow, nossa solução de SaaS, é uma solução de governança de identidade tão poderosa quanto o IdentityIQ, nossa solução implantada no data center.

O software de governança de identidade não está disponível apenas no local?

Embora seja verdade que as primeiras soluções de governança de identidade do mercado foram instaladas no local, hoje também existem opções baseadas em nuvem para governança de identidade. Na verdade, o IdentityNow da SailPoint fornece certificações de acesso, solicitação de acesso, provisionamento e gerenciamento de senhas como serviços baseados em nuvem.

A governança de identidade pode gerenciar aplicativos em nuvem?

As soluções de governança de identidade fornecem várias opções de conectividade que permitem o gerenciamento unificado em recursos na nuvem e no local. Todos os recursos de governança de identidade, inclusive certificação de acesso, solicitação de acesso, gerenciamento de senhas e provisionamento, são cross-domain, o que significa que podem ser usados para aplicativos em nuvem e no local.

Minha empresa precisa de governança de identidade, mesmo que não estejamos sujeitos à conformidade regulatória?

A governança de identidade é um componente crítico de qualquer estratégia de segurança. Se uma empresa não utilizar software de identidade, isso a coloca em sério risco de ataques cibernéticos. Como os hackers tentam roubar as credenciais dos usuários constantemente, proteger as identidades é vital para manter os ladrões cibernéticos fora dos sistemas da empresa. Em qualquer circunstância você precisa de governança de identidade para proteger as contas e os privilégios dos usuários e garantir um controle de acesso eficaz.

O IGA é apenas para grandes empresas?

Embora possa parecer que a conformidade com os regulamentos seja um desafio apenas para grandes empresas internacionais, a verdade é que os regulamentos (por exemplo, LGPD ou CCPA) afetam todas as organizações empresariais, independente do respectivo tamanho ou setor. Em qualquer circunstância as organizações precisam fortalecer os controles de acesso a seus dados e aplicativos confidenciais.

A governança de identidade apoia a HIPAA e a conformidade?

A governança de identidade ajuda a garantir a conformidade com a HIPAA:

• Aplicação de inteligência artificial e análise preditiva para monitorar e identificar comportamentos de acesso incomuns
• Aplicar consistentemente políticas de acesso e exercer controle de todos os aplicativos que contenham ePHI
• Localizar e proteger ePHI estruturados e não estruturados, independente de onde estejam armazenados
• Automatização de revisões periódicas dos direitos de acesso do usuário

Nossa plataforma aberta de governança de identidade em nuvem facilita a conformidade com a HIPAA, oferecendo visibilidade e controle de acesso para aplicativos e dados, para todos os usuários.

Qual é a história da governança de identidade?

A governança da identidade surgiu originalmente como uma nova categoria de gerenciamento de identidade. Foi impulsionada pelos requisitos de novos mandatos regulatórios, como a Lei Sarbanes-Oxley (SOX) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA). Desenvolvida para melhorar a transparência e a capacidade de gerenciamento, a governança de identidade deu às organizações uma melhor visibilidade das identidades e dos privilégios de acesso e melhores controles para detectar e impedir o acesso indevido.

Em 2012, a governança de identidade foi reconhecida pela Gartner como o setor que mais cresce no mercado de gestão de identidade. Em seu primeiro Quadrante Mágico focado nesse segmento de mercado, a Gartner afirmou que governança de identidade “está substituindo a administração e o provisionamento de usuários como novo centro de gravidade para IAM”. A Gartner também estimou que as taxas de crescimento para governança de identidade excederiam 35-40% ao ano, com base no aumento das incidências de roubo e fraude de informações privilegiadas amplamente divulgadas.

À medida que mais e mais clientes implantaram soluções de governança de identidade e provisionamento juntas, ficou claro que os modelos de função, política e risco fornecidos pela governança de identidade eram fundamentais para o provisionamento e para os processos de conformidade. Ao mesmo tempo, ficou claro que as organizações precisavam de visibilidade centralizada de aplicativos locais e em nuvem e arquivos de dados em toda a organização.

Para ter acesso a mais perguntas frequentes, clique aqui.

You might also be interested in:

Article

O que é controle de acesso baseado em atributo (ABAC)? 

Webinar Recording

Assista o webinar: Resolvendo com facilidade e rapidez o gap de governan…

Special Report

Adoção de Horizontes da Segurança de Identidade

The post O que é Governança e Administração de Identidade (IGA) appeared first on SailPoint.

A conformidade regulatória é o cumprimento por parte de uma organização das leis, regulamentos, padrões, diretrizes e especificações estabelecidas por governos, agências, grupos comerciais e outros órgãos. Geralmente, os regulamentos que servem de base para a conformidade são implementados para proteger alguém ou algo (por exemplo, empregados, consumidores, público, meio ambiente). O objetivo da conformidade regulatória é fazer com que as organizações permaneçam dentro dos limites de práticas aceitáveis para garantir a segurança de quaisquer pessoas ou entidades com as quais interajam.

A conformidade regulatória se aplica a uma ampla gama de organizações e setores em todo o mundo. Quase todas as organizações devem aderir a alguns regulamentos. A privacidade de dados é uma das regras de conformidade mais onipresentes aplicadas em todos os setores e pela maioria dos países. 

Conformidade regulatória nos Estados Unidos

Nos Estados Unidos, existem muitas leis e regulamentos para proteger os empregados, o público e outras partes interessadas contra negligência e fraude. Isso inclui leis e padrões do setor que exigem conformidade. Os órgãos, grupos e poderes mais significativos que respaldam a conformidade regulatória estão descritos a seguir. 

Órgãos governamentais, entre eles: 

• Civil Rights Center with Federal Department of Labor
• Employee Benefits Security Administration (EBSA)   
• Employment and Training Administration of Federal Department of Labor   
• Environmental Protection Agency (EPA)
• Equal Employment Opportunity Commission (EEOC)
• Federal Financial Institutions Examination Council (FFIEC) 
• Federal Trade Commission (FTC) 
• Food and Drug Administration (FDA) 
• Occupational Safety and Health Administration (OSHA) 
• Small Business Administration (SBA)
• U.S. Office of Foreign Assets Control (OFAC)   
• U.S. Securities and Exchange Commission (SEC) 
• United States Sentencing Commission    

Os órgãos não governamentais que mantêm e fazem cumprir a conformidade regulatória são: 

• American Society of Mechanical Engineers (ASME)   
• Financial Industry Regulatory Authority (FINRA)
• Payment Card Industry (PCI) Standards Security Council 
• Public Company Accounting Oversight Board (PCAOB) 

Alguns dos padrões que orientam a conformidade regulatória nos Estados Unidos são:

• Conjunto de boas práticas Control Objectives for Information Technologies (COBIT) 
• Organization for Standardization (ISO)   
• Normas do National Institute of Standards and Technology (NIST)
• U.S. Department of Defense (DoD)  
• Cybersecurity Maturity Model Certification (CMMC) internacional 

Dezenas de milhares de leis e regulamentos estabelecem requisitos de conformidade regulatória para as organizações. 

Os exemplos de poderes em vários setores-chave incluem o seguinte. 

Exemplos de conformidade regulatória relacionada a direitos civis 

• Age Discrimination Act
• Americans with Disabilities Act  
• Civil Rights Act  
• Congressional Accountability Act  
• Equal Credit Opportunity  
• Equal Educational Opportunities Act
• Fair Housing Act  
• Genetic Information Nondiscrimination Act 
• Rehabilitation Act  
• Title IX
• Uniformed Services Employment and Reemployment Rights Act 
• Voting Rights Act 

Exemplos de conformidade regulatória relacionada a emprego e local de trabalho

• Equal Pay Act  
• Fair Labor Standards Act (FLSA)
• Family and Medical Leave Act (FMLA)    
• Federal Workers’ Compensation Act    
• Uniformed Services Employment and Reemployment Rights Act (USERRA)   
• Worker Adjustment and Retraining Notification Act (WARN)
• Workers’ Compensation Laws 

Exemplos de conformidade regulatória relacionada aoL ambiente 

• Atomic Energy Act (AEA) 
• Beaches Environmental Assessment and Coastal Health (BEACH) Act
• Chemical Safety Information, Site Security and Fuels Regulatory Relief Act 
• Clean Air Act (CAA) 
• Clean Water Act 
• Toxic Substances Control Act

Exemplos de conformidade regulatória relacionada a finanças 

• Dodd-Frank Act 
• Payment Card Industry Data Security Standard (PCI DSS)   
• Sarbanes-Oxley Act (SOX)
• Gramm–Leach–Bliley Act (GLBA)   
• Fair Credit Reporting Act   
• Sherman Act   
• Securities Exchange Act   
• Securities Act of 1933
• Bank Secrecy Act (BSA)   

Exemplos de conformidade regulatória relacionada à saúde 

• Anti-Kickback Statute (AKBS) 
• Emergency Medical Treatment and Labor Act (EMTALA) 
• Health Information Technology for Economic and Clinical Health (HITECH) Act 
• Health Insurance Portability and Accountability Act (HIPAA)
• Occupational Safety and Health Act 
• Patient Safety and Quality Improvement Act (PSQIA) 

Exemplos de conformidade regulatória relacionada à privacidade e segurança de dados 

• California Consumer Privacy Act of 2018 (CCPA) 
• Colorado Privacy Act
• Connecticut Personal Data Privacy and Online Monitoring Act 
• Federal Information Security Management Act (FISMA) 
• Maryland Online Consumer Protection Act
• Massachusetts Data Privacy Law  
• New York Privacy Act 
• Utah Consumer Privacy Act
• Virginia Consumer Data Protection Act 

Conformidade regulatória na UE e em outras regiões

Os regulamentos variam de acordo com o país e a região, mas a maioria promulgou leis semelhantes às dos Estados Unidos. As organizações que lidam com cidadãos de outros países devem cumprir os requisitos nessas regiões. 

A Lei Geral de Proteção de Dados (LGPD) da União Europeia (UE) é um exemplo particularmente rigoroso. A LGPD se aplica a qualquer organização que colete dados de cidadãos da UE, independente de onde a organização esteja localizada. Também se aplica a dados sobre cidadãos não comunitários residentes em algum país da UE.

Por que a conformidade regulatória é importante

Os requisitos de conformidade continuam a aumentar à medida que mais governos e outros grupos refinam as regras existentes e adicionam novas para enfrentar as ameaças crescentes, muitas das quais são provocadas pelo avanço da tecnologia. Os processos e estratégias derivados da conformidade regulatória garantem que uma organização opere de acordo com todas as leis e regulamentos aplicáveis.  

Um subproduto da conformidade regulatória está ajudando as organizações a aprimorarem as operações. Os relatórios de auditoria relacionados aos requisitos de conformidade demonstram o compromisso de uma organização em seguir as regras e garantir o bem-estar daqueles com quem realiza negócios.  

A conformidade regulatória reforça a reputação das organizações pelo aumento da confiança e respeitabilidade.  

Os requisitos de conformidade também promovem a segurança e reduzem o risco em muitos setores. As regras criadas para abordar os riscos específicos do setor para as pessoas e o meio ambiente fazem uma diferença crucial. Os empregados, consumidores e o meio ambiente se beneficiam de proteções que reduzem as chances de acidentes, lesões e casos fatais no local de trabalho e protegem o público de produtos e práticas prejudiciais ou fraudulentas.

Em alguns casos, a importância da conformidade regulatória é essencial para que uma organização opere. Alguns requisitos devem ser cumpridos para que as operações sejam executadas legalmente. O descumprimento dos requisitos de conformidade regulatória pode resultar em multas ou até mesmo no fechamento de uma organização. 

Benefícios da conformidade regulatória

As organizações obtêm muitos benefícios quando alcançam e demonstram conformidade regulatória. A seguir estão vários dos benefícios frequentemente citados em curto prazo e por um longo período. 

Evitar problemas legais desnecessários e dispendiosos  A implementação e manutenção de programas de conformidade ajudam as organizações a evitar problemas legais caros e demorados que resultam da falta de conformidade. Isso ocorre porque as políticas de conformidade regulatória implementam estruturas para cumprir todas as obrigações necessárias.

Maior eficiência operacional, maior produtividade e custos reduzidos  A eficiência operacional é um subproduto bem documentado da adesão à conformidade regulatória. Devido aos requisitos para alcançar a conformidade, devem ser implementados processos e sistemas robustos e transparentes. Além de apoiar os requisitos de conformidade, isso resulta em procedimentos e processos simplificados que otimizam as operações, aumentam a produtividade e reduzem os custos.

Maior resiliência e continuidade de negócios   As organizações que apresentam conformidade são mais resilientes às mudanças nas regulamentações, pois já dispõem de sistemas implementados para atender às exigências regulatórias. Isso ajuda as organizações a planejarem melhor as mudanças futuras, o que permite melhor continuidade dos negócios.

Maior produtividade e retenção de funcionários   Com o apoio à priorização da segurança e equidade no local de trabalho, a conformidade regulatória tem o efeito residual de aumentar a satisfação dos funcionários, o que leva ao aumento da produtividade e à redução das taxas de rotatividade de funcionários.

Melhoria do equilíbrio do mercado  Um benefício menos considerado da conformidade regulatória é a eliminação de monopólios que podem dificultar a concorrência e resultar em mercados desequilibrados. Os regulamentos geralmente impulsionam práticas justas que dão a todas as organizações a chance de ter sucesso e incentivam a inovação.

Maior equidade e segurança no local de trabalho   A conformidade regulatória exige a implementação de regras que visam eliminar a discriminação e o assédio no local de trabalho. Além disso, a conformidade exige a aplicação de padrões e protocolos de segurança rigorosos que evitem acidentes e danos a pessoas e infraestrutura. Dessa forma, a conformidade regulatória pode promover um ambiente de trabalho que aumenta a produtividade, a eficiência e a satisfação geral.

Reputação positiva  O cumprimento das obrigações de conformidade pode aumentar a confiança nas organizações em seus setores, funcionários, clientes e público. Isso ocorre porque a demonstração de conformidade implica um compromisso com altos padrões profissionais e éticos. As organizações que mantêm a conformidade regulatória geralmente obtêm maior valor da marca e confiança das partes interessadas.

Consequências do descumprimento

O descumprimento das obrigações de conformidade regulatória expõe as organizações ao risco de penalidades, como sanções e multas. As penalidades específicas variam de acordo com o regulamento, mas a seguir estão várias categorias amplas que fornecem uma visão geral do que pode acontecer no caso de violações.   

Penalidades financeiras   O descumprimento de obrigações de conformidade regulatória pode resultar em multas incapacitantes. Por exemplo, nos Estados Unidos, os requisitos da HIPAA relacionados a uma violação de dados estipulam as multas com base na gravidade do incidente. Na União Europeia, a LGPD tem dois níveis de penalizações, cada um com obrigações financeiras significativas para organizações fora de conformidade.

Impacto nas operações das organizações  As violações de conformidade podem resultar em uma redução na produtividade enquanto as organizações lidam com multas e outras penalidades. Em casos extremos, as organizações podem perder contratos, licenças ou autorizações devido ao descumprimento.

Por exemplo, o regulamento setorial PCI DSS (Payment Card Industry Data Security Standard) pode proibir o uso das redes de pagamento com cartão de crédito dos membros. Exemplos no governo são o FedRAMP (Federal Risk and Authorization Management Program) e o CMMC (Cybersecurity Maturity Model Certification), que podem fazer com que as organizações percam as certificações por descumprimento, resultando em sua incapacidade de operar.   

Responsabilidade legal  Nos casos em que o descumprimento dos requisitos de conformidade regulatória resultar em danos graves a indivíduos ou a uma organização, poderá haver implicações legais. A HIPAA e a LGPD exemplificam a gravidade das responsabilidades legais.

A HIPAA tem vários níveis de penalidades, incluindo prisão por violações graves ou fraude. As violações da LGPD também podem causar a prisão dos responsáveis. É desnecessário dizer que as despesas legais para a defesa são exorbitantes.  

Danos à reputação   Embora as multas sejam dolorosas, os danos às marcas e reputações causados pelo descumprimento regulatório são muito mais problemáticos.

Quando o descumprimento dos requisitos de conformidade resulta em um incidente, especialmente quando viola uma lei, o público pode ser implacável. 

As organizações correm o risco de perder participação de mercado e receita quando a confiança do público é perdida devido a um problema relacionado à falta de conformidade.

Políticas de conformidade regulatória 

Uma política de conformidade regulatória estabelece uma estrutura para cumprir as obrigações relacionadas. Ela também detalha os sistemas, processos e procedimentos para implementação, manutenção e relatórios associados a todos os controles de conformidade.  

Uma política de conformidade regulatória deve incluir: 

• Princípios orientadores que determinam todas as decisões e ações relacionadas à conformidade
• Sistemas, funções e procedimentos específicos necessários para garantir a conformidade  
• Detalhes sobre quais autoridades realizarão auditorias 
• Definição de papeis ou funções para monitoramento e revisão do status   
• Protocolos de documentação e comunicação relacionados à conformidade regulatória 
• Descrição dos requisitos de conformidade aplicáveis   

Embora os detalhes variem de acordo com a organização, as perguntas que devem ser levadas em consideração ao formular uma política de conformidade regulatória são: 

• Como a política será usada para diminuir o risco, promover a comunicação e instruir as partes interessadas? 
• A quem a política se aplica e em que capacidade? 
• Existem exceções ou limitações à forma como a política será usada?  
• Qual é o impacto da conformidade regulatória na organização?   
• Como as funções de conformidade serão equilibradas entre as diferentes equipes da organização (por exemplo, jurídica, auditoria, finanças)? 
• Como a política pode promover a conformidade em diferentes equipes e locais? 
• Quais sistemas devem monitorar, gerenciar e relatar a conformidade? 
• Como a política pode ajudar a medir o valor da conformidade regulatória, inclusive nas avaliações de desempenho dos funcionários? 

É importante que as organizações implementem políticas de conformidade regulatória porque permitem comunicações claras com funcionários, parceiros e reguladores sobre como alcançar a confirmidade. 

Em muitos casos, qualquer pessoa que esteja dentro da área de aplicação dos requisitos de conformidade regulatória deve confirmar que leu e entendeu as políticas.

Funções na conformidade regulatória 

A criação de funções dedicadas à conformidade regulatória ajuda as organizações a lidarem com obrigações e leis rigorosas e complexas e a cumpri-las. Como, muitas vezes, os agentes de conformidade são injustamente vistos com menosprezo por outras pessoas na organização, é importante que a liderança instrua os membros da equipe sobre o papel crítico que desempenham. Posicionar a equipe de conformidade regulatória como parceira ajuda os outros a vê-la de forma mais positiva

Com o aumento das regulamentações, muitas organizações criaram cargos dedicados a garantir que as regras sejam seguidas, como diretores, analistas e especialistas de conformidade. 

As funções de gerenciamento de conformidade regulatória abrangem várias áreas, entre elas: 

Consultoria  As funções de conformidade regulatória ajudam as organizações a aderirem a regras e regulamentos por meio de supervisão e aconselhamento sobre as modificações necessárias em sistemas ou processos. Além disso, quando surgem problemas, os consultores dispõem de conhecimento e experiência para garantir uma correção rápida e eficaz. Os membros da equipe de conformidade também aconselham sobre a preparação e o fornecimento de documentação de auditoria.

Classificação de dados Uma função importante da equipe de conformidade regulatória é apoiar a governança de dados, especificamente a classificação. A classificação precisa dos dados armazenados permite que os requisitos de conformidade sejam atendidos com mais facilidade e que as auditorias sejam conduzidas com mais rapidez e sem percalços.

Monitoramento  As equipes de monitoramento de conformidade regulatória ajudam as organizações a acompanhar as regras novas e que mudam constantemente. Como sempre estão surgindo novos regulamentos, é importante ter uma equipe dedicada a determinar como eles afetam a organização e adotar medidas para garantir que sejam feitas todas as alterações ou atualizações necessárias.

Prevenção  Evitar erros de conformidade evita não apenas penalidades, mas também interrupções nas operações. As equipes de conformidade regulatória criam e implementam programas que evitam que as organizações tenham problemas causados por falhas no cumprimento das diversas regras e reduzam o risco geral.

Resolução  Se ocorrer o infortúnio de uma violação dos controles de conformidade regulatória, é necessária uma resposta rápida. Resolver os problemas em tempo hábil minimiza os danos e pode mitigar interrupções, danos e penalidades.

Responsabilidade Ter membros da equipe focados na conformidade regulatória coloca a responsabilidade em uma pessoa ou equipe. Assumir a responsabilidade pela conformidade permite que as equipes ou pessoas dediquem o tempo necessário para alcançar uma compreensão profunda das regras e de como elas afetam a empresa. Isso inclui ajudar outros departamentos a fazer sua parte para garantir a conformidade e mantê-los atualizados sobre as revisões das regras existentes ou novas.

Melhores práticas de conformidade regulatória 

Para atender aos requisitos de conformidade regulatória, as organizações devem entender quais leis e regulamentos se aplicam a elas. Como muitos regulamentos têm um alcance amplo, especialmente aqueles originários de fora dos Estados Unidos (por exemplo, LGPD), isso requer um profundo conhecimento das responsabilidades da organização.  

A seguir estão enumeradas as melhores práticas que devem ser consideradas ao avaliar como atender aos requisitos de conformidade. 

Atribuir funções a pessoas em departamentos relevantes para apoiar a manutenção, relatórios e auditoria de conformidade.

Determinar os requisitos de conformidade regulatória em todos os mandatos aplicáveis e desenvolver planos para garantir a adesão.

Desenvolver e manter um código de conduta para inculcar uma cultura de conformidade em toda a organização.

Documentar os processos de conformidade, com instruções explícitas para manter a conformidade, para garantir que todas as regras sejam seguidas e que a organização esteja preparada para auditorias.

Identificar os regulamentos aplicáveis para determinar quais regras se aplicam à organização com base em sua presença geográfica, setor e operações.

Monitorar as mudanças nos requisitos de conformidade regulatória continuamente para saber mais sobre as atualizações que podem se aplicar à organização.

Agendar treinamento regular para manter a equipe e outras pessoas atualizadas sobre os requisitos e a melhor forma de manter a conformidade.

A conformidade regulatória traz muitos benefícios

Embora a conformidade regulatória às vezes seja vista como um fardo, ela beneficia a empresa e a sociedade. À medida que os requisitos continuam a se expandir em todo o mundo, há um esforço para alinhá-los para criar um grau de padronização.  

Para as pessoas, o resultado desses requisitos de conformidade é favorável, porque o mínimo denominador comum leva as organizações a aderirem aos padrões mais rígidos como nível mínimo. Isso oferece benefícios que vão desde produtos mais seguros e melhores controles ambientais até maior privacidade de dados e proteção contra fraudes.  

Para as organizações, a conformidade regulatória fornece um conjunto uniformizado de regras que se aplicam a todos, criando condições equitativas em termos de regras. 

Recursos

Você também pode estar interessado em:

Separação de funções (SoD)

Veja como a separação de funções (SoD) pode ajudar a evitar comprometimentos de segurança, como erros, fraudes, uso indevido de informações, sabotagem e roubo.

Ler mais

Manter a conformidade

Automatize os controles de acesso de forma inteligente com a certeza de manter a conformidade.

Ler mais

O que é Governança e Administração de Identidade (IGA)

Veja como a governança e administração de identidade (IGA) permite que as empresas forneçam acesso à tecnologia e gerenciem os riscos de segurança e conformidade.

Ler mais

Ver a biblioteca de recursos

The post O que é conformidade regulatória? appeared first on SailPoint.

Uma violação de dados é um incidente de segurança cibernética que resulta na exposição ou exfiltração não autorizada de dados de uma pessoa física ou empresa, ou danos a seus dados sensíveis, confidenciais, privados ou protegidos. O termo violação de dados é, com frequência, usado incorretamente de forma intercambiável com o termo ataque cibernético.

A diferença mais notável entre uma violação de dados e um ataque cibernético é que uma violação de dados é um tipo específico de incidente de segurança que resulta no comprometimento de informações confidenciais. É importante ressaltar que uma violação de dados, que geralmente se refere a informações digitais, engloba dados em mídia física, como documentos em papel, pen drives, laptops, dispositivos móveis e discos rígidos externos. Um ataque cibernético pode resultar em uma violação de dados, mas também engloba outras atividades maliciosas, como um ataque distribuído de negação de serviço (DDoS).

Organizações de todos os tipos e tamanhos correm o risco de uma violação de dados – de pequenas empresas a grandes corporações, hospitais a escolas e governos a pessoas físicas. As informações que geralmente são alvo de uma violação de dados incluem:

• Informações financeiras (por exemplo, informações de conta bancária, números de cartão de crédito) 
• Informações pessoais de saúde (por exemplo, prontuários médicos, resultados de testes de laboratório) 
• Informações de identificação pessoal (por exemplo, números de previdência social, números de carteira de motorista) 
• Segredos comerciais (por exemplo, código-fonte, fórmulas) 
• Outras informações confidenciais (por exemplo, informações de clientes, documentos legais). 

Com uma violação de dados, as informações podem ser copiadas ou transmitidas sem danificar a fonte. Uma violação também pode resultar na perda de acesso a dados devido a roubo ou ransomware. Em alguns casos, os dados podem simplesmente ser destruídos em um ato de vingança ou uma tentativa de causar uma interrupção gravíssima.

O custo de uma violação de dados

Uma violação de dados pode resultar em custos tangíveis. Ou seja, uma violação de dados pode ter custos monetários ou mais efêmeros, como danos à reputação ou oportunidades perdidas.  

Na maioria dos casos, ocorrem os dois tipos de danos. Por exemplo, os ataques de ransomware, que são violações de dados comuns, podem fazer com que as organizações paguem resgates caros para recuperar o acesso aos seus próprios dados, além de ver a imagem da sua marca prejudicada quando a violação de dados é divulgada.

Existem muitos outros custos relacionados a uma violação de dados, incluindo: 

• Interrupções em operações que afetam a produção e as cadeias de suprimentos 
• Identificar, conter, avaliar e remediar a violação, junto com as auditorias, notificações e alterações necessárias nos processos e tecnologia para evitar futuros incidentes 
• Perder clientes em decorrência de preocupações sobre a capacidade da organização de proteger informações confidenciais 

Despesas comerciais adicionais relacionadas a uma violação de dados incluem: 

• Honorários advocatícios 
• Multas por violação de conformidade 
• Notificações do cliente  
• Queda no preço das ações para empresas de capital aberto
• Aumentos de prêmios de seguros 
• Perda de propriedade intelectual 
• Custos de relações públicas 

Em última análise, os custos de uma violação de dados dependem do tamanho e do tipo de organização e da causa da violação. 

Por que ocorrem violações de dados

As motivações para uma violação de dados incluem: 

• Financeira – roubar dinheiro ou ativos valiosos para vender 
• Geopolítica – causar danos ou transtornos a um político ou governo alvo 
• Vingança pessoal – vingar-se em retaliação a uma ação negativa real ou suposta   
• Notoriedade – exibição de destreza técnica (por exemplo, hackear um sistema de alto perfil) 

No caso dos cibercriminosos, a principal motivação é o ganho financeiro. Por exemplo, eles geralmente vendem ou comercializam informações confidenciais roubadas por meio de uma violação de dados na dark web. Essas informações também podem ser usadas para: 

• Pedir benefícios do governo. 
• Apresentar declarações de impostos falsas para obter reembolsos. 
• Gerar documentos falsificados (por exemplo, carteiras de motorista, passaportes). 
• Criar e usar novos cartões de crédito. 
• Retirar dinheiro de contas bancárias ou de investimento. 

Como ocorrem as violações de dados

Existem várias maneiras pelas quais uma violação de dados pode ocorrer. A seguir, apresentamos exemplos de vetores usados com frequência.  

Os ataques de violação de dados direcionados concentram-se em determinadas pessoas ou organizações para obter informações confidenciais. As táticas incluem: 

• Vazamento ou exposição acidental de dados 
• Skimmer de cartão e intrusão no ponto de venda  
• Ataques distribuídos de negação de serviço (DDoS) 
• Erro humano  
• Dispositivos perdidos ou roubados 
• Pessoas internas mal-intencionadas
• Malware
• Adivinhação de senha  
• Phishing    
• Violação de segurança física  
• Ransomware
• Gravação da digitação de teclas  
• Engenharia social 
• Spear phishing 
• Injeção de SQL (structured query language)   
• Credenciais roubadas ou comprometidas 
• Explorações de vulnerabilidade  

Seja qual for o vetor, os cibercriminosos normalmente seguem um padrão de ataque semelhante para conseguir cometer uma violação de dados. As principais etapas de um plano de violação de dados são: 

1. Observar alvos em potencial. Os cibercriminosos começam seu processo de ataque encontrando alvos e identificando vulnerabilidades técnicas, como sistemas de segurança fracos, portas abertas ou protocolos acessíveis. Em outros casos, eles planejam campanhas de engenharia social que podem segmentar grandes grupos (ou seja, phishing) ou pessoas (ou seja, spear phishing) que têm acesso privilegiado aos sistemas.
2. Executar uma violação de segurança. O invasor consegue cometer uma violação de segurança e obtém acesso a sistemas e redes.
3. Garantir o acesso. Se o sistema visado não fornecer o acesso desejado, os cibercriminosos utilizam o movimento lateral nas redes e o escalonamento de privilégios para acessar e comprometer outros sistemas e contas de usuário.
4. Concluir a violação de dados. Uma vez que os dados confidenciais desejados tenham sido identificados, os invasores os exfiltram para seus propósitos malignos, como vendê-los no mercado negro ou na dark web ou ainda mantê-los para exigir pagamento de resgate.

Exemplos de violações de dados

Existem muitos modos de proceder para cometer uma violação de dados. A seguir estão vários exemplos de violações de dados bem-sucedidas. 

Em um ataque direcionado a um varejista, os cibercriminosos obtiveram acesso a dados confidenciais por meio de caixas registradoras. Foi usada uma criptografia fraca para proteger a rede. Os invasores conseguiram descriptografar a rede sem fio e passar das caixas registradoras das lojas para os sistemas de back-end. Essa violação de dados resultou em mais de um quarto de milhão de registros de clientes foram comprometidos. 

Em outro incidente, vários bilhões de pessoas tiveram seus nomes, datas de nascimento, endereços de e-mail e senhas expostos. Nesse caso, os cibercriminosos exploraram uma vulnerabilidade em um sistema de cookies usado pela organização.   

O sistema de monitoramento de rede de uma organização foi usado como um vetor de ataque em outro exemplo. Os invasores conseguiram usá-lo para distribuir malware para seus clientes secretamente e, em seguida, infiltrar os sistemas dos clientes para obter acesso a informações confidenciais.   

Outra organização foi comprometida pela senha de um funcionário comprada por cibercriminosos na dark web. Essa única senha foi usada para violar a rede e lançar um ataque de ransomware que custou à organização milhões de dólares. 

Um problema com o processo de hash usado por uma organização para criptografar as senhas de seus usuários gerou a necessidade um grande esforço para que centenas de milhões de usuários alterassem suas senhas para corrigir a vulnerabilidade.

Uma referência direta de objeto insegura (IDOR) expôs quase um bilhão de documentos confidenciais. Um link deveria ser disponibilizado a uma determinada pessoa, mas por um erro na criação do site o link ficou disponível publicamente, expondo os documentos. 

Prevenção de violação de dados

Os programas eficazes de prevenção de violação de dados são criados por meio de uma defesa multicamadas composta por tecnologia e processos. A seguir, estão indicados vários dos muitos componentes de uma estratégia defensiva de proteção contra violação de dados. 

Educação e treinamento

A principal causa de violações de dados é um ataque que começa com um vetor humano. Devido às fraquezas inerentes aos seres humanos, as pessoas são consideradas por muitos o elo mais fraco em qualquer estratégia de prevenção de violação de dados.  

Para combater isso, o treinamento de segurança é imperativo. Os funcionários precisam de treinamento para reconhecer e evitar ataques (por exemplo, phishing), além de aprender a lidar com dados confidenciais para evitar violações e vazamentos acidentais de dados.  

Detecção e resposta a ameaças de endpoint 

A detecção e resposta de endpoint (EDR), também conhecida como detecção e resposta de ameaça de endpoint (ETDR), fornece uma solução integrada para segurança de endpoint. O EDR ajuda a evitar uma violação de dados, combinando monitoramento contínuo em tempo real e coleta de dados de endpoint com recursos automatizados de resposta e análise baseados em regras para identificar e neutralizar ataques cibernéticos. 

Gerenciamento de identidade e acesso (IAM)

As soluções de gerenciamento de identidade e acesso (IAM) oferecem uma forte defesa contra uma violação de dados. Os recursos das soluções de IAM incluem políticas de senha fortes, gerenciadores de senha, autenticação de dois fatores (2FA) ou autenticação multifator (MFA), logon único (SSO) e acesso baseado em função. Essas tecnologias e processos ajudam as organizações a evitar tentativas de violação de dados que usam credenciais roubadas ou comprometidas.

Planos de resposta a incidentes 

A preparação é uma das melhores defesas contra uma violação de dados. Um plano de resposta a incidentes fornece instruções detalhadas sobre como lidar com uma violação – antes, durante e após um incidente confirmado ou suspeito.  

Um plano de resposta a incidentes inclui explicações sobre as funções e responsabilidades, além de processos passo a passo para cada fase. 

Ficou comprovado que um plano de resposta a incidentes é uma ferramenta eficaz nos planos de defesa contra violação de dados, que pode acelerar o tempo de resolução e recuperação, além de reduzir o custo de uma violação de dados.   

Autenticação multifator (MFA)

O uso da autenticação multifator (MFA) ajuda a superar a fraqueza inerente dos usuários e senhas. Com a MFA, o usuário deve passar por um processo de login de conta em várias etapas, em vez de simplesmente inserir seu nome de usuário e senha.  

A MFA exige que o usuário conclua etapas adicionais para verificar sua identidade. Por exemplo, um usuário pode ser solicitado a inserir um código enviado por e-mail ou mensagem de texto, responder a uma pergunta secreta ou realizar uma varredura biométrica (por exemplo, impressão digital, facial, retinal). 

Teste de intrusão

O teste de intrusão, também conhecido como teste de penetração ou hacking ético, ajuda a evitar uma violação de dados, simulando ataques cibernéticos para testar sistemas e identificar vulnerabilidades exploráveis. Os testadores de intrusão usam as mesmas ferramentas, técnicas e processos que os cibercriminosos para simular ataques do mundo real que podem resultar em uma violação.   

Atualizações de software e patches de segurança

As atualizações e patches de software e sistemas operacionais devem sempre ser instalados quando forem disponibilizados. Essas atualizações geralmente incluem patches para corrigir vulnerabilidades que podem levar a uma violação de dados.   

Senhas complexas

O uso de senhas complexas elimina um vetor comum de ataque cibernético. Sabendo que as pessoas costumam usar senhas fracas, os cibercriminosos frequentemente lançam ataques (por exemplo, pulverização de senha) que as exploram. Senhas complexas, combinadas com políticas que exigem que os usuários alterem frequentemente suas senhas e usem senhas diferentes para serviços e aplicativos, dão respaldo a uma defesa eficaz contra tentativas de violação de dados.   

Abordagem de segurança zero trust

Uma abordagem de segurança de zero trust pressupõe que nenhum usuário ou sistema deve ser confiável, mesmo que esteja dentro de uma rede. Os principais componentes de uma abordagem de segurança de zero trust são:

• Autenticação, autorização e validação contínuas de qualquer usuário ou sistema que tente acessar uma rede ou um recurso de rede 
• Acesso menos privilegiado, que permite apenas o acesso mínimo necessário para uma tarefa ou função
• Monitoramento abrangente de todas as atividades da rede 

Mitigação de violação de dados

Quando uma violação de dados é identificada, uma resposta rápida e abrangente é fundamental . Aqui estão cinco etapas principais que devem ser seguidas: 

1. Minimizar o impacto da violação. Impedir a disseminação isolando sistemas ou redes afetadas e bloqueando quaisquer contas comprometidas, inclusive aquelas que foram usadas para acessar dados. Isso impede que informações adicionais sejam expostas e dificulta o movimento lateral nas redes.
2. Realizar uma avaliação. Identificar a causa do ataque para determinar se há riscos adicionais associados à intrusão inicial, como contas de usuário ou de sistema comprometidas ou malware inativo à espera.
3. Restaurar sistemas e corrigir vulnerabilidades. Usar backups limpos e, em alguns casos, novos sistemas para reconstruir e restaurar os sistemas afetados. Nesse momento, devem ser feitas todas as atualizações de segurança disponíveis para corrigir a vulnerabilidade que levou à violação de dados.
4. Notificar as partes atingidas. Uma vez que a escala e o escopo da violação tenham sido determinados, as notificações devem ser feitas às partes atingidas. Dependendo do tipo de organização e das informações que foram comprometidas, isso pode variar de notificar executivos e funcionários a notificar todos os clientes e emitir uma declaração pública.
5. Documentar as lições aprendidas. Para ajudar a evitar uma futura violação de dados, é importante documentar as informações e os conhecimentos adquiridos com a violação. Essas informações devem ser usadas para atualizar os sistemas e práticas existentes, bem como salvaguardadas para consulta futura.

A preparação limita os riscos de violação de dados

As violações de dados são amplamente consideradas um dos tipos de incidentes de segurança cibernética mais comuns e dispendiosos. Atingindo organizações de todos os tamanhos sem limites geográficos, as violações de dados podem causar danos generalizados que resultam em prejuízos financeiros e físicos. 

A melhor defesa contra uma violação de dados é a preparação. Isso inclui ter defesas técnicas eficazes e baseadas em processos para garantir a detecção e resposta precoces.  

Organizações com sistemas de defesa eficientes contra violação de dados e planos de resposta demonstraram repetidamente que se recuperam mas rápido, com danos mais limitados.

Além de implementar as ferramentas e procedimentos certos, é importante testar todos os sistemas. Essa abordagem proativa identifica vulnerabilidades antes que ocorra uma violação de dados. A adoção de medidas para identificar e remediar vulnerabilidades, combinada com o desenvolvimento e a prática de planos de resposta, ajuda muito a proteger informações confidenciais de uma violação de dados. 

Você também pode estar interessado em:

Artigo

É possível prevenir uma violação de dados?

Vídeo

Por que identificar é o segredo de impedir violações de dados

Artigo

Como credenciais comprometidas causam violações de dados

The post O que é uma violação de dados? appeared first on SailPoint.

O que é logon único?

O logon único, às vezes chamado de SSO, é um tipo de autenticação que permite aos usuários usar um único conjunto de credenciais de login (por exemplo, nome de usuário e senha) para acessar vários aplicativos, sites ou serviços. Ao contrário de outras opções de controle de acesso, o logon único pode ser usado por organizações de pequeno, médio e grande porte para eliminar a necessidade de fazer login várias vezes ou lembrar várias senhas.

Como funciona o logon único

O logon único é baseado em um arranjo de gerenciamento de identidade federada (às vezes chamado de federação de identidade) entre vários domínios confiáveis (por exemplo, uma organização que permite que seus usuários usem os mesmos dados de identificação para acessar todos os recursos). Os sistemas locais usam domínios confiáveis para autenticar usuários.

O logon único usa padrões abertos, como Security Assertion Markup Language (SAML), OAuth ou OpenID, para permitir que as informações da conta dos usuários sejam usadas por serviços de terceiros (por exemplo, sites, aplicativos) sem expor suas senhas. As informações de identidade são encaminhadas como tokens que contêm informações sobre os usuários, como e-mail ou nome de usuário.

A seguir está um resumo do processo de logon único.   

• O usuário abre o site ou aplicativo e, se não estiver conectado, vê um prompt de login com uma opção de logon único. 
• O usuário insere suas credenciais de login (por exemplo, nome de usuário e senha) no formulário de login. 
• O site ou aplicativo gera um token de logon único e envia uma solicitação de autenticação para o sistema de logon único. 
• O sistema de logon único verifica o domínio confiável para determinar se o usuário foi autenticado.  
• Se o usuário não tiver sido autenticado, ele será enviado para um sistema de login para autenticar por meio de credenciais de login. 
• Se o usuário tiver sido autenticado, é enviado um token de ao site ou aplicativo para confirmar a autenticação bem-sucedida e conceder acesso ao usuário. 

Se um usuário inserir credenciais incorretas, ele será solicitado a inseri-las novamente. Normalmente, várias tentativas fracassadas fazem com que o usuário seja bloqueado por um certo período ou totalmente bloqueado após muitas tentativas. 

Tokens de logon único

Um token de logon único é um arquivo digital usado para passar um conjunto de dados ou informações entre sistemas durante o processo de logon único. Ele contém informações de identificação do usuário, como nome de usuário ou endereço de e-mail, além de e informações sobre o sistema que envia o token.  

Para garantir que os tokens sejam originários de uma fonte confiável, eles devem ser assinados digitalmente. Durante o processo inicial de configuração de logon único, ocorre a troca de certificados digitais.   

Logon único e segurança

O logon único é amplamente usado porque simplifica o acesso e elimina a proliferação de nomes de usuário e senhas que causam dores de cabeça para usuários e administradores, especialmente em empresas com centenas ou milhares de aplicativos. No entanto, o logon único não está isento de riscos.  

As organizações que implementam o logon único precisam contabilizar e mitigar os riscos, pois um único conjunto de credenciais pode fornecer acesso não autorizado a vários aplicativos e processos. As preocupações de segurança comumente citadas em relação ao logon único são:

• Sequestro de conta 
• Violações de dados que podem resultar em vazamentos de dados, perda de dados e perda financeira
• Falsificação de identidade 
• Sequestro de sessão 

Duas medidas de segurança eficazes que podem ser implementadas juntamente com o logon único para fornecer exploração de proteção são a governança de identidade e a autenticação multifator.

Governança de identidade

A governança de identidade é uma iniciativa baseada em políticas que ajuda os administradores a gerenciar e controlar melhor o acesso de logon único. A governança de identidade fornece aos administradores uma visibilidade abrangente para saber quais funcionários têm acesso a quais sistemas e dados, bem como para detectar credenciais fracas, acesso indevido e violações de políticas.  

Os administradores usam ferramentas de governança de identidade para alterar, revogar ou remover vários níveis de acesso se houver suspeita (ou prova) de que as credenciais de logon único de um usuário foram comprometidas.

Autenticação multifator (MFA)

A implementação de autenticação multifator ou de dois fatores (2FA) com logon único ajuda a manter a segurança de domínios confiáveis. Isso ocorre porque é necessária uma verificação de identidade adicional além das credenciais de logon único para obter acesso. A autenticação multifator pode ser implantada em todas as contas vinculadas por logon único para fornecer proteção máxima. 

Como implementar o login único

1. Estabelecer objetivos para a implementação de logon único.
2. Determinar usuários e requisitos. 
3. Avaliar as capacidades existentes e identificar as lacunas. 
4. Definir o controle de acesso e outros requisitos. 
5. Verificar se a arquitetura de TI das organizações pode suportar o logon único e fazer ajustes para resolver as deficiências. 
6. Criar uma lista de soluções que atendam aos critérios principais. 
7. Realizar uma avaliação das opções para identificar a solução ideal. 
8. Trabalhar com as equipes de TI e segurança para garantir que a implementação de logon único atenda aos requisitos de usuário e de TI. 

Tipos de SSO

Logon único empresarial

Às vezes chamado de E-SSO, o logon único empresarial é implementado em ambientes de integração de aplicativos corporativos (EAI). O logon único corporativo permite que os usuários acessem todos os aplicativos, sejam eles locais ou hospedados na nuvem, com um único conjunto de credenciais de login.  

Com o logon único empresarial, os administradores obtêm credenciais quando os usuários fazem login inicialmente e as usam automaticamente para autenticar logins subsequentes em outros aplicativos e sistemas. Com a centralização dos nomes de usuário e senhas, o logon único empresarial libera os administradores de tarefas demoradas de gerenciamento de nomes de usuário e senhas. Dependendo dos controles definidos pelos administradores, os usuários podem conceder acesso a aplicativos por determinados períodos sem o suporte do administrador. 

Logon único federado

O logon único federado usa protocolos SSO padrão do setor para conceder aos usuários acesso a sites sem barreiras de autenticação. Ele expande o logon único padrão unindo vários grupos sob um sistema de autenticação centralizado. O logon único federado pode ser usado para fornecer acesso a vários sistemas em uma única empresa ou em empresas diferentes. 

Logon único móvel

Com o logon único móvel, uma única identidade pode fornecer acesso a vários aplicativos móveis conectados. Os tokens de acesso são armazenados no keychain de um sistema operacional de dispositivo móvel, o que permite que as sessões ativas sejam reconhecidas. 

Logon único com cartão inteligente

Em vez de depender de tokens e software digitais, o logon único de cartão inteligente usa um cartão físico para autenticação do usuário. O logon único do cartão inteligente exige que o usuário use as credenciais armazenadas no cartão para o login inicial. Para obter informações do cartão, é necessário utilizar um leitor, e os cartões precisam ter uma tarja magnética ou um método de transferência de dados sem contato. 

Logon único pela web

Com o logon único pela web, os usuários podem acessar vários sites conectados com um login. Depois que um usuário faz login em uma propriedade, ele pode passar de uma propriedade para outra e será reconhecido, autenticado e considerado confiável.

O login único pela web é comumente usado para aplicativos acessados a partir de sites. Existem duas técnicas principais para configurar o logon único pela web. 

1. O logon único é gerenciado no aplicativo da web ou nos agentes em aplicativos protegidos. Um desafio significativo nesse método é que ele exige que os aplicativos sejam modificados para o agente de logon único, e o aplicativo deve estar visível no navegador da Web do usuário.  
2. O logon único usa um proxy reverso para gerenciar dados de autenticação no aplicativo para permitir que os processos de logon único funcionem independentemente dos servidores da web. Nesse caso, o proxy reverso atua como intermediário, gerenciando o acesso e permitindo o processo de logon único. 

Como selecionar uma solução de logon único

As considerações ao selecionar uma solução de logon único variam de acordo com a organização e os casos de uso, mas a seguir estão alguns conceitos básicos que devem ser levados em consideração no processo de avaliação. 

Considerações organizacionais

• A solução de logon único é adequada para os casos de uso da organização?   
• A solução oferece suporte a recursos de TI que exigem logon único (por exemplo, aplicativos, dispositivos, redes)? 
• É uma solução de logon único de curto prazo adequada, que pode ser substituída sem causar transtornos inaceitáveis ou uma carga exagerada para a TI?   
• A solução de logon único poderá ser dimensionada para atender aos requisitos previstos?  
• A solução de logon único funcionará bem com outros sistemas de segurança? 

Considerações sobre a funcionalidade de login único

• Opções de autenticação, como suporte para autenticação multifator, autenticação adaptativa, autenticação forçada automática e via protocolo de acesso ao diretório leve (LDAP)
• Análise e resposta comportamental, como inserção em lista negra ou lista branca de endereços de protocolo de internet (IP), configuração de respostas para combater tentativas de força bruta e provisões para reautenticar usuários 
• Conformidade com os padrões de segurança, como ISO 27017, ISO 27018, ISO 27001, SOC 2 Tipo 2 e leis (por exemplo, Lei Geral de Proteção de Dados [LGPD], Lei de Privacidade do Consumidor da Califórnia [CCPA])
• Recursos de federação para permitir a implantação por meio de provedores de identidade preferenciais, como o Microsoft Active Directory e o Google Directory   
• Opções flexíveis de validação de senha, como limite de expiração de senha personalizável, complexidade da senha e notificações de expiração 
• Recursos de logon único prontos para dispositivos móveis para permitir suporte imediato para dispositivos móveis  
• Conexões pré-definidas e personalizadas para aplicativos Security Assertion Markup Language (SAML) 
• Autenticação usando protocolos padrão abertos, como JSON Web Token (JWT), Kerberos, Open Authorization (OAuth), OpenID Connect (OIDC) e SAML 
• Suporte para desenvolvedores, como suporte adequado à interface de programação de aplicativos (API) de gerenciamento de ciclo de vida e kits de desenvolvimento de software (SDKs) para as principais plataformas 

Benefícios do logon único

• Centraliza o processo de acesso a sites, aplicativos e outras contas, incluindo provisionamento e descomissionamento
• Melhora a produtividade, simplificando o acesso aos recursos 
• Expande a adoção de aplicativos promovidos pela empresa, tornando-os mais facilmente acessíveis 
• Facilita a auditoria de acesso do usuário, fornecendo controle de acesso robusto a todos os tipos de dados relacionados ao acesso 
• Libera os usuários da dificuldade de escolher senhas fortes para várias contas 
• Ajuda as organizações a cumprirem os regulamentos de segurança de dados  
• Melhora a postura de segurança, minimizando o número de senhas por usuário 
• Mantém o acesso seguro a aplicativos e sites 
• Permite que os aplicativos tenham outros serviços para autenticar os usuários   
• Minimiza o risco de maus hábitos de senha 
• Impede a TI invisível, permitindo que os administradores de TI melhorem o monitoramento das atividades dos usuários nos servidores do local de trabalho   
• Fornece uma melhor experiência ao cliente  
• Reduz os custos, reduzindo a procura pelos help desks de TI devido a problemas com a senha
• Remove credenciais de login de servidores ou armazenamento de rede para reduzir o risco cibernético
• Reforça a segurança das senhas 

Protocolos de SSO

O logon único valida e autentica as credenciais dos usuários por meio de diferentes padrões e protocolos abertos, como os apresentados a seguir. 

JSON web token (JWT)

O JSON Web Token, ou JWT, é um protocolo de logon único amplamente usado em aplicativos para uso pelo consumidor. Este padrão aberto (RFC 7519) é usado para transmitir informações para logon único como objetos JSON com segurança. 

Kerberos

O Kerberos é um sistema de autenticação baseado em tíquetes que permite que várias entidades verifiquem mutuamente sua identidade usando criptografia para impedir o acesso não autorizado às informações de identificação. No Kerberos para recursos de logon único, depois que as credenciais são validadas, é emitido um tíquete de concessão de tíquete que é usado para recuperar tíquetes de serviço para outros aplicativos que os usuários autenticados precisam acessar. 

Open Authorization (OAuth)

Com o OAuth, ou Open Authorization, os aplicativos podem acessar as informações do usuário de outros sites sem fornecer uma senha. O OAuth é usado no lugar de senhas para obter permissão para acessar informações protegidas por senha. Em vez de solicitar senhas de usuário, os aplicativos usam o OAuth para obter permissão do usuário para acessar dados protegidos por senha.   

OpenID Connect (OIDC)

Padronizado pela OpenID Foundation e baseado na estrutura OAuth 2.0, o OpenID Connect (OIDC) é uma autenticação que fornece uma abordagem descentralizada para logon único. Com o OIDC, o site ou aplicativo autentica as credenciais do usuário. Em vez de passar um token para um provedor de identidade de terceiros, o OpenID Connect faz com que o site ou aplicativo solicite informações adicionais para autenticar os usuários. 

Security Assertion Markup Language (SAML)

O SAML, ou Security Assertion Markup Language, é um protocolo que sites e aplicativos usam para trocar informações de identificação com um serviço de logon único por meio de XML. O SAML permite que os usuários façam login uma vez em uma rede antes de receber acesso a todos os aplicativos dessa rede.  

Com os serviços de logon único baseados em SAML, os aplicativos não precisam armazenar as credenciais do usuário no seu respectivo sistema, tornando-o mais flexível e seguro do que outras opções. Ele também aborda problemas que os administradores de TI têm ao tentar implementar o logon único com o Lightweight Directory Access Protocol (LDAP). 

Casos de uso do logon único

Logon único com autenticação multifator

Usados em conjunto, o logon único e a autenticação multifator tornam a autenticação simples e segura. Essa combinação mantém a segurança aprimorada, aumenta a acessibilidade a aplicativos e sites e reduz o tempo que os administradores devem gastar para fornecer e controlar o acesso. 

Logon único e LDAP

Geralmente usada para armazenar as credenciais dos usuários, a funcionalidade de logon único do LDAP pode ser usada para gerenciar bancos de dados LDAP em vários aplicativos.   

Logon único para equipes remotas  

A adoção generalizada do trabalho remoto expandiu o uso do logon único para quase todos os recursos de TI. O logon único é amplamente usado porque vai além dos outros sistemas de gerenciamento de identidade e acesso. Ele oferece uma abordagem independente de sistema operacional/plataforma, orientada por protocolo e baseada em nuvem para acessar a autenticação e a autorização.

O logon único facilita a autenticação para usuários e administradores

O logon único é uma tecnologia que simplificou os fluxos de trabalho e melhorou a produtividade para usuários e administradores. Com várias opções de implantação, o logon único pode se adequar a praticamente qualquer caso de uso. Por eliminar problemas e vulnerabilidades da disseminação de senhas, o logon único se tornou uma ferramenta amplamente utilizada na segurança de TI. 

Recursos

Você também pode estar interessado em:

Métodos de autenticação usados para segurança de rede

Conheça os diversos métodos de autenticação, que vão desde senhas até impressões digitais, para confirmar a identidade de um usuário antes de permitir o acesso.

Ler mais

Autenticação sem senha: o que é e como funciona

Veja como organizações de todos os tipos e tamanhos implementaram a autenticação sem senha e por que ela deve ser considerada para proteger os ativos digitais.

Ler mais

O que é Governança e Administração de Identidade (IGA)

Veja como a governança e administração de identidade (IGA) permite que as empresas forneçam acesso à tecnologia e gerenciem os riscos de segurança e conformidade.

Ler mais

Ver a biblioteca de recursos

The post Como funciona o logon único (SSO) appeared first on SailPoint.