Gerir as identidades e os acessos para proteger as organizações

Gerir identidades digitais – seja de utilizador internos ou externos – tem de estar na lista de prioridades das organizações. Esta gestão tem de ser feito através de software que, automaticamente, dá ou revoga acessos dos utilizadores consoante a sua função.

Num pequeno-almoço executivo durante o mês de outubro, a IT Security e a One Identity juntaram representantes de organizações portuguesas de vários setores de atividade para falar sobre o tema, dos desafios e das práticas que encontraram para gerir as identidades digitais dos colaboradores das suas entidades.

Antes de um debate com os presentes, Daniel Gaspar, Senior Sales Account Manager and Team Leader for Iberia da One Identity, apresentou a visão da empresa para este problema e para ter uma identidade de segurança unificada. As soluções da One Identity permitem aumentar a segurança da organização enquanto se suporta a transformação digital da mesma, se permite auditorias, se aumenta a gestão de logs e aumenta a eficiência operacional.

	Daniel Gaspar, Senior Sales Account Manager and Team Leader for Iberia, One Identity

Na visão da One Identity, uma das melhores maneiras de proteger as organizações em ambientes dinâmicos é passar de uma abordagem fragmentada para uma abordagem holística, através da unificação de processos anteriormente distintos e correlacionar as identidades para ter uma visibilidade de 360 graus.

A One Identity disponibiliza uma plataforma de segurança da identidade unificada que vai de encontro às necessidades das organizações, juntando soluções de Identity Governance and Administration (IGA), de gestão de acessos, de gestão de acessos privilegiados e gestão de Active Directory numa única solução end-to-end.

Sérgio Trindade, CIO, CDO, EPAL

Sérgio Trindade, CIO e CDO, EPAL: “Temos contratação externa, fornecedores que nos dão apoio, e era extremamente difícil conseguir que estivessem ativos apenas quando faziam falta. O que fizemos foi centrar numa área para garantir que os acessos que eram dados, retirados e o próprio processo de autorização seguiam um padrão e uma política interna que garantisse que, efetivamente, isso acontecia do ponto de vista de identidade”

	Carlos Silva, Diretor de Segurança e Proteção de Dados, Banco CTT

Carlos Silva, Diretor de Segurança e Proteção de Dados, Banco CTT: “Há algo que me faz confusão que é o Active Directory. É necessário, mas uma dor de cabeça em termos de segurança. É uma tecnologia com 30 anos, totalmente legada, sem segmentação de privilégios, muito pouco resiliente e, nos últimos anos, todos os grandes ataques que existiram tiveram o Active Directory comprometido. Nesse sentido, devemos segregar em termos de utilizadores ao máximo”

João Paulo Cavaco, Head of the Communication and Information Systems Division, Inspeção-Geral de Educação e Ciência

João Paulo Cavaco, Head of the Communication and Information Systems Division, Inspeção-Geral de Educação e Ciência: “A segregação é essencial. O que tem de haver, depois, também são processos comuns para toda a gente que faz parte. Um dos caminhos feitos no sentido da concentração do problema acaba por criar um problema muito maior que não tem solução. Depois de concentrado, vai ser preciso dividir, sem dúvida nenhuma”

	Paulo Martins, Diretor de TI & Operações, SL Benfica

Paulo Martins, Diretor de TI & Operações, SL Benfica: “A segmentação tem de ser vista de várias perspetivas e cada empresa, cada entidade, tem de ver o seu enquadramento. Não há uma receita que diz que se deve fazer uma segmentação mais ou menos excessiva. Cada um tem de olhar para o seu ecossistema. Segmentar muito pode trazer problemas bem mais graves. É preciso perceber de que lado estamos a olhar. É preciso olhar para o todo e de uma forma estruturada. A receita não será igual para todos”

Jorge Fernandes, CISO

Jorge Fernandes, CISO: “Tem de haver um envolvimento das pessoas da área do negócio que sabem quem é que tem de ter acesso àquilo. Não é o IT que vai decidir quem é que tem acesso a esses processos. Se não houver esse envolvimento das pessoas ligadas ao negócio, isto sai ao contrário”

	Rui Sousa Gil, Diretor de Tecnologias de Informação, José de Mello Capital

Rui Sousa Gil, Diretor de Tecnologias de Informação, José de Mello Capital: “Se tenho uma determinada pessoa, com um determinado perfil dentro de uma ferramenta de operação, não quero estar a gerir discretamente o acesso e a atribuição desse perfil. Quando tenho aquele automatismo que me é dado pelos mecanismos de integração entre o RH e as plataformas aplicacionais da empresa, quero que todos os acessos e, para além disso, as autorizações nas aplicações e na infraestrutura sejam completamente limpas no instante imediatamente a seguir à saída da pessoa da empresa”

Nuno Silva, IT Manager, Universidade Lusíada

Nuno Silva, IT Manager, Universidade Lusíada: “A parte académica é bastante diferente. Os alunos autenticam-se com o seu número de aluno próprio, gerem as suas passwords por regras mínimas que são definidas. O problema que temos é o acesso ao software; o aluno, durante as aulas e os laboratórios, tem de ter acesso a variados software e aí anda completamente perdido porque tem autenticações. Esse é o principal dilema”

	Miguel Borges, IT Director, Galucho

Miguel Borges, IT Director, Galucho: “A gestão dos acessos é um problema grande porque, sendo uma unidade fabril com muitos departamentos internos das linhas de montagens, há muitos utilizadores que precisam de aceder a vários tipos de informação que está separada por toda a infraestrutura. Acho que o problema maior é a falta de clareza dos processos e o que é preciso, muitas vezes, e rever e refazer os processos para controlar, também, esse tipo de acesso”

José Gama, Auditor

José Gama, Auditor: “A minha visão tem a ver com os princípios da auditoria, que é o princípio do que é que espero encontrar num sistema, mais do que a forma de lá chegar. Existem empresas onde a relação do funcionário com os recursos humanos provoca a imediata suspensão dos privilégios que essa pessoa tem – seja em termos daquilo que pode fazer, onde é que pode fazer, como é que entra no trabalho. Isso é um reflexo totalmente automático”

	João Ferreira, Administrador de Sistemas, Banco de Portugal

João Ferreira, Administrador de Sistemas, Banco de Portugal: “As organizações normalmente funcionam com base em regras, mas têm dificuldades em cumpri-las e fazê-las cumprir. Procura-se criar processos e regras a uma boa prática de gestão de identidades e gestão de acessos, mas o conjunto de exceções a que normalmente somos confrontados, às vezes, distorce um bocado as coisas. Isso faz desencadear um conjunto de processos que levam à formação de uma identidade digital para essa pessoa e, em função do departamento, da função, uma série de fatores e variáveis, essa identidade é mais ou menos privilegiada, tem mais ou menos acessos, ganha acesso a mais ou menos aplicações”

Conteúdo co-produzido pela MediaNext e pela One Identity