Gestão de Identidade

Ricardo Mavigno: Os sistemas escolhidos inicialmente foram aqueles considerados críticos para a certificação Sarbox, ou seja, sistemas que causam impacto no demonstrativo financeiro.

• ... e qual foi a tecnologia escolhida e por que motivo?

Ricardo Mavigno: Foi realizado um estudo onde envolvemos diversos fornecedores, e como resultado adotamos a Novell como parceiro para algumas iniciativas específicas. Entre os motivos para a escolha desse parceiro, podemos citar a abrangência da tecnologia, o nível de especialização e experiência no assunto gerencia de identidade, mas com certeza o fator determinante foi a capacidade de entrega e resolução de problemas.

SecurityInfos Dados a Salvo de Tragédias: você poderia dar uma visão geral a respeito da solução de gestão de identidades da sua empresa com relação aos aspectos de processo:

•Foi criado um workflow para aprovação de acessos?

Ricardo Mavigno: O workflow já existia, e foi revisado e aproveitado nos processos de provisionamento de contas de acesso.

•... e quais são as partes envolvidas?

Ricardo Mavigno: O fluxo mais básico envolve: o usuário (solicitante), o superior imediato (1o. aprovador), o normativo do sistema (2o. aprovador).

SecurityInfos Dados a Salvo de Tragédias: Processos de gestão de identidades costumam cobrir aspectos de Autenticação, Autorização e Administração, também conhecidos como os “três As” da Segurança da Informação. Em quais aspectos a sua empresa focou o projeto e por quê?

Ricardo Mavigno: O foco inicial foi a questão da autenticação (provisionamento e single-signon) e o estabelecimento de trilhas de auditoria, pois são os aspectos onde poderíamos obter ganhos mais rápidos, mas constituímos um programa onde todos os "três As" foram contemplados.

SecurityInfos Dados a Salvo de Tragédias: Como ocorreu a interação com as áreas de negócio? Houve mudanças na formalização das responsabilidades por IDs, senhas, acessos, etc.?

Ricardo Mavigno: Os processos de controle de acesso já estavam definidos, e a implementação da gestão de identidades automatizou esses processos e com isso não houve mudanças consideráveis na formalização das responsabilidades. Na verdade a existência prévia de processos bem definidos e experimentados, mesmo que de forma manual, é a principal condição para uma implementação bem sucedida da gestão de identidades.

SecurityInfos Dados a Salvo de Tragédias: A lei Sarbanes-Oxley foi um dos motivadores? Como o projeto de gestão de identidades ajudou nos aspectos de conformidade?

Ricardo Mavigno: A Sarbox não foi um motivador, até mesmo porque a idéia do programa surgiu muito antes da lei. A conformidade foi resolvida com os processos já existentes. A principal função do programa de gestão de identidades têm sido automatizar, estabelecendo melhorias no processo.
Não considero uma boa prática associar a certificação Sarbox a implementação de tecnologias, pois Sarbox trata primariamente de processos e controles, que devem ser implementados de forma independente.

SecurityInfos Dados a Salvo de Tragédias: Quais foram os principais desafios encontrados e lições aprendidas ao longo do projeto?

Ricardo Mavigno: A integração dos diversos sistemas foi com certeza um desafio, pois envolvia plataformas e tecnologias díspares que deviam ser alinhadas e integradas através da gestão de identidades. Entre as lições aprendidas podemos destacar a necessidade de definir padrões para o desenvolvimento e aquisição de sistemas, de modo que a integração com a gestão de identidades seja a mais transparente possível.

SecurityInfos Dados a Salvo de Tragédias: Foi possível calcular o retorno do investimento (RoI/RoSI)?

Ricardo Mavigno: Sim, e o retorno se deu principalmente em relação à automação de processos manuais e sua conseqüente agilização.

SecurityInfos Dados a Salvo de Tragédias: O projeto foi dividido em que etapas? Quais são os próximos passos?
Ricardo Mavigno: A primeira fase foi dividida nas seguintes etapas:
Etapa 01:
a) Automação do provisionamento de um kit básico para o usuário (acesso ao sistema de RH, universidade corporativa e Intranet)
b) Automação do ajuste do perfil do usuário na ocorrência de eventos de movimentação.
Etapa 02:
a) Portal para auto-atendimento de senhas.
b) Single-signon
Etapa 03:
a) Sincronismo de senhas entre os diversos sistemas

Estão previstas mais duas fases. Na segunda prevemos trabalhar a questão dos perfis de acesso e na terceira implementar a solução para mais sistemas.

Fonte: Security Info Dados a Salvo de Tragédias