O ciclo de vida da identidade digital: uma medida enérgica para a segurança informática

A gestão das identidades digitais está redescobrindo nos últimos anos um papel cada vez mais crucial na gestão dos aspectos de segurança das organizações IT.

Separation of duties (Sod), Sarbanes-Oxley Act (SOX), D.L. 30/06/2003 n. 196, Código da Administração Digital, art.4 da Diretiva 8/09 do Ministério da Administração Pública e a Inovação, D. Lgs 231/01: são apenas algumas das normativas que tornam ineludível a exigência de adotar soluções capazes de garantir a regulamentação e o controle das credenciais dos utilizadores e do controle acessos, identificando e gerenciando aquilo que se costuma definir “Identidade Digital”, traçando e memorizando todos os eventos conectados com o ciclo de vida de uma identidade digital (ativação, habilitação, mudanças de perfis, suspensões, revogações, reativação...).

Para implementar uma solução de IAG, Engineering utiliza uma abordagem que prevê uma atividade de assessment finalizada a compreender o contexto de business do cliente e a examinar a infraestrutura organizativa pré existente. A metodologia de análise utilizada baseia-se numa elevada experiência adquirida no âmbito de serviços de consulta, de padrões internacionais, como BS7799 e ITIL.

O estudo da situação corrente tem o objetivo de alcançar a descrição do modelo TO-BE a ser implementado, integrando e valorizando as soluções já em uso.

Engineering consolidou no tempo uma abordagem de projeto formalizada em um framework de referência denominado “Engineering's IAG metodology", constituído por best practice, check list e ferramentas com o objetivo de acelerar todas as fases de um projeto IAG.

Todas as fases previstas na metodologia têm como objetivo o de definir um conjunto de intervenções orientadas a adquirir os dados necessários para conhecer e compreender o cenário do cliente; atividades que consistem na análise e deteções a serem efetuadas com entrevistas diferenciadas dependendo da função desempenhada na empresa, e através de questionários a serem preenchidos ou check list predefinidas.

Objetivo final de toda esta atividade é:

  • identificar a estrutura dos dados a serem tratados pelo Sistema IAG com a finalidade de obter os resultados operativos previstos pelo modelo
  • identificar pontualmente, para cada um dos recursos a serem integrados, as características dos atuais processos de Identity Management (User Management e Serviços de Directory) e de
  • Access Management (Autenticação e Autorização) e estabelecer o gap em relação às correspondentes implementações no âmbito do Sistema IAG
  • identificar pontualmente, para cada um dos recursos a serem integrados, os requisitos técnicos para a efetiva integração.

A abordagem de Engineering para uma solução de Identity and Access Governance enfrenta, portanto, todo o processo subentendido à gestão das informações inerentes à identidade dos utilizadores e ao controle do acesso aos recursos empresariais, procurando perseguir os seguintes objetivos:

  • aumentar a produtividade e a facilidade de uso do sistema informático por parte dos utilizadores finais (diminuição do número de credenciais e de senhas, facilidade para poder recuperar credenciais esquecidas e/ou vencidas...), reduzindo o custo do pessoal do Help Desk dedicado a este serviço
  • aumentar o nível geral da segurança, diminuindo os custos associados à gestão dos utilizadores e das suas identidades, respectivas atribuições e credenciais e da gestão dos próprios perfis autorizativos, à gestão dos diversos eventos que podem entrar na modificação de um perfil e ao consequente realinhamento desta informação sobre todos os sistemas informativos integrados no sistema IAG e cujo comportamento é condicionado pelo papel atuado pelo utilizador.

Na fase de assessment, graças ao seu centro de competência IAG, Engineering é capaz também de avaliar as soluções tecnológicas mais idôneas para o contexto organizativo e tecnológico do próprio cliente.

Engineering é parceiro certificado de produtos líderes, como Crossideas, IBM, Oracle, Microsoft.

ENEL, Alitalia, Piaggio, Ministério da Saúde, Banca Marche, Banca Popolare di Milano, Piaggio, Ministério do Interior, UNIRE são alguns dos principais clientes que implementaram os próprio sistema IAG graças ao suporte dos especialistas de Engineering.