Gerenciamento de Identidade - Implementando Segurança de Inclusão
Setembro-2007- Por: Waldemar Felippe - Diretor da QualiSoft InformáticaMuito se tem falado sobre segurança da informação. Diariamente são divulgadas notas na imprensa especializada e nos jornais de maior circulação do país sobre novos vírus, invasões de sites, e-mails falsos e os riscos e prejuízos causados por estes agentes externos.
Recentes pesquisas vêm indicando que a segurança da informação está entre as prioridades dos CIOs, com 80% das empresas mantendo ou aumentando seus orçamentos para esta área. Da mesma forma que as notícias que vemos publicadas, quando se trata de orçamentos e investimentos estes estão normalmente orientados à segurança da exclusão, cujo objetivo é estabelecer defesas, excluindo ameaças, vírus e vulnerabilidades. Muito pouco do orçamento tem sido destinado ao avanço da segurança de inclusão, aquela que permite, por meio da tecnologia de gerenciamento de identidade, o acesso à infra-estrutura tecnológica, às aplicações e aos dados do negócio por parte de indivíduos confiáveis, como clientes, fornecedores, parceiros comerciais e colaboradores remotos.
A maioria das empresas têm como prioridade estratégica o aprimoramento da segurança da rede, alocando esforços e investimento na defesa do perímetro e da infra-estrutura e no bloqueio de acesso.
Isso não está necessariamente errado, porém complexidade do cenário exige que as organizações comecem a tratar segurança da informação de maneira estruturada, tanto do ponto de vista estratégico como do tático, passando a conhecer as necessidades específicas dos modelos de exclusão e inclusão.
A segurança de inclusão está baseada em Sistemas de Gerenciamento de Identidade (SGI). Estes sistemas, quando associados a sistemas de Administração de Segurança e Controle de Acesso, Perfis e Alçadas permitem a criação de Políticas de Controle de Acesso adequadas a cada tipo de negócio e usuário, aumentando a segurança e reduzindo os custos através da administração, controle e auditoria de forma centralizada, assegurando que somente as pessoas que tiverem o perfil e alçada adequados terão acesso às informações e serviços oferecidos pelas empresas.
Um SGI além de autenticar o usuário, também controla o seu acesso, impedindo a consulta e execução de serviços não autorizados. Todas as transações de negócios disponíveis são cadastradas e associadas a um ou mais perfis que definem os direitos do usuário para a execução das transações. Quando o usuário entra nas áreas de acesso restrito, é solicitado que ele faça o login. A autenticação do usuário pode ser feita de várias formas, incluindo User-ID e Senhas Certificados Digitais, Tokens, Identificação Biométrica (Impressão Digital / Íris) ou combinação destes. Neste momento ele é autenticado e suas ações são controladas pelo SGI. É possível, por exemplo, um usuário ter acesso irrestrito à conta corrente pessoal e ter acesso apenas para consulta na conta da empresa (jurídica).
A implantação de um SGI agiliza a construção de aplicações de e-business mais seguras, proporcionando aos desenvolvedores uma importante camada de base que garante privacidade e segurança, reduzindo a necessidade de codificar a segurança em aplicações múltiplas, e ao mesmo tempo garantindo aderência às políticas de segurança e controle de acesso estabelecidas pelo Security Officer.
Com um SGI é possível:
• Autenticar a identificação dos usuários antes de permitir o acesso;
• Implantar single sign-on baseados em Active Directories (AD), Bancos de Dados Corporativos ou combinação destes;
• Controlar não somente o acesso, mas o que cada usuário pode ver ou executar;
• Criar trilhas de auditoria, claras e confiáveis;
• Permitir a implementação de E-Commerce / Business to Business, de uma forma flexível, escalável e segura, através da :
• Criação de Políticas de Controle de Acesso diferenciadas;
• Delegação de poderes de administração de permissões de acesso e alçadas;
• Administração descentralizada, via WEB, de usuários, transações, perfis e alçadas.
• Permitir a criação de autocadastramento de usuários, associando-os automaticamente à perfis e domínios adequados à cada tipo de usuário, negócio e interesse;
• Gerar informações de acesso e utilização para sistemas de CRM, independente do canal de atendimento;
• Permitir a criação de uma política de controle de acesso e perfis de usuários corporativa, eliminando a necessidade da administração de vários sistemas de segurança.
Conheça um pouco mais sobre os SGI, clicando aqui.
Casos de Sucesso Relacionados
Clique aqui e conheça o caso de sucesso do E-QualiSG no Banco BNP Paribas.
Para outros casos de sucesso, entre em contato conosco.
Siga-nos
twitter