Modelo de Gestão de Identidades e Acessos para Pequenas e Médias Empresas

Abstract

Ao longo dos últimos anos, a temática da gestão de identidades e acessos tem recebido uma elevada importância na estratégia de cibersegurança das organizações, começando a existir uma maior consciencialização dos perigos resultantes de uma arquitetura de gestão de identidades e acessos ineficaz. A crescente complexidade dos requisitos de conformidade e segurança, tanto ao nível da informação como de sistemas, tem vindo a colocar uma pressão elevada nas empresas, podendo a ocorrência de transgressões ou acessos indevidos ter efeitos reputacionais e financeiros catastróficos. Mais do que uma iniciativa de tecnologias da informação (TI), a gestão de identidades e de acessos é uma mudança do ponto de vista organizacional como um todo, sendo fundamental garantir o envolvimento da liderança da organização desde a fase inicial do programa. Contudo, são várias as tentativas de implementação de uma gestão de identidades e acessos eficiente, que acabam por fracassar devido à definição de uma abordagem inicial demasiado agressiva e ambiciosa. Factores como a ausência de investimento organizacional, a resistência à mudança por parte dos intervenientes envolvidos, ou ainda, a falta de interesse e/ou de conhecimento sobre o tema, contribuem para uma reduzida percentagem de sucesso. Desta forma, a presente dissertação tem como finalidade a elaboração de um modelo para gestão de identidades e acessos que possa ser usado como guia na implementação destes conceitos em pequenas e médias empresas. O modelo definido tem como base a metodologia global da EY, adaptando-a ao contexto nacional. A implementação do modelo resultante irá permitir a definição de um programa de gestão de identidades e acessos eficiente, concreto e realista, de forma a reduzir os riscos de acessos indevidos a sistemas e aplicações, a aumentar a produtividade dos diversos utilizadores e, ao mesmo tempo, garantir a conformidade com as politicas e procedimentos de controlo de acessos existentes na organização.

Throughout the last years, identity and access management has seen an increasing in importance regarding the definition of the strategy of cybersecurity of organizations, by starting to have a higher notion of the dangers that may result from an ineffective identity and access management architecture. The increasing complexity of compliance and safety requirements, at both the systems and information levels, started to put a higher pressure on companies, since the occurrence of transgressions or improper accesses may affect the reputation of the company and have catastrophic financial consequences. More than a simple IT initiative, identity and access management is an important shift in the organizational point of view, being fundamental the involvement of the leadership of the organization since the beginning of the program. However, there are a lot of attempts to implement such system that end up with failure, thanks to an ambitious and agressive approach. Factors like the absence of organizational investment; the resistance to change; or even the lack of interest or knowledge about the subject, contribute to a small percentage of success. This way, the current dissertation has as a main goal the elaboration of a model for identity and access management that may be used as an implementation guide on small and medium companies . The model will be based on the global methodology developed by EY. The implementation of the final model will allow the definition of an efficient, concrete and realistic identity and access management program, that may be able to reduce improper application and system accesses ; increase user productivity; and, at the same time, guarantee the compliance with the entity’s access politics and procedures.