Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

A diferença entre o provisionamento de usuários e o gerenciamento de acesso a dados do Identity and Access Management (IAM)

O Identity and Access Management (IAM) é “peça-chave” na integração do provisionamento de usuários com o gerenciamento de acesso a dados. Conheça os motivos.
Emilia Bertolli
2 minuto de leitura
Publicado 15 de Fevereiro de 2018
Ultima atualização 1 de Dezembro de 2023

O provisionamento de usuários não é um recurso substituto, nem mesmo um recurso de reposição para o gerenciamento de acesso a dados do Identity and Access Management (IAM). Ambos são importantes, mas suas diferenças são suficientes para colocá-los em categorias distintas.

O que é provisionamento de usuários?

Provisionamento de usuários é a criação e gerenciamento de acesso aos recursos da empresa. O acesso pode variar de contas de TI (CRM, e-mail, etc.) para equipamentos e recursos que não sejam de TI (crachá de acesso, telefone, carro, etc). Os administradores de TI, responsáveis pelo fornecimento de acesso, sabem que o provisionamento manual de acesso pode ser tedioso, complicado e, mesmo que haja uma lista de verificação, o risco de cometer erros é bastante alto.

Por isso, deve-se aproveitar ao máximo as opções disponíveis que permitem automatizar o fluxo do processo de provisionamento por meio dos sistemas de IAM. E para simplificar esse provisionamento, as empresas criam modelos – chamados de “funções” – que agrupam e atribuem valores específicos para cada conta corporativa.

Por exemplo: qualquer funcionário que atua em tempo integral no departamento financeiro da empresa vai receber acesso à conta de e-mail, autorização para a área de estacionamento e acesso aos sistemas de cobrança e pagamento. Posteriormente, esse funcionário pode sair do departamento financeiro e ingressar no departamento jurídico da empresa. Neste cenário, o IAM vai facilitar a mudança de acesso – como o funcionário já estava na empresa, ele terá a conta de-mail e o acesso ao estacionamento mantidos, mas o sistema vai revogar os direitos sobre os sistemas de cobrança e de pagamento para conceder acesso aos sistemas jurídicos.

Então, qual é o problema?

Com certeza, as soluções de IAM possuem listas completas de usuários e grupos dos diretórios. No entanto, um dos maiores desafios do provisionamento é mapear “quem” vai para a Lista de Controle de Acesso (ACL – ou Access Control List), pois, mesmo que os usuários estejam em grupos corretos, eles inevitavelmente acabam tendo muito mais acesso aos dados do que é necessário (ou relevante) para seus trabalhos.

Como o gerenciamento do acesso a dados funciona

Nesse contexto, a melhor forma de provisionar o usuário é promover a integração com o gerenciamento de acesso por meio de grupos, levando em consideração que uma ACL consiste em vários grupos com vários direitos. Por exemplo: a ACL vai ter um grupo com permissão para leitura dos dados, enquanto outro grupo vai ter permissão para leitura e gravação dos dados.

Na teoria, isso parece simples o suficiente para controlar a segurança, mantendo os usuários nos grupos certos e os grupos nas respectivas ACLs. Porém, a realidade é diferente: links entre usuários, grupos e dados são quebrados ao longo do tempo. Muitas vezes, esses usuários são adicionados a grupos e nunca são removidos. Mais do que isso, as ACLs são modificadas para incluir grupos que não estão relacionados aos dados que deveriam proteger. Ou, pior ainda, os grupos são adicionados a outros grupos, complicando ainda mais a situação e causando o “efeito cascata”.

Para gerenciar o acesso a dados adequadamente, é vital garantir que os grupos de segurança realmente concedam acesso aos grupos de usuários corretos, de modo a evitar conseqüências não desejadas – como adicionar um usuário a um grupo aparentemente inócuo, mas, por meio do “agrupamento de grupo”, acabar permitindo o acesso a dados comerciais críticos ou sensíveis.

Analisando essa complexidade dos detalhes práticos no gerenciamento de acesso a dados, podemos concluir que o provisionamento do usuário para recursos de TI é muito importante para a segurança, mas não é adequado utilizá-la como forma isolada de controle.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading