Como a Inteligência Artificial (IA) pode nos ajudar no gerenciamento de identidades e acessos corporativos

Published in

ItauTech

11 min readJun 6, 2023

Por Thiago Ferraz da Silva, Subject Matter Expert em Arquitetura de IAM, com revisão de Homero Valiatti, Superintendente de Segurança da Informação no Itaú

Do lado esquerdo da imagem, há a frase “IA e gestão de acessos: aplicando inteligência artificial no gerenciamento de identidades e acessos corporativos”, sobre um fundo azul escuro. Do lado direito, há a foto de uma mão branca digitando em um teclado da mesma cor, próximo à folhas impressas e iconografias de cadeados em 3D.

Não é novidade que a Inteligência Artificial (IA) pode ser uma grande aliada para a automação de processos. Em muitos casos, ela pode ser aplicada para pouparmos o tempo que times gastariam com atividades operacionais, por exemplo, de forma com que tenham mais horas livres para realizar tarefas em que a ação humana é essencial e de maior valor.

No entanto, em muitas outras situações, será necessário encontrar um balanço entre as duas coisas. No artigo dessa semana, exploraremos como esse cenário se aplica no contexto de gestão de acessos em organizações, considerando os pontos positivos e negativos da automação de processos nesse contexto.

Análise de acessos em diferentes níveis organizacionais

Vamos abordar a análise de acessos baseada em IA e como ela pode nos ajudar a superar as limitações dos modelos tradicionais de sistemas de governança de identidade (IGA, Identity Governance and Administration, em português, Governança e Administração de Identidade).

Para isso, vamos iniciá-la da perspectiva dos seguintes papéis:

Liderança Executiva: Busca garantir que a organização esteja em conformidade com as regulamentações aplicáveis, incluindo a proteção de dados pessoais, financeiros e de propriedade intelectual. Além disso, se apoiam na análise de acesso para identificar e mitigar riscos, proteger a reputação da organização e seus ativos e garantir a continuidade dos negócios.

Equipes de Segurança: Monitoram o acesso aos recursos críticos, identificam padrões de uso e detectam atividades incomuns ou suspeitas que possam indicar uma ameaça à segurança, protegendo os recursos de TI da organização e evitando violações de segurança. Isso inclui o monitoramento do acesso a dados sensíveis, sistemas críticos, redes corporativas e aplicativos de negócios.

Equipes de Tecnologia: Atentos ao controle operacional dos acessos e às perguntas abaixo:

As aprovações de acesso são realizadas corretamente?
Como podemos ter certeza de que os privilégios estão corretos de acordo com a função do trabalho?
Qual é a real situação da empresa do ponto de vista de identidades e acessos?
Com posse dessa visão, podemos visualizar qual é a posição de risco da nossa empresa no constante à acessos?

Do ponto de vista operacional, a área de gestão de acessos também é responsável pelo provisionamento, criação e revogação de contas de usuário, a atribuição de permissões e a revisão de privilégios.

Com base nas responsabilizações e visões desses papéis, você já questionou quanto tempo, esforço e dinheiro estão sendo dedicados à essas atividades — e quanto poderíamos ganhar em termos de eficiência com a automação desses processos.

IA aplicada à governança de identidade

O objetivo da governança de identidade é encontrar um equilíbrio entre o aumento da produtividade operacional da equipe e a garantia de acesso seguro e confiável dentro da organização. Para fazer isso, é importante manter o ciclo de vida da identidade, bem como o ciclo de vida do acesso.

Mesmo ao usar ferramentas que nos ajudam a automatizar esses processos, chegamos às seguintes perguntas:

Como sabemos que nosso modelo de controle de acesso é adequado?
Como sabemos que não há erros humanos, de configuração ou de operação?
Como identificar um colaborador com intenções maliciosas, como por exemplo, intenção para fraude interna?
Como medir nossa posição de risco e se estamos alcançando adequadamente esse equilíbrio de produtividade operacional e segurança de acessos?

O que precisamos é de uma solução que nos ajude a conhecer nossa posição de risco em toda a organização e que aponte o excesso de recursos digitais existentes (identidades, perfis, privilégios) para corrigirmos quaisquer anomalias e garantirmos o princípio do menor privilégio. Abaixo, listamos alguns pontos que podem ser desafiadores atualmente, e que poderiam ser solucionados com uma aplicação inteligente de governança de identidade e acesso.

Como se preparar para atravessar desafios associados à governança de identidade?

Conformidade de acesso: tarefas de compliance podem exigir um esforço considerável, uma vez que as pessoas mudam de posição no trabalho, participam de vários projetos, saem da empresa etc. Todas essas mudanças devem ser refletidas de acordo com a política de gestão de acessos para atender aos padrões de auditorias internas e externas. É preciso garantir que os usuários tenham acesso apenas aos recursos apropriados e necessários para desempenhar suas funções.

Do lado operacional, verificamos os seguintes pontos:

Eficiência operacional: reduzir ao máximo a administração manual e automatizar os processos de aprovação e revisão de solicitações de acesso.
Ineficiência operacional: gerir acessos sem ampla visibilidade por parte do Negócio pode resultar em provisionamento excessivo de permissões.

Alavancando o negócio com automatizações: para atravessarmos esse desafio, é necessário automatizar o provisionamento de acesso, concedendo assim, o recurso certo, no momento certo e para o usuário certo. O desafio aqui é que fazer essas alterações manualmente torna o negócio menos eficiente e mais suscetível a erros humanos

Segurança e Gestão de Riscos: por isso, precisamos identificar o risco associado à organização. Saber quais são os recursos existentes, como por exemplo, aplicativos, bancos de dados e arquivos acessados pelos usuários, e quais permissões e funções existem disponíveis para acessar esses recursos, além de como elas são concedidas, irá nos ajudar aqui. Além disso, também é importante sabermos quais as permissões, grupos e funções trazem riscos quando associados a um usuário.

Superando o modelo tradicional com IA

Dadas as limitações do controle de acesso baseado em função e a razão pela qual as empresas investem em soluções de governança de identidade, não é o melhor caminho administrar os negócios usando previsões limitadas.

Sabemos que essas soluções fornecem um conjunto de recursos para gerenciar e controlar todo o ciclo de vida da identidade, desde a criação inicial do usuário até a exclusão do usuário quando o mesmo deixa a organização, assim como também ajudam no manuseio e na resolução de solicitações, aprovações e certificações de acesso.

Mas, em contrapartida, essas soluções tradicionais criaram barreiras para a evolução da organização, pois não resolvem a necessidade real — o que seria desenvolver um modelo que suporte a administração de acessos de forma dinâmica, considerando toda a organização. Isso só é possível com a utilização da Inteligência Artificial.

Em resumo, precisamos mudar a forma com que fazemos o gerenciamento de identidades. A inteligência artificial pode fornecer uma visibilidade 360° das identidades digitais da empresa e dos acessos dos usuários, coletar e analisar todos os dados de identidade, como contas, funções, atribuições e direitos para identificar posteriormente a segurança necessária para acessar dados e aplicativos, determinando até mesmo o grau de risco de cada acesso através de visualização em dashboard para tomada de decisões.

Com ela, o processo se torna dinâmico e pode ser executado continuamente, fornecendo à organização uma visão ampla e aprofundada dos riscos associados ao acesso dos usuários, bem como informações contextuais de toda a empresa e seus sistemas, determinando os direitos de acessos dos usuários de alto risco e fazendo recomendações para suas correções, além de sugerir melhorias para aprimoramento dos acessos.

No entanto, é importante lembrar que a implementação da IA em gestão de identidade e acessos também pode apresentar desafios. Por exemplo, a IA pode não ser capaz de distinguir com precisão entre atividades maliciosas e atividades legítimas, o que pode levar a falsos positivos ou falsos negativos. Além disso, a IA pode ser vulnerável a ataques cibernéticos, como ataques de envenenamento de dados, que podem comprometer a integridade dos dados usados para treinar a IA.

A IA tem o potencial de melhorar significativamente o gerenciamento de identidades e acessos, automatizando tarefas, detectando ameaças em tempo real e melhorando a eficiência geral do processo de IAM. No entanto, é importante abordar esses desafios e garantir que a IA seja usada de maneira adequada e segura.

IA e casos de uso em potencial

Solicitação de acesso: um exemplo típico é quando um usuário deseja acessar um aplicativo para o qual não tem permissão de acesso. Usualmente, ele deve abrir uma solicitação, que é avaliada por meio de um fluxo de aprovação, com alçadas específicas, que, na maioria das vezes, requer a execução de processos manuais.

Sabendo que com o uso da IA determinando o grau de risco de cada acesso geramos uma visualização unificada para tomada de decisões, por que não pedimos acesso automático para uma determinada função que sabemos que o grau de confiança é alto?

Por exemplo, se a IA demonstra que todos os analistas sêniores de uma determinada área possuem um direito (acesso), , caso um colaborador seja contratado com o mesmo cargo, por que o acesso não é solicitado automaticamente com base nesse cenário trazido pela IA?

Aprovação de acessos: nesse passo, o responsável pelo recurso ou acesso precisa revisá-lo ou aprová-lo. Normalmente, esse passo é apenas uma das etapas do fluxo de trabalho, que pode ser manual.

No entanto, se podemos solicitar automaticamente esse acesso com IA, sabendo que o analista atende aos critérios, também podemos aprová-lo automaticamente, certo? Como estamos falando de uma pontuação de alta confiança, a IA também pode ser aplicada aqui para facilitar nossa tomada de decisão.

Revisão de acessos: a revisão de acessos é um processo formal de validação de direitos de acessos dentro de sistemas e aplicativos. As organizações tradicionalmente realizam esse processo anualmente ou semestralmente, e antes da existência dos sistemas de gestão de identidades, esse processo era feito por meio de planilhas. Embora os sistemas de gerenciamento de identidades existam há algum tempo, as organizações ainda fazem revisões manualmente, e por muitas vezes os responsáveis ficam sobrecarregados com o número de revisões. Isso sem contar que, por esse motivo, acabam realizando as aprovações sem uma visibilidade total do negócio.

Seguindo a mesma premissa dos casos de uso anteriores, podemos automatizar a validação de todos os acessos que são de alta confiança. Ou seja, por que alguém tem que revisar isso anualmente, se já sabemos que todos os analistas sêniores precisam desse direito de acesso, por exemplo? Isso pode economizar tempo e esforço para as equipes de operação e administradores de segurança, além de reduzir o risco de erros humanos.

Otimização de perfil: o controle de acessos baseado em funções, mais conhecido como RBAC (Role-Based Access Control), é uma técnica de controle de acesso que nasceu há muitos anos e foi considerada ideal para grandes organizações. O RBAC consiste basicamente em definir funções (como gerente, suporte etc.) e atribuir permissões a elas, para em seguida atribuí-las a usuários e grupos (por exemplo um gerente pode ter acesso a informações financeiras confidenciais). No RBAC, o acesso é definido com base em funções em vez de indivíduos.

Hoje, essa técnica requer um grande investimento de tempo para a definição das funções e permissões do trabalho. Uma vez definidas, elas ainda infelizmente se tornam obsoletas rapidamente. Isso ocorre porque as organizações são atualmente muito dinâmicas e os negócios mudam constantemente, enquanto as permissões e funções são estáticas. Isso faz com que os administradores acabem gerando mais permissões ou direitos, o que por sua vez pode criar problemas para a organização. A segregação de responsabilidades é uma gestão complexa em que as organizações devem analisar quais direitos, permissões ou funções, fazem sentido manter e eliminando também as funções redundantes que até mesmo, podem não mais fazer sentido para o negócio.

Podemos utilizar a IA em conjunto com o RBAC otimizando essa jornada, obtendo vantagens ao simplificar a engenharia de funções como a redução do número total de papéis, ou grupos, ou perfis dentro da organização.

O que mais pode ser otimizado com Inteligência Artificial?

Além dos casos de uso mencionados, existem ainda outras vantagens estratégicas com o uso da IA. São elas:

Visibilidade global: considerando todas as fontes de identidade digital e controle de acesso da organização, a IA pode nos ajudar a ter uma visibilidade global de todos os usuários, aplicativos e recursos e todos os acessos de forma intuitiva e fácil de digerir com pontuações de risco.

Escalabilidade: com o uso da IA, somado aos dados armazenados em Data Lake, podemos ter alta escalabilidade com uma solução capaz de consumir dezenas ou centenas de milhões de pontos de informação para poder modelar os dados de forma automatizada e amplamente escalável.

Análise de Dados: a análise pode ser baseada inteiramente em dados, fornecendo visão geral que reflete a situação atual não sendo influenciada pelo julgamento humano.

IA transparente: podemos ter uma solução transparente e baseada em IA, não apenas em uma caixa preta, mas uma solução que gera resultados que agregam valor ao negócio. Neste caso, teremos explicações e justificativas sobre o porquê uma determinada previsão de risco foi alcançada para um determinado acesso.

Análise dinâmica: é possível obter análise dinâmica onde o processo é contínuo e as mudanças diárias de acessos na organização podem ser corrigidas através dessa análise em tempo real. Tudo isso combinado com escalabilidade e visibilidade, o que nos ajuda a detectar possíveis problemas de acesso a recursos trazendo solução, clareza e muito mais facilidade para a tomada de decisões.

Identificação de anomalias e ameaças em tempo real: com a análise de dados em tempo real, a IA pode detectar atividades suspeitas e bloquear o acesso imediatamente. Por exemplo, se um usuário tentar acessar um sistema várias vezes com informações de login incorretas, a IA pode detectar essa atividade como uma possível tentativa de ataque e bloquear o acesso.

Análise de comportamento do usuário: com a capacidade de aprender a partir de dados históricos, a IA pode identificar padrões de comportamento dos usuários e, assim, detectar atividades suspeitas ou fora do padrão. Por exemplo, se um usuário geralmente acessa determinados arquivos ou sistemas em horários específicos, a IA pode detectar uma atividade suspeita se esse usuário tentar acessá-los em horários diferentes ou de um local desconhecido.

Gestão de Senhas: a IA pode ser usada para gerar senhas seguras e exclusivas para cada usuário, além de monitorar senhas fracas ou vulneráveis e notificar os usuários para atualizá-las. Isso ajuda a evitar o uso de senhas fáceis de adivinhar ou reutilizáveis, que podem ser facilmente comprometidas.

Autenticação biométrica: a IA pode ser usada para verificar a identidade dos usuários com base em características biométricas, como reconhecimento facial, impressão digital e reconhecimento de voz. Essa técnica de autenticação é muito mais segura do que a autenticação baseada em senha, pois é muito mais difícil de falsificar.