07 Estratégias que Garantem Sucesso na Implantação de um IGA

Breve contexto sobre a gestão de identidades e acessos

Atualmente, a disciplina da segurança da informação, nas grandes organizações, se tornou essencial para qualquer modelo de negócio que necessita proteger informações de ameaças internas e externas. É inevitável, hoje, que as grandes corporações façam investimentos consideráveis em segurança da informação para se proteger de cyber criminosos e atender normativos.

Em uma rápida busca no google podemos explicar, em poucas palavras, o que é a Segurança da Informação: 

“É o conjunto de práticas, políticas, tecnologias e procedimentos que visam proteger os dados e sistemas de informação de uma organização contra ameaças como acesso não autorizado, uso indevido, divulgação, alteração ou destruição.”    

Fica evidente que é necessário proteger os dados e sistemas de acessos não autorizados e esse é o ponto nevrálgico que estamos tentando ressaltar antes de chegarmos no tema proposto neste artigo.

Como protegemos os dados e sistemas de acessos não autorizados?

Não existe uma receita de bolo que atenda todas as necessidades das organizações, mas existem processos, frameworks, pessoas e tecnologias que podem guiar as organizações ao caminho do sucesso, garantindo a implantação de um programa persistente de gestão de identidades e acessos (IAM).

A implantação de um programa de IAM não é um processo simples, é uma mudança de paradigma, e essa implantação mudará processos, políticas, tecnologias e até mesmo a cultura da organização. O formato de um programa de IAM vai depender muito do modelo de negócio e da maturidade de segurança da informação da organização, mas a disciplina IAM sempre seguirá o seguinte molde:

“O IAM é um conjunto de políticas, processos e tecnologias que são usados para gerenciar identidades digitais e controlar o acesso a recursos dentro de uma organização. O objetivo principal do IAM é garantir que as pessoas certas tenham acesso aos recursos corretos no momento apropriado, enquanto também mantém a segurança dos sistemas e dados.” 

Com isso, as organizações que necessitam implantar um programa de IAM não têm como evitar os princípios do gerenciamento de identidade e acesso, e de forma resumida, um programa de IAM deverá adotar os seguintes pilares:

• Gestão de acessos (AM): processos, pessoas e tecnologias para gerenciar a autenticação, autorização e auditoria de acessos de pessoas. Exemplo: acessos de colaboradores e terceiros de uma organização;

• Gestão de acessos privilegiados (PAM): processos, pessoas e tecnologias para gerenciar a autenticação, autorização e auditoria de acessos privilegiados. Exemplo: acessos de pessoas a sistemas ou dados sensíveis, acessos de contas sistêmicas, acessos de contas robôs (RPA), acessos de contas IoT (internet das coisas);

• Governança de identidades e acessos (IGA): processos, pessoas e tecnologias para governar as identidades e acessos de colaboradores e terceiros;

• Detecção e Resposta a Ameaças de Identidade (ITDR): processos, pessoas e tecnologias para apoiar no monitoramento, detecção e resposta de ameaças identificadas que comprometem a autenticidade e direitos de acessos das identidades de uma organização.

  
  

Antes de irmos para as 07 Estratégias que Garantem Sucesso na Implantação de uma IGA, vamos entender um pouco mais o que é uma IGA.

O que é uma IGA e para que ela serve? 

“IGA (Identity Governance & Administration) é uma estrutura de segurança que permite às organizações gerenciar e controlar identidades digitais e seus direitos de acesso, garantindo que as pessoas certas tenham acesso aos recursos certos no momento certo, ajudando a mitigar riscos de segurança e garantir a conformidade.”

É importante ressaltar que uma IGA pode ser um conjunto de processos executados de forma manual ou de forma automática. Em grandes organizações é natural que a quantidade de identidades passem das dezenas de milhares e é indicado que esses processos sejam executados de forma automática.

A automação habilita a organização a obter as seguintes vantagens:

• Aumento da segurança;

• Aumento da eficiência;

• Redução de custos;

• Diminuição de erros humanos;

• Melhoria da experiência do usuário ao habilitar autosserviços de IAM;

• Diminuição do impacto operacional;

• Aumento da produtividade, permitindo que os colaboradores possam focar em suas demandas.

  
  

As vantagens justificam muito a aquisição de uma ferramenta de IGA, mas afinal o que uma ferramenta deveria fazer para ser considerada uma IGA?

Requisitos mínimos que uma IGA deve atender:

• Flexibilidade para realizar integração com aplicações e sistemas (fontes autoritativas, SIEM, ITSM e sistemas);

• Flexibilidade que permita a modelagem de acessos em três níveis;

• Capacidade de realizar automações seguindo as fases do ciclo de vida de uma identidade; 

• Capacidade de provisionamento automático de acesso;

• Capacidade de elaboração de fluxos automáticos de solicitação de acesso com aprovações;

• Capacidade de elaboração de fluxos automáticos de solicitação de acesso com análise de combinação tóxica;

• Capacidade de detecção de contas órfãs;

• Capacidade de criação de campanhas de revisões de acesso;

• Capacidade de gerar logs de segurança;

• Capacidade de gerar relatórios.    

  
  

Capacidades extras que tornam a IGA uma ferramenta muito mais poderosa:

• Capacidade de uso de IA para gerar sugestões de modelagem de acessos;

• Flexibilidade que permita a concessão de acessos de forma dinâmica;

• Capacidade de realizar gestão de direitos de acessos nas principais nuvens públicas de mercado (CIEM);

• Capacidade de elaboração de fluxos de forma gráfica (low-code);

• Capacidade de realizar gerenciamento de senhas;

• Detectar risco de acesso em tempo real com o uso de IA;

• Capacidade de identificar contas de máquinas.   

Depois de passarmos por uma breve explicação sobre IAM e IGA, vamos falar das 07 Estratégias que Garantem Sucesso na Implantação de uma IGA.

Estratégia 01: Convença os executivos, uma IGA trará benefícios para a organização 

Prepare uma apresentação convincente antes de se reunir com os sponsors internos. Para isso, é importante elaborar um material objetivo, lúdico e que reúna os seguintes itens:

• Dores atuais da organização que levou a decisão da aquisição de uma IGA;

• Dores que a implantação da IGA resolve;

• Como a IGA resolve as dores;

• Os impactos positivos na organização;

• Quantos usuários serão atingidos de forma positiva;

• As áreas e departamentos que serão atingidos de forma positiva;

• Relatórios de empresas renomadas como Gartner e Forrester, indicando o uso de uma IGA;

• Normativos de segurança que serão atendidos (SOX, ISO27K, PCI-DSS, LGDP, HIPAA, etc.);

• Plano macro de implantação com prazos estimados;

• Use calculadoras para obter o Retorno sobre o investimento (ROI). Já existem calculadoras intuitivas e prontas para usar, os principais fabricantes (Saviynt e SailPoint) disponibilizam em seus sites.

Seja o agente polinizador da ideia, e com os itens acima você terá um bom poder de persuasão para convencer as lideranças a comprarem a ideia e apoiar na decisão da aquisição e implantação de uma IGA bem posicionada no mercado.

Estratégia 02: Realize provas de conceito (POC) das principais IGAs de mercado

Antes de escolher a IGA ideal para sua organização, alguns pontos devem ser levados em consideração:

• Não perca tempo com reuniões exaustivas, identifique as três melhores IGAs de mercado e siga o processo;

• Use o quadrante mágico do Gartner para identificar as IGAs bem posicionadas;

• Converse com os profissionais de mercado que passaram pelo mesmo processo;

• Busque por cases de sucesso das organizações com modelo de negócio similar ao negócio da sua organização;

• Elabore um bom material que contenha todos os requisitos técnicos e de negócio da sua organização;

• Convide seus melhores especialistas para a prova de conceito (POC):

  • Especialistas em IAM;

  • Arquitetos com experiência em clouds e APIs;

  • Especialistas em redes e infraestrutura;

  • Especialista em segurança da informação.

Como dito acima, não perca tempo com reuniões exaustivas com muitos fabricantes, identifique as três melhores IGAs de mercado, aprofunde suas necessidades com testes em laboratórios, de preferência, no ambiente dos fabricantes para evitar alocação de recursos computacionais e de pessoas da sua organização.

Após a realização da POC, certamente você saberá qual a IGA melhor atende às necessidades da sua organização. O próximo passo será submeter o processo com relatórios bem elaborados, indicando qual a melhor IGA para a sua organização e deixar que seu departamento de compras negocie os valores com os fabricantes.

Estratégia 03: Elabore o plano detalhado de implantação da IGA

Enquanto o processo de aquisição da IGA segue tramitando, esse é o momento para começar a elaborar o plano detalhado de implantação. Esse plano deve ser multidisciplinar para garantir que nenhuma área ou time fique de fora, minimizando os gaps no decorrer do projeto. 

Times sugeridos para ajudar na elaboração do plano: 

• Time de projetos (metodologia, métricas e indicadores);

• Time de IAM;

• Time de segurança;

• Time de governança;

• Time de arquitetura;

• Time de infraestrutura e monitoramento;

• Time de RH;

• Time de suporte (ITSM).

Para a elaboração do plano, faça reuniões curtas (30 min.), objetivas e recorrentes com os representantes dos times. O extrato final desses alinhamentos será um plano faseado, contendo as principais entregas. 

Abaixo, segue um plano genérico que pode ser adaptado a realidade de cada organização:

Fase 01: Definição técnica e de negócio (Prazo)

• Definição da metodologia do projeto; 

• Definição do acompanhamento de métricas e indicadores (KPIs);

• Definição do modelo de acesso (RBAC);

• Definição dos processos de negócio;

• Definição da arquitetura da solução de IGA;

• Definição das tecnologias que serão usadas para sustentar a solução de IGA;

• Definição das áreas e pessoas necessárias para apoiar no projeto da solução;

• Definição de um modelo de onboarding de aplicações e sistemas;

• Definição de um modelo para melhorias da IGA que manterá a evolução, seguindo as boas práticas e as necessidade da organização;

• Definição de um plano de monitoramento e resposta a incidentes; 

• Definição de um plano de monitoramento de performance e recursos usados pela IGA;

• Definição de um plano de suporte para atendimento de tickets referentes a IGA;

• Definição de modelos de relatórios para atender auditorias;

• Definição do plano de documentação do projeto.

Fase 02: Implementação em ambiente de homologação (Prazo)

• Habilitar painel de métricas e indicadores (KPIs);

• Implantação da infraestrutura da solução em ambiente de homologação;

• Parametrização da solução para atender as regras de negócio da organização;

• Integração das aplicações estruturantes (Fontes autoritativas, Clouds, Diretórios, SIEM, ITSM);

• Homologação massiva de todos os casos de uso levantados;

• Documentação dos processos de negócio;

• Documentação técnica de implantação e integração.

Fase 03: Implementação em ambiente produtivo (Prazo)

• Monitoramento de métricas e indicadores (KPIs);

• Implantação da infraestrutura da solução em ambiente de produção;

• Parametrização da solução para atender as regras de negócio da organização;

• Integração das aplicações estruturantes (Fontes autoritativas, Clouds, Diretórios, SIEM, ITSM).

• Habilitação de relatórios para atender auditorias;

• Habilitação faseada em produção (Go live):

  • Fase 01: tombamento de 10% das identidades;

  • Fase 02: tombamento de 50% das identidades;

  • Fase 03: tombamento de 100% das identidades.

Fase 04: Onboarding de aplicação e evoluções (Recorrente)

• Manutenção e acompanhamento do painel de métricas e indicadores (KPIs);

• Construção de regras e modelo de integração de aplicações de negócio;

• Habilitação de uma fábrica de integração de aplicações de negócio;

• Habilitação de uma fábrica de melhorias da IGA de acordo com a evolução do mercado e as necessidade da organização;

• Habilitação e manutenção do plano de monitoramento e resposta a incidentes; 

• Habilitação do suporte para atendimento de tickets referentes a IGA;

• Habilitação e manutenção do monitoramento de performance e recursos usados pela IGA.

O plano acima é um ponto de partida para que você tenha um norte e continue expandido até que ele se adeque a realidade da sua organização. 

Existirão cenários em que a organização precisará migrar de uma IGA depreciada para uma mais moderna ou até mesmo migrar de partir de um IDM para uma IGA. O plano acima também poderá ser usado e adaptado.

Estratégia 04: Monte seu time e escolha os melhores

O sucesso da implantação de uma IGA não se resume apenas àquelas tecnologias de mercados bem posicionadas nos quadrantes de empresas de insight e pesquisa. O perfil e o conhecimento das pessoas envolvidas no projeto, certamente, fará diferença na entrega final. Com isso, muitas dúvidas surgem:

• Como saber quais profissionais devo recrutar para essa jornada? 

• Como deve ser a configuração do time? 

• Apenas um time?  

Então, as respostas para essas perguntas vão depender do modelo de negócio, da metodologia de projeto, da quantidade de identidades, das capacidades técnicas das pessoas disponíveis e das tecnologias da organização. Posso adiantar que todos os envolvidos precisam de uma musculatura adquirida em projetos anteriores, isso aumenta muito as chances de sucesso e da qualidade das entregas.

Apenas para ter uma noção básica, vamos montar um time que consiga atender uma organização com 30 mil identidades,  considerando o método Ágil.

Equipe Workforce: time que vai habilitar e manter a IGA

• 01 Scrum Master: 

  • Função: cuidar de todos os ritos, ajudar a manter a cadência das entregas e acompanhar os indicadores;

  • Nível: Sênior ou superior.

• 01 Product Owner: 

  • Função: responsável por tomar decisões de negócios, trazer as necessidades de negócio e acompanhar as entregas dos produtos;

  • Nível: Sênior ou superior.

• 01 Tech Lead: 

  • Função: responsável por cuidar de toda jornada técnica do produto, responsável por tomar decisões técnicas, indicar as melhores tecnologias e modelos de implantação;

  • Nível: Sênior ou superior.

• 03 Desenvolvedores: 

  • Função: desenvolver conectores para integração e criar fluxos para automação;

  • Nível: Pleno ou superior.

• 01 Arquiteto: 

  • Função: desenhar e indicar modelos de conectores para integração e automação entre a IGA e as aplicações;

  • Nível: Sênior ou superior.

• 03 Analistas de IAM: 

  • Função: ajudar na criação e na parametrização das regras de negócios;

  • Nível: Pleno ou superior.

• 01 Analista de testes: 

  • Função: executar testes de homologação e apontar bugs das entregas realizadas pela equipe;

  • Nível: Pleno ou superior.

• 01 Analista de RH: 

  • Função: apoiar a equipe durante as parametrizações e testes de ciclo de vida das identidades;

  • Nível: Pleno ou superior.  

Estratégia 05: Nunca esqueça do pós-implantação, você terá trabalho operacional!

Um planejamento que não prevê o pós-implantação de uma IGA estará fadado a afundar em um mar de solicitações e tickets, caos total! 

Imagina um cenário onde temos uma IGA, recentemente implantada, em produção, com 30 mil identidades sem uma equipe de retaguarda para acompanhar e atender as necessidades dos usuários. Tenha certeza que você vai queimar a largada e a reputação da nova IGA será derretida em apenas uma semana. O chat dos analistas de IAM da empresa será inundado com reclamações, isso será escalado para os executivos e os analistas vão parar seus projetos para atender a demanda operacional. 

Para garantir que esse problema não aconteça na organização, é importante incluir um plano de atendimento no planejamento inicial. 

Escreva processos (playbooks) que otimizem os atendimentos técnicos: 

• Garanta que as equipes de monitoramento estarão prontas para identificar incidentes e escalá-los quando necessário;

• Garanta que as equipes de resolução de incidentes estarão aptas a resolver os incidentes e escalá-los quando necessário;

• Defina um SLA para atendimento de acordo com as capacidades da equipe de resolução de problemas da organização;

• Lembre que o fabricante tem seu próprio SLA definido em contrato e isso pode ser somado ao SLA da organização; 

• Verifique se a equipe de resoluções de problemas estão segregadas em níveis de atendimentos e com a capacidade de escalar o incidente para o fabricante quando necessário.

Utilize seu ITSM para centralizar as solicitações dos usuários finais: 

• Garanta que um canal de comunicação e atendimento ao usuário final foi amplamente divulgado na organização, antes da implantação;

• Construa fluxos no ITSM da organização que facilite a vida dos usuários;

• Mantenha um time de retaguarda para atender os tickets dos usuários sem ultrapassar o SLA. 

Estratégia 06: Sem documentação a IGA não chega a todos

A falta de documentação é um erro bastante comum nos projetos de implantação de IGA. Um projeto implantado sem documentação ficará refém das pessoas que participaram da implantação e dificultará a vida dos usuários que precisarem das informações sobre a ferramenta.

Vamos abordar dois casos clássicos que acontecem quando a documentação não é feita.

O caso do protagonista 

Imagine uma pessoa de muita relevância no projeto que participou ativamente de todo o processo e é referência na organização. Todos sempre o chamam para tirar dúvidas e ele consegue atender e explicar todos os detalhes e como as coisas devem ser feitas, esse é o cara! 

Alguns dias depois, ele recebe uma proposta irrecusável para trabalhar em outra empresa e precisa se desligar em uma semana. A pessoa que assumirá o lugar dele não tem a mínima ideia de onde começar. Nas condições normais, a primeira coisa que o novo funcionário faria: ler toda a documentação. 

Onde está a documentação? 

Ela não existe. Só existem algumas informações fragmentadas na cabeça do protagonista que já foi desligado da organização.

Essa situação deve ser evitada e um plano de documentação deve ser previsto nas etapas iniciais do projeto. 

Seguem algumas dicas que podem ser um ponto de partida para a elaboração das documentações:

• Deve existir um portal de documentação técnica na organização com acesso apenas às pessoas que participam do projeto;

• Todos os processos e definições de negócio parametrizados na IGA devem ser documentados;

• O desenho de arquitetura com todas as integrações entre a IGA e os sistemas deve ser anexado ao portal de documentação;

• O desenho de arquitetura deve conter todos os protocolos utilizados, IPs, portas, nomes dos ativos utilizados e versões das aplicações;

• Os certificados usados para as comunicações criptografadas devem ser gerenciados;

• Os usuários de integração devem ser armazenados em cofres com suas devidas credenciais.  

O caso do abandonado 

O usuário acaba de saber pelo seu colega ao lado, que uma nova IGA foi implantada e as solicitações e revisões de acessos serão feitas na nova IGA. O usuário nem sabe qual URL acessar para interagir com a IGA. Então, ele procura o colega e o colega informa que também não sabe. Uma semana depois, ele recebe um e-mail disparado pela nova IGA solicitando uma revisão de acessos em até 03 dias e ele nem sabe por onde começar. Resultado, passados os 03 dias, a revisão não foi feita por falta de orientação e documentação.

Seguem algumas dicas que podem ser um ponto de partida para a elaboração das documentações:

• Garanta que um canal de comunicação e atendimento ao usuário final foi amplamente divulgado na organização, antes da implantação;

• Deve existir um portal de documentação na organização com acesso a todas as pessoas da organização;

• Deve existir documentações objetivas e lúdicas explicando os principais serviços disponíveis pela IGA;

• Deve existir uma documentação de perguntas e respostas frequentes;

• Verifique a possibilidade de usar um chatbot com IA para fazer o primeiro atendimento ao usuário final.

Estratégia 07: Aproveita o momento, é hora de fazer uma faxina

O melhor momento para fazer uma faxina no ambiente é quando estamos implantando uma IGA. As integrações com as aplicações nos dão a possibilidade de fazer sincronizações das contas e acessos para dentro da IGA e aquelas contas de funcionários e terceiros desabilitados que estavam esquecidas, passaram a ser notificadas na IGA como contas órfãs. As contas órfãs são contas que existem nas aplicações e sistemas, mas não possuem uma identidade na IGA. Essas contas são um risco latente para a organização e muitas vezes são notificadas em auditorias.

Agora, é momento de gerar relatórios na IGA e solicitar que o dono da aplicação realize a limpeza dessas contas para evitar riscos e apontamentos de auditoria.

Em suma, essa descoberta e limpeza de contas órfãs são etapas, respectivamente, chamadas de Get Visibility e Get Clean.