A diferença entre o provisionamento de usuários e o gerenciamento de acesso a dados do Identity and Access Management (IAM)

O provisionamento de usuários não é um recurso substituto, nem mesmo um recurso de reposição para o gerenciamento de acesso a dados do Identity and Access Management (IAM). Ambos são importantes, mas suas diferenças são suficientes para colocá-los em categorias distintas.

O que é provisionamento de usuários?

Provisionamento de usuários é a criação e gerenciamento de acesso aos recursos da empresa. O acesso pode variar de contas de TI (CRM, e-mail, etc.) para equipamentos e recursos que não sejam de TI (crachá de acesso, telefone, carro, etc). Os administradores de TI, responsáveis pelo fornecimento de acesso, sabem que o provisionamento manual de acesso pode ser tedioso, complicado e, mesmo que haja uma lista de verificação, o risco de cometer erros é bastante alto.

Por isso, deve-se aproveitar ao máximo as opções disponíveis que permitem automatizar o fluxo do processo de provisionamento por meio dos sistemas de IAM. E para simplificar esse provisionamento, as empresas criam modelos – chamados de “funções” – que agrupam e atribuem valores específicos para cada conta corporativa.

Por exemplo: qualquer funcionário que atua em tempo integral no departamento financeiro da empresa vai receber acesso à conta de e-mail, autorização para a área de estacionamento e acesso aos sistemas de cobrança e pagamento. Posteriormente, esse funcionário pode sair do departamento financeiro e ingressar no departamento jurídico da empresa. Neste cenário, o IAM vai facilitar a mudança de acesso – como o funcionário já estava na empresa, ele terá a conta de-mail e o acesso ao estacionamento mantidos, mas o sistema vai revogar os direitos sobre os sistemas de cobrança e de pagamento para conceder acesso aos sistemas jurídicos.

Então, qual é o problema?

Com certeza, as soluções de IAM possuem listas completas de usuários e grupos dos diretórios. No entanto, um dos maiores desafios do provisionamento é mapear “quem” vai para a Lista de Controle de Acesso (ACL – ou Access Control List), pois, mesmo que os usuários estejam em grupos corretos, eles inevitavelmente acabam tendo muito mais acesso aos dados do que é necessário (ou relevante) para seus trabalhos.

Como o gerenciamento do acesso a dados funciona

Nesse contexto, a melhor forma de provisionar o usuário é promover a integração com o gerenciamento de acesso por meio de grupos, levando em consideração que uma ACL consiste em vários grupos com vários direitos. Por exemplo: a ACL vai ter um grupo com permissão para leitura dos dados, enquanto outro grupo vai ter permissão para leitura e gravação dos dados.

Na teoria, isso parece simples o suficiente para controlar a segurança, mantendo os usuários nos grupos certos e os grupos nas respectivas ACLs. Porém, a realidade é diferente: links entre usuários, grupos e dados são quebrados ao longo do tempo. Muitas vezes, esses usuários são adicionados a grupos e nunca são removidos. Mais do que isso, as ACLs são modificadas para incluir grupos que não estão relacionados aos dados que deveriam proteger. Ou, pior ainda, os grupos são adicionados a outros grupos, complicando ainda mais a situação e causando o “efeito cascata”.

Para gerenciar o acesso a dados adequadamente, é vital garantir que os grupos de segurança realmente concedam acesso aos grupos de usuários corretos, de modo a evitar conseqüências não desejadas – como adicionar um usuário a um grupo aparentemente inócuo, mas, por meio do “agrupamento de grupo”, acabar permitindo o acesso a dados comerciais críticos ou sensíveis.

Analisando essa complexidade dos detalhes práticos no gerenciamento de acesso a dados, podemos concluir que o provisionamento do usuário para recursos de TI é muito importante para a segurança, mas não é adequado utilizá-la como forma isolada de controle.