Insight
Idam: Sharping Identity and Access Management
Gerenciamento de identidade e acesso (IDAM) é A Cornerstone of Cyber Security. É também uma das áreas mais difíceis de acertar. Os desafios não são apenas técnicos. Também existem questões de negócios importantes a serem consideradas como alinhar o IDAM com o modelo operacional da sua organização, como trazer as pessoas importantes dos negócios a bordo e como encontrar o equilíbrio certo entre segurança e experiência do usuário de acordo com o apetite de risco. Então, como você pode garantir que seu IDAM seja adequado ao objetivo, técnica e estrategicamente?
Você não daria seu passaporte ou detalhes bancários a um estranho aleatório na rua. Idam é o equivalente de negócios das precauções que você seguiria em sua vida pessoal.
IDAM é um conjunto de políticas, processos e ferramentas que permitem que os usuários e dispositivos certos acessem os recursos certos, nos momentos certos, pelos motivos certos.
IDAM é mais importante do que nunca, pois o acesso é estendido por ecossistemas digitais cada vez mais estendidos, muitos envolvendo clientes, fornecedores e outros terceiros. O IDAM também é um elemento crítico de conformidade com novos regulamentos, incluindo a diretiva Rede e Segurança da Informação (NIS2).
In turn, IDAM is at the centre of the growing shift from traditional firewalls to ‘never trust, always verify’ zero-trust access. Mais da metade dos ataques cibernéticos Aproveite o compromisso de credenciais de usuário válidas. As organizações não podem mais depender de processos manuais e propensos a erros para proteger o acesso a dados confidenciais e recursos corporativos. Zero-trust based IDAM controls are one of the only protections against this.
The importance of IDAM in cyber security
Tech-enabled IDAM solutions are essential. Organisations can no longer rely on manual and error-prone processes to protect access to sensitive data and corporate resources.
O IDAM eficaz protege o acesso à sua rede corporativa, garantindo que apenas os usuários e dispositivos certos tenham acesso aos sistemas certos no momento certo. Ele também pode automatizar a alocação e gerenciamento dos direitos de acesso ao usuário, fornecendo controle de acesso granular e auditoria de todos os ativos corporativos em instalações e na nuvem.
Idam é um controle responsivo e preventivo. Se a informação estiver comprometida, o IDAM fornece um repositório claro de quem tem acesso a quê. Ele também permite lançamento em massa de alterações de acesso ou atualizações de senha.
No entanto, o custo deve ser pesado contra o valor derivado para configurar e manter a matriz de usuários, funções e direitos de acesso ao aplicativo. Muitas empresas acham que o uso mais eficaz de tempo e dinheiro vem de concentrar esse esforço nos sistemas críticos que abrigam dados confidenciais ou fornecem acesso elevado aos usuários.
Além de ser importante Segurança e conformidade, o IDAM eficaz pode melhorar a experiência do usuário, permitindo um único sinal para aplicativos e atualizando automaticamente as permissões à medida que os funcionários movem as funções.
Ao procurar impulsionar a inovação e o engajamento digital, as vantagens competitivas incluem permitir que clientes, parceiros, contratados e fornecedores tenham acesso à sua rede sem comprometer a segurança.
Segurança cibernética: desafios técnicos
Mas o IDAM não é uma solução padrão. O mercado é fragmentado sem nenhum produto ou fornecedor dominante, "faça tudo". De uma perspectiva técnica, a complexidade adicional vem da qualidade dos dados das próprias organizações, da propriedade dessas informações e do trade-off entre segurança e experiência do usuário.
Em nossa experiência de ajudar os clientes a definir e entregar seus objetivos do IDAM, geralmente descobrimos problemas de qualidade com os dados usados para formar 'identidades' e até uma visão inconsistente do que constitui uma 'identidade' dentro de uma organização. Exemplos típicos incluem dados ausentes que precisam ser criados do zero, desalinhamento de dados pessoais em sistemas ou falta de clareza sobre quem controla os dados.
Gerenciando as complexidades de IDAM em segurança cibernética
Assim como exigentes são os desafios de negócios. Com muita frequência, as iniciativas da IDAM são estabelecidas e ficam sem envolvimento suficiente das equipes de negócios na definição das prioridades e na construção de design.
O resultado é a falta de alinhamento de negócios. Isso pode se manifestar em dificuldades em concordar com as funções e responsabilidades certas para gerenciar identidades e acessar direitos de ela e das funções de negócios. As soluções também podem lutar para escalar e evoluir à medida que o número de usuários ou sistemas conectados aumenta, devido à clareza insuficiente sobre como as operações contínuas devem ser gerenciadas.
envolvimento de negócios insuficientes também pode levar à falta de comprometimento das equipes de negócios necessárias para fazer com que a solução IDAM funcione. O RH é um caso claro em questão, pois geralmente possui muitas informações sobre identidade e desempenha uma função fundamental na atribuição e atualização dos direitos de acesso.
Implementando soluções IDAM
Então, como você enfrenta esses desafios técnicos e de negócios para fornecer com sucesso uma solução de IDAM que é segura e alinhada com os objetivos de negócios? Três prioridades se destacam:
Crie uma compreensão clara da sua maturidade atual do IDAM e onde se encontram os principais desafios, antes de mergulhar para selecionar e implementar tecnologias. Isso inclui entender onde e como suas identidades e acesso atuais são gerenciados e garantindo que você esteja claro sobre os processos atuais de 'marceneiro, motor, leaver', além de entender como os direitos de acesso privilegiados são concedidos e revogados.
Esta avaliação inicial fornecerá informações importantes sobre a complexidade dos problemas que você está tentando resolver e permitirá que você identifique áreas prioritárias para melhorar para reforçar sua maturidade do IDAM e, finalmente, mitigar seus riscos de segurança.
Dada sua criticidade nos negócios, o IDAM requer patrocínio e gerenciamento de negócios - não apenas a experiência técnica.
As etapas -chave incluem reunir negócios e líderes de TI para articular e buscar consenso para a visão de negócios para o IDAM e a estratégia acionável para alcançar essa visão. Isso incluirá claramente definir o futuro modelo operacional, como concordar com os processos principais do IDAM e com a divisão de responsabilidades entre ele e os negócios, juntamente com o que deve ser centralizado nele ou RH versus devolvido às funções de negócios.
Defina e implemente projetos gerenciáveis para entregar sua estratégia de IDAM, dividindo -a em pedaços digeríveis e configurando a equipe e a governança certos para cada iniciativa para entregar com sucesso. Isso inclui garantir que você tenha a mistura certa de especialistas internos do assunto da segurança, TI, RH e funções de negócios.
Projetos IDAM geralmente exigem alterações significativas dos usuários internos e externos de seus sistemas. Por exemplo, você pode estar mudando a maneira como eles acessam os sistemas que usam todos os dias. Portanto, você não deve ignorar a importância de ter um plano robusto de gerenciamento de mudanças para pousar e sustentar as mudanças de maneira eficaz.
Vamos conversar
Ajudar nossos clientes a executar avaliações iniciais de descoberta e definir suas estratégias de IDAM, selecionar sistemas apropriados e projetar e implementar soluções focadas nos negócios, nossa experiente equipe de consultores ajudou os clientes como Unilever, Primark e International Airlines Group (British Airways) a entregar seus objetos idam. Venha falar conosco para saber mais.
Serviços relacionados
The author
