Tópicos técnicos

O que é Identity Governance e administração?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

Com as várias ferramentas de governança de identidade disponíveis no mercado, não é fácil avaliar o que elas oferecem em comparação com uma arquitetura de administração e governança de identidade de função completa. Em reação a uma diretiva de segurança, muitas vezes, as equipes adotam uma abordagem restrita para gerenciar os direitos dos usuários ou cumprir os requisitos de separação de tarefas da organização.

A IGA vai além da visibilidade dos direitos, que geralmente é considerada como um instantâneo em qualquer momento. Em vez disso, ela adota uma abordagem holística e integradora para seu gerenciamento. Quando desenvolvida em uma infraestrutura robusta de gerenciamento do ciclo de vida da identidade, a IGA reúne componentes essenciais da infraestrutura de gerenciamento de identidade e acesso de uma organização para garantir que somente as pessoas certas tenham acesso a informações confidenciais.

Identity Governance e Administração

O que define uma solução completa de Identity Governance e administração?

Uma solução IGA robusta se distingue por oferecer os seguintes benefícios:

Oferece uma visão abrangente de contas e recursos - a IGA precisa manter as informações de identidade, direitos e riscos de cada recurso que está sendo gerenciado, bem como a identidade e a função das pessoas que o acessam.
Proteja-se contra aprovações com carimbo de borracha - com foco na proteção contra aprovações não verificadas de solicitações de permissão, uma solução IGA eficaz inclui fluxos de trabalho projetados especificamente para informar os proprietários de informações e negócios, e não os administradores de TI. Para elevar o nível de inspeção da solicitação, ela precisa oferecer todas as informações relevantes sobre o solicitante e o recurso projetado para uma leitura rápida com indicadores eficazes de produtividade e risco.
Atestado robusto - oferece relatórios precisos que confirmam a conformidade contínua em vez de apenas relatar instantâneos no tempo. Quando necessário, uma infraestrutura IGA bem projetada pode fornecer análises que confirmam o acesso real por grupos específicos de usuários. O design do relatório deve ser rápido de revisar e simples de gerar e incluir nos relatórios de atestado. Embora esse nível de atestado ofereça confiança às equipes de segurança, ele exige que a governança de acesso tenha integrações estreitas com o ciclo de vida da identidade e os componentes de gerenciamento de acesso do ambiente abrangente de IGA.

Qual é o valor específico de um ambiente IGA completo em relação a outras soluções?

Embora a governança e a administração de identidade gerenciem os direitos e forneçam um atestado sólido para os auditores de segurança, ela tem o potencial de ser um componente fundamental da infraestrutura de gerenciamento de identidade e acesso de uma organização:

O gerenciamento de direitos é o elemento fundamental da estratégia de privilégios mínimos de qualquer organização. A segurança de privilégios mínimos ajuda a proteger contra ameaças internas, bem como a limitar os danos quando as credenciais de alguém são comprometidas e exploradas. Quando feito corretamente, ele pode ser usado para orientar e invocar ações do ciclo de vida da identidade, em vez de trabalhar independentemente dele.
Uma das etapas da integração de recursos em uma plataforma de governança é a definição do risco e dos critérios de risco. As definições adequadas de risco de recursos confidenciais fornecem informações precisas aos aprovadores e revisores. Elas também podem ser consumidas pelo serviço de risco para direcionar as ações de gerenciamento de acesso adaptativo. Com muita frequência, os critérios usados para controles de acesso baseados em sessão para possíveis ações de autenticação e autorização são limitados ao contexto do usuário (geolocalização, intervalo de IP, ID do dispositivo, etc.). Considerar o risco do próprio recurso oferece uma abordagem mais granular e eficaz para o acesso adaptável que pode aumentar a segurança e, ao mesmo tempo, otimizar a experiência do usuário. Ao limitar o número de vezes que um usuário é interrompido para autenticação multifatorial, o atrito é reduzido e a experiência do usuário é otimizada.

O que a NetIQ está fazendo para tornar sua solução IGA mais inteligente?

Embora seja muito importante estabelecer uma base sólida de IGA, conforme descrito acima, o siteNetIQ está continuamente ampliando os limites para tornar a automação da governança mais abrangente e eficaz para ajudar os proprietários de informações a proteger seus dados. As direções de desenvolvimento de governança e administração de identidade a curto prazo nas infraestruturas de gerenciamento de identidade e acesso incluem:

Além de fornecer as melhores informações possíveis em um formato que os aprovadores e revisores possam entender rapidamente, a próxima geração de IGA reúne práticas recomendadas de privilégios mínimos e políticas organizacionais para automatizar a análise de direitos. A elevação automatizada das pontuações de risco de suas informações confidenciais, bem como dos usuários que as acessam, destaca os pontos de preocupação para revisão e possíveis ações de segurança.
O cenário de automação baseado em inteligência descrito no item anterior é melhor ampliado com a análise comportamental do uso real. Esse tipo de análise pode orientar o foco em identidades e recursos específicos para reavaliar o risco que eles representam para a organização.
Embora tradicionalmente a IGA não inclua a governança do acesso à raiz dos sistemas, é necessária uma abordagem mais formal para proteger o acesso aos dados e executáveis hospedados no servidor. Como os administradores do sistema podem potencialmente contornar vários mecanismos de segurança, a importância de proteger os privilégios de root é óbvia. Além da capacidade de delegar e controlar diferentes níveis de administração, esses superusuários têm tanto acesso concedido que o monitoramento avançado de suas ações relacionadas ao sistema oferece informações forenses valiosas em potencial.

Um ambiente IGA bem construído não é fácil de implementar. Conseguir a adesão em nível executivo e dos vários proprietários de negócios pode ser um processo longo e irregular. Para atrair os proprietários das informações e integrar adequadamente seus recursos, é preciso investir, assim como manter contato com eles para verificar se há mudanças em seu ambiente que exijam atualizações. Mas o valor desse tipo de investimento em segurança rende enormes dividendos. Ele permite que as organizações sejam mais ágeis em suas operações de negócios digitais, mantendo o risco baixo.

Por que devo investir no Identity Governance and Administration?

Depois de entender a natureza abrangente do IGA, a pergunta natural é se esse nível de investimento é necessário para o seu ambiente. Embora cada organização possa ter requisitos exclusivos, aqui estão algumas considerações comuns que podem orientar a profundidade e a amplitude do gerenciamento:

Embora quase todas as organizações precisem proteger suas informações financeiras e de RH, elas também podem ou não ter outros tipos de dados confidenciais dignos de governança:

Informações de clientes - esse tipo de informação varia muito. As organizações podem estar sujeitas a várias regulamentações estaduais ou federais, mesmo que estejam coletando informações de cookies ou identidades sociais para personalizar o conteúdo. Há também outros mandatos mundiais, como o Regulamento Geral de Proteção de Dados (GDPR). Os requisitos do GDPR merecem um nível de proteção IGA porque, uma vez que um perfil pessoal ou informações financeiras sejam retidos, provavelmente haverá a necessidade de segurança com privilégios mínimos. Há também uma coordenação que precisa ocorrer entre os varejistas e seus provedores de serviços (PSPs) e parceiros do setor. A menos que essas operações sejam pequenas, é difícil imaginá-las cumprindo as exigências de privacidade sem uma solução madura de governança de identidade.
Propriedade intelectual - seja na forma de informações de patentes, competências técnicas ou comerciais essenciais ou outros segredos comerciais, uma violação desses segredos pode representar um sério risco para a organização. Independentemente de as organizações automatizarem ou não seus processos de direitos, é provável que seja necessária uma análise cuidadosa dos segredos avaliados antes de desenvolver uma estratégia de governança.
Informações do paciente - a transformação digital do setor de saúde forçou os provedores a automatizar o gerenciamento de direitos e o atestado de suas informações regulamentadas. A mudança para registros eletrônicos de saúde (EHR) e outras informações de saúde protegidas (ePHI) resultou em proteções governamentais de privacidade rigorosas, concretas e punitivas. É um setor atormentado com as violações de maior custo em comparação com qualquer outro. Além da perda monetária, as violações de registros de saúde prejudicam a confiança dos pacientes porque incluem suas informações mais confidenciais. Informações que abrangem tanto informações de saúde quanto financeiras podem ser usadas para realizar fraudes.
Serviços financeiros - como outro setor altamente regulamentado, os serviços financeiros estão sujeitos a uma série de regulamentações criadas para evitar conluio malicioso e violação da privacidade. A privacidade é necessária para proteger contra fraudes ou outros tipos de roubo. É seguro afirmar que toda instituição financeira precisa de governança automatizada e se beneficiaria muito de uma solução que envolvesse diretamente os proprietários dos dados.

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Data Lakehouse e análisesData Lakehouse e análises

BI, visualização e relatóriosBI, visualização e relatórios

eDiscovery e soluções jurídicaseDiscovery e soluções jurídicas

OpenText™ Aviator Search

Business Network CloudBusiness Network Cloud

Automação da cadeia de suprimentosAutomação da cadeia de suprimentos

Integração B2BIntegração B2B

Colaboração seguraColaboração segura

Rastreabilidade da cadeia de suprimentosRastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentosInsights sobre a cadeia de suprimentos

Aplicativos e serviços do setorAplicativos e serviços do setor

OpenText™ Business Network Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Capture Processamento inteligente de documentosCapture Processamento inteligente de documentos

Process AutomationProcess Automation

Integrações de negóciosIntegrações de negócios

Information ArchivingInformation Archiving

Soluções para o setorSoluções para o setor

Governança da informaçãoGovernança da informação

OpenText™ Content Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Privacidade e proteção de dadosPrivacidade e proteção de dados

Threat Detecção e respostaThreat Detecção e resposta

Identity and Access ManagementIdentity and Access Management

Investigações e perícias digitaisInvestigações e perícias digitais

Threat IntelligenceThreat Intelligence

OpenText™ Cybersecurity Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

Functional TestingFunctional Testing

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Engenharia de desempenhoEngenharia de desempenho

OpenText™ DevOps Aviator

Experience CloudExperience Cloud

Experiências na Web e em dispositivos móveisExperiências na Web e em dispositivos móveis

Contact Center AnalyticsContact Center Analytics

Mensagens e FaxMensagens e Fax

Cliente CommunicationsCliente Communications

Gerenciamento de ativos digitaisGerenciamento de ativos digitais

Jornada do cliente e dadosJornada do cliente e dados

OpenText™ Experience Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

Descoberta e CMDBDescoberta e CMDB

AIOps e observabilidadeAIOps e observabilidade

Gerenciamento de redeGerenciamento de rede

Cloud Management, FinOps e GreenOpsCloud Management, FinOps e GreenOps

AutomaçãoAutomação

OpenText™ IT Operations Aviator

OpenText™ ThrustOpenText™ Thrust

OpenText™ Thrust feixeOpenText™ Thrust feixe

OpenText™ Aviator Thrust

PortfolioPortfolio

Proteção de dadosProteção de dados

Gerenciamento de endpoints e segurança móvel Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dadosArquivamento, eDiscovery e segurança de dados

Conectividade e gerenciamento de documentosConectividade e gerenciamento de documentos

Informações reimaginadasInformações reimaginadas

Artificial IntelligenceArtificial Intelligence

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoria e estratégiaServiços de consultoria e estratégia

Serviços de consultoriaServiços de consultoria

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Em destaque

Analytics Cloud

Data Lakehouse e análises

BI, visualização e relatórios

eDiscovery e soluções jurídicas

Business Network Cloud

Automação da cadeia de suprimentos

Integração B2B

Colaboração segura

Rastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentos

Aplicativos e serviços do setor

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Capture Processamento inteligente de documentos

Process Automation

Integrações de negócios

Information Archiving

Soluções para o setor

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Privacidade e proteção de dados

Threat Detecção e resposta

Identity and Access Management

Investigações e perícias digitais

Threat Intelligence

DevOps Cloud

Plataforma DevOps

Functional Testing

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Engenharia de desempenho

Experience Cloud

Experiências na Web e em dispositivos móveis

Contact Center Analytics

Mensagens e Fax

Cliente Communications

Gerenciamento de ativos digitais

Jornada do cliente e dados

IT Operations Cloud

Service Management

Descoberta e CMDB

AIOps e observabilidade

Gerenciamento de rede

Cloud Management, FinOps e GreenOps

Automação

OpenText™ Thrust

OpenText™ Thrust feixe

Portfolio

Proteção de dados

Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dados

Conectividade e gerenciamento de documentos

Informações reimaginadas

Artificial Intelligence

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria e estratégia

Serviços de consultoria

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navegador