UM ESTUDO SOBRE A AVALIAÇÃO DO CONTROLE DE CONCESSÃO DE ACESSOS EM GERENCIADORES DE IDENTIDADE (IAM) EM COMPUTAÇÃO EM NUVEM PELA AUDITORIA DE SISTEMAS

Resumo

O aumento da adoção da computação em nuvem pelas organizações resulta em benefícios ao mesmo tempo em que traz novos riscos para o ambiente de tecnologia. As ameaças devem ser identificadas, os riscos devem ser mapeados e controles devem ser atribuídos e implementados para garantir a segurança da informação no ambiente. Na computação em nuvem, existe o risco de acesso indevido e, para evita-lo, é disponibilizado um serviço que possibilita realizar a gestão e controle de usuários denominado gerenciador de identidade e acesso (Identity and Access Management - IAM). O IAM, por ser o serviço que suporta a gestão de acessos no ambiente, deve ser avaliado pela auditoria de sistemas que irá validar se as configurações e políticas aplicadas pela organização, para este serviço, estão em conformidade com as medidas de prevenção a acessos indevidos. Neste contexto, este estudo busca identificar quais os controles devem ser avaliados pela auditoria de sistemas em um IAM, quais as configurações deste podem atender a estes controles e quais as recomendações de configuração para satisfazer a auditoria de sistemas.