terça-feira, 26 de junho de 2018

Por que fazer a Gestão de Identidade?


Julho de 2018 – De acordo com a pesquisa “2018 Thales Data Threat Report” 67% das empresas do mundo já sofreram violação de dados, dessas 42% já haviam sido fraudadas. Há muitas empresas que mantêm por vários meses acessos de ex-funcionários em seus sistemas de ERP, o que acarreta um custo maior no pagamento de licenças desnecessárias. Algumas companhias têm recorrido ao serviço de Gestão de Identidade ou Identity and Access Management (IAM) com o objetivo de realizar um monitoramento das contas dos usuários e os perfis correspondentes; minimizar a vulnerabilidade dos sistemas e do banco de dados de uma empresa; prevenir fraudes e prejuízos gigantescos.

Não é uma tarefa fácil. Em média uma pessoa tem que decorar pelo menos o login de cinco sistemas diferentes como login de rede, ERP, e-mail, portal RH, VOIP além de outros mais específicos de cada área da empresa.  É preciso realizar um trabalho em conjunto que envolva departamentos importantes como TI, Controladoria e RH. Vamos a um exemplo bem prático.

Recentemente foi descoberto que um ex-funcionário de uma operadora de TV tinha acesso ao banco de dados da empresa por meio do seu computador pessoal. Realizava procedimentos invasivos e alterava o valor das contas dos clientes, que intermediava, em pelo menos três cidades da região metropolitana de São Paulo. Só para ter uma ideia, em alguns casos o valor contratado era reduzido para 10% do valor contratado, resultando num prejuízo de quase R$3 milhões para as operadoras. Outro caso de violação de dados ocorreu numa empresa dos Estados Unidos, onde um funcionário insatisfeito criou um usuário com poderes de administrador. Na véspera de se desligar da empresa, apagou informações chaves que impactaram a operação de 88 servidores, provocando um caos.

Mas, afinal como funciona a Gestão de Identidade?

Quando a empresa opta pelo serviço de Gestão de Identidade o risco de fraude ou erro não intencional é minimizado. Com este processo implementado, o usuário terá acesso somente aos dados importantes para desempenhar suas funções e o que for excesso será removido, para que não haja mal-uso.

A Gestão de Identidade trabalha com a segregação de acessos, ou seja, considera a função exercida pelo usuário e as correlações com outros integrantes e sistemas. Para evitar surpresas e diminuir fraudes, revisões periódicas e análises no perfil dos funcionários são imprescindíveis, para que identifiquem acessos desnecessários em seus sistemas.

Além da análise individual das contas, a Empresa precisa atentar-se aos inter-relacionamentos de sistemas. Um funcionário, por exemplo, que tenha acesso aos sistemas de “supply chain” e contas a pagar, pode aumentar o risco de fraude. Ele pode facilmente simular necessidade de compras de peças em um sistema e autorizar o pagamento no outro.

Para auxiliar as empresas, existem no mercado alguns softwares especialistas na gestão de identidade e são integrados com os principais sistemas de ERPs. 

As melhorias que a Gestão de Identidade traz para as empresas são:

·         Disponibilização dos usuários, perfis e acessos mais rápidos

·         Melhoria nos relatórios de auditoria e na satisfação dos usuários

·         Gerenciamento centralizado, tornando mais simples o atendimento de normas e regulamentações

·         ROI (Retorno do Investimento)

o   Melhoria da gestão das informações por volta de R$ 1 mil/ano por usuário

o   Economia de aproximadamente R$ 10 mil por auditoria, pois as informações já estão controladas

o   Economia média de R$ 650,00/mês por usuário com licenças de softwares para ex-funcionários ainda ativos nos sistemas da empresa

o   Redução dos custos do Service Desk, quase 30% do custo é relacionado a acesso de usuários



Dicas importantes na Gestão de Identidade

         Todo login deve ter apenas um responsável

         Não compartilhar login

·                  Utilize Acesso Simplificado (Single Sign-on) sempre que possível

         Validar regularmente a base de usuários ativos

         Em caso de desligamento, bloquear os acessos imediatamente e eliminar conforme política de retenção

         Tenha a política de expiração de usuários automatizada

Artigo escrito por: Marcos Gomes - Executivo de Segurança e Tecnologia da Informação da innovativa

Para mais informações sobre a Gestão de Identidade, contate: www.innovativa.com.br/gestaodeidentidade

GDPR - Lei Européia de Proteção de Dados