REVISTA NETWORK: Por que fazer a Gestão de Identidade?

Nosso Executivo de Segurança da Informação e TI, Marcos Gomes está na Revista Network, Edição Especial, Julho/2018, página 40, falando sobre:
Por que fazer a gestão de identidade?
De acordo com a pesquisa “2018 Thales Data Threat Report” 67% das empresas do mundo já sofreram violação de dados, dessas 42% já haviam sido fraudadas. Há muitas empresas que mantêm por vários meses acessos de ex-funcionários em seus sistemas de ERP, o que acarreta um custo maior no pagamento de licenças desnecessárias.
Algumas companhias têm recorrido ao serviço de Gestão de Identidade ou Identity and Access Management (IAM) com o objetivo de realizar um monitoramento das contas dos usuários e os perfis correspondentes; minimizar a vulnerabilidade dos sistemas e do banco de dados de uma empresa; prevenir fraudes e prejuízos gigantescos.
Não é uma tarefa fácil. Em média uma pessoa tem que decorar pelo menos o login de cinco sistemas diferentes como login de rede, ERP, e-mail, portal RH, VOIP além de outros mais específicos de cada área da empresa. É preciso realizar um trabalho em conjunto que envolva departamentos importantes como TI, Controladoria e RH. Vamos a um exemplo bem prático.
Recentemente foi descoberto que um ex-funcionário de uma operadora de TV tinha acesso ao banco de dados da empresa por meio do seu computador pessoal. Realizava procedimentos invasivos e alterava o valor das contas dos clientes, que intermediava, em pelo menos três cidades da região metropolitana de São Paulo. Só para ter uma ideia, em alguns casos o valor era reduzido para 10% do valor contratado, resultando num prejuízo de quase R$3 milhões para as operadoras. Outro caso de violação de dados ocorreu numa empresa dos Estados Unidos, onde um funcionário insatisfeito criou um usuário com poderes de administrador. Na véspera de se desligar da empresa, apagou informações chaves que impactaram a operação de 88 servidores, provocando um caos.
Mas, afinal como funciona a Gestão de Identidade?
Quando a empresa opta pelo serviço de Gestão de Identidade o risco de fraude ou erro não intencional é minimizado. Com este processo implementado, o usuário terá acesso somente aos dados importantes para desempenhar suas funções e o que for excesso será removido, para que não haja mal-uso.
A Gestão de Identidade trabalha com a segregação de acessos, ou seja, considera a função exercida pelo usuário e as correlações com outros integrantes e sistemas. Para evitar surpresas e diminuir fraudes as revisões periódicas e análises no perfil dos funcionários são imprescindíveis, para que identifiquem acessos desnecessários em seus sistemas.
Além da análise individual das contas, a Empresa precisa atentar-se aos inter-relacionamentos de sistemas. Um funcionário, por exemplo, que tenha acesso aos sistemas de “supply chain” e contas a pagar, pode aumentar o risco de fraude. Ele pode facilmente simular necessidade de compras de peças em um sistema e autorizar o pagamento no outro.
Para auxiliar as empresas, existem no mercado alguns softwares especialistas na gestão de identidade e são integrados com os principais sistemas de ERPs.
As melhorias que a Gestão de Identidade traz para as empresas são:
Disponibilização dos usuários, perfis e acessos mais rápidos
Melhoria nos relatórios de auditoria e na satisfação dos usuários
Gerenciamento centralizado, tornando mais simples o atendimento de normas e regulamentações
ROI (Retorno do Investimento)
Melhoria da gestão das informações por volta de R$ 1 mil/ano por usuário
Economia de aproximadamente R$ 10 mil por auditoria, pois as informações já estão controladas
Economia média de R$ 650,00/mês por usuário com licenças de softwares para ex-funcionários ainda ativos nos sistemas da empresa
Redução dos custos do Service Desk, quase 30% do custo é relacionado a acesso de usuários
Dicas importantes na Gestão de Identidade
Todo login deve ter apenas um responsável
Não compartilhar login
Utilize Acesso Simplificado (Single Sign-on) sempre que possível
Validar regularmente a base de usuários ativos
Em caso de desligamento, bloquear os acessos imediatamente e eliminar conforme política de retenção
Tenha a política de expiração de usuários automatizada
Link para a Revista NETWORK:
____________________________________________________________

Marcos Gomes
Executivo de TI e Segurança da Informação
innovativa - Executivos Associados
marcos.gomes@innovativa.com.br
www.innovativa.com.br
____________________________
IMPRENSA
Informações para a imprensa
LN Comunicação
Lucia Nunes – diretora e jornalista
11 3458.7748 / 99968.4105
lucianunes@lncomunicacao.com.br
Tags: