10 dicas para medir eficácia da governança de identidade

Na comunidade de segurança de TI, iniciativas de gerenciamento de acesso e identidades (IAM) são consideradas de alto valor. Mas os processos, tecnologias e diretivas para gerenciar identidades digitais e controlar a forma como as identidades podem ser usadas para acessar recursos são notoriamente problemáticas para implementar.

Este dilema tem levado ao aumento do que é chamado de governança de identidade, que envolve a definição e execução de processos de identificação relacionados aos negócios que são mais críticos para a organização.

Aqui estão dez medidas mais comuns para medir a eficácia da governança de identidade.

1. Volume de redefinição de senhas por mês

Esse é um clássico no gerenciamento de identidade, e também ponto-chave para ajudar as organizações a medir a eficácia de seus programas de IAM. Se as senhas não forem trocadas periodicamente, as políticas da organização, a senha e a ferramentas de gestão exigem um olhar mais atento.

2. Número médio de diferentes logons por usuário

Outro clássico do IAM, e por muitos anos, uma justificativa para a contratação de sistemas Single Sign-on (SSO). Um usuário empresarial típico precisa fazer logon várias vezes para obter acesso aos diversos aplicativos comerciais usados em seu trabalho. E a média de contas por usuário varia de dez a 12.

A necessidade de lembrar várias senhas é uma das principais causas de problemas. Razão pelas quais as organizações devem se esforçar para fazer a média de contas únicas por usuário cair para a menor quantidade possível. A capacidade de fazer logon uma vez e obter acesso a vários sistemas, deve ser o ‘sonho dourado’ dos projetos de gerenciamento de identidades.

3. Número de contas não correlacionadas

São contas que não têm dono, e ocorrem mais frequentemente quando uma mudança acontece, como uma promoção ou uma demissão, e as contas dessa pessoa não são administradas corretamente. Muitas contas não correlacionadas podem levar a riscos desnecessários.

4. Número de novas contas provisionadas

Esse número deve acompanhar de perto a quantidade de novos colaboradores para a organização. Um programa eficaz de IAM deve estar preparado para receber novos usuários que precisem ter acesso aos sistemas e aplicações. Se há uma discrepância significativa entre o número de contas provisionadas e o número total de novos usuários durante um determinado período, esse desequilíbrio indica processos ineficientes ou dados de identidade pobres.

5. Tempo médio necessário para o fornecimento ou prestação de-um usuário

Isso mostra quanto tempo um novo usuário espera para ter acesso aos recursos de que precisa para fazer seu trabalho. Tem implícito a produtividade e ramificações no retorno do investimento (ROI). Essa métrica pode sinalizar um processo de negócio que precisa ser revisto e possivelmente ajustado.

6. Tempo médio necessário para autorizar uma mudança

Essa métrica pode fornecer insights sobre a eficiência dos processos de aprovação de uma organização. Por exemplo, se há quatro pessoas envolvidas na aprovação do acesso de um representante de vendas ao sistema Salesforce.com, e a senha de acesso levar duas semanas para ser concedida, esse representante de vendas estará limitado na sua capacidade de vender. Saber quanto tempo leva para obter aprovações pode ajudar a identificar gargalos de processos.

7. Número de sistema ou de contas privilegiadas sem dono

Elas surgem, quase sempre, quando pessoas que tinham acesso a recursos importantes recursos, não precisam mais desse acesso, mas nunca têm seus privilégios removidos. O problema aqui é óbvio: quem não quer contas privilegiadas, órfãs?

8. Número de exceções por ciclo de acesso à re-certificação

Um número elevado de exceções é um forte indicador de má qualidade de dados de identidade (por exemplo, muitos usuários terem acesso a recursos que eles não deveriam ter), ou de problemas no processo (isso é, a pessoa que solicita a re-certificação não ter todos os informações necessárias para concluir o processo).

9. Número de exceções de reconciliação

Exceções de reconciliação são tipicamente causadas pela incapacidade de uma plataforma confiável para IAM vincular uma identidade a uma conta em um sistema de destino. Essas exceções devem tender a zero ao longo do tempo, e qualquer pico deve desencadear uma investigação aprofundada e discussões mais aprofundadas.

10. Violações de separação de tarefas

Entre exemplos comuns de violações de separação de tarefas estão os desenvolvedores que têm acesso de administrador para bancos de dados de produção e os comerciantes que podem apresentar e aprovar suas próprias transações. São mais difíceis de capturar e medir, dada a sua sofisticação e ao cruzamento natural de funções. Aproveitamentos ilícitos desses perfis cruzados são do tipo que muitas vezes dão manchete. A organização deve implementar medidas de prevenção para controlar estas violações, comunicá-las e tentar remediá-las.

Muitas vezes é difícil entender o escopo e as ramificações destes tipos de pessoas e avarias de processo até que medidas concretas sejam tomadas para resolvê-las.

Só com as métricas adequadas as organização podem medir a sua eficácia e sucesso na gestão eficiente de acesso do usuário e fazer os ajustes necessários para colher significativos benefícios operacionais. Se você começou uma iniciativa de governança de identidade, deve tentar fazer o seu melhor para acompanhar algumas dessas métricas.