O desenvolvimento de negócios em nuvem e das chamadas “BeyondCorps” (empresas sem sede fixa, sem funcionários, sem limites por região) está provocando uma mudança rápida nos conceitos de gerenciamento de identidade e acesso a recursos de informação. A avaliação é do especialista André Facciolli, diretor da Netbr, uma das pioneiras nesta área no país.
Segundo ele, no Brasil como em todo o mundo, já vai se tornando consensual a abordagem da segurança de identidade e acesso de acordo com novos paradigmas.
É o caso da arquitetura de redes de confiança zero (“Zero Trust”, conforome definição da Forrester) e a arquitetura adaptativa de controle de risco (CARTA, Adaptive Risk and Trust Assessment, criada pelo Gartner).
“Em sintonia com a visão das BeyondCorps, é correto projetar a segurança como um barramento de serviços, em que a autenticação e a autorização passam a se orientar ao acesso (políticas, atributos, fortalecimento, risco, transação) e não somente ao objeto (máquina, dispositivo, aplicação ou arquivo) ou ao sujeito (entidade ou humano)”, prossegue o executivo.
Acima de tal barramento, o estrategista de segurança de identidade e acesso irá projetar o conjunto de regras de autenticação e autorização que se aplicam às entidades, no que diz respeito às suas relações com aplicações, arquivos, dispositivos e demais recursos da rede.
“Trata-se de um rearranjo de onde se obtém o conceito de ‘Identity as a Utility’, tal como entendemos outros serviços essenciais como energia, água ou combustível”, completa André Facciolli.
Identidade Preditiva
Uma tendência destacada pelo diretor da Netbr é a aplicação intensiva de aprendizado de máquina para automatizar processos de segurança de identidade, tornando-os ao mesmo tempo mais ágeis e adaptativos.
Ele aponta como exemplo, a plataforma de governança lastrada em inteligência artificial “Preditive Identity” revelada ao final de junho pela norte-americana Sailpoint, uma das parceiras mais importantes da Netbr.
Durante a Conferência Gartner Segurança & Gestão de Risco, a Netbr e a Sailpoint farão demonstrações da nova plataforma, que é capaz de analisar o contexto operacional de eventos de acesso e de se antecipar a comportamentos de risco por parte do usuário.
“Com esta solução analítica, a Sailpoint fortalece uma mentalidade que vê a automação como a única saída para o impasse que existe entre a segurança e a transformação digital. Mas a Predictive Identity vai além e, com o emprego de big data, consegue abstrair os fatores de risco para promover adaptações de segurança evitando riscos de acesso antes mesmo que eles se apresentem”, afirma.
LGPD à vista
Na expectativa de André Facciolli, a preocupação com o gerenciamento da identidade encontrará um impulso ainda maior no Brasil, a partir deste segundo semestre, em função da proximidade do “deadline” para que as empresas brasileiras se adequem às exigências da Lei Geral de Proteção de Dados – LGPD.
Sancionada em 2018, a LGPD começa a vigorar, exatamente, em um ano (agosto de 2020), mas um percentual alto de empresas ainda não iniciou projetos ou está em fase inicial de implementações.
Uma pesquisa de maio último, conduzida no Brasil pela Netbr em parceria com a Sailpoint, detectou que 69% das empresas se consideram pouco preparadas para atender à LGPD.
Estas mesmas empresas, aponta o levantamento, classificam o seu nível de conhecimento técnico em IAM num patamar 63% abaixo do ideal ou apenas incipiente, enquanto apenas 12% consideram seu nível alto.
“Desde meados do ano passado houve um crescimento visível no número de consultas e projetos na área de identidade e acessos, mas a nossa expectativa é que os investimentos nessas tecnologias cresçam acima de 50% nessa reta final da busca por conformidade com a norma”, conclui Facciolli.
Debate sobre LGPD e Identidade no Gartner
Na Conferência Gartner em um painel intitulado “Identidade como Serviços de CyberSecurity & Conformidade à LGPD”, a Sailpoint e a Netbr irão reunir especialistas em segurança da informação e executivos brasileiros envolvidos em projetos de alinhamento e automação na área de IAM para desenvolver um panorama sobre o estado atual dessa tecnologia no Brasil.
Entre os participantes do debate estarão responsáveis por grandes projetos de IAM no Brasil em áreas críticas nos segmentos financeiro, de indústria e serviços.
Os convidados são Ricardo Faria, Information Security Manager; Vitor Sena, Global Information Security Leader e Ricardo Zeviani, Superintendente de Segurança da Informação.
De acordo com André Facciolli, diretor da Netbr, um dos pontos centrais da discussão será em torno da modernização das estruturas de controle de identidade e acessos em ambientes de transformação digital, regidos por normas regulatórias de privacidade, especialmente num momento em que as empresas estão às vésperas da entrada em vigor da Lei Geral de Proteção de Dados (LGPD).
A segurança e a experiência do usuário
Na visão do superintendente de segurança Ricardo Zeviani, uma das principais dificuldades de implantação do IAM em empresas que lidam com grandes bases de dados críticos é construir um diagrama detalhado das interações de informação e de seus agentes e níveis de permissão.
“Em paralelo a esse diagrama, é preciso ter uma classificação clara dos dados da própria empresa e dos terceiros, para estabelecer as políticas de acesso e até mesmo de eliminação (ou preservação) de dados ociosos”, comenta Zeviani.
Já para Ricardo Faria, em se tratando de ambiente financeiro, o maior desafio do IAM é conseguir equilibrar o controle total de riscos com a necessidade de atender às exigências de agilidade e conforto dos usuários.
Concordando com esta visão, o CISO, Vitor Sena, assinala que a segurança precisa deixar de ser vista exclusivamente como um universo de problemas a serem combatidos e passar a ser encarada em sua dimensão produtiva.
“Na era da Indústria 4.0, em que todos os equipamentos e processos estão conectados, oferecer acesso seguro e ágil a dispositivos, aplicações e pessoas passa a ser uma condição competitiva e não apenas acessória. E isto muda radicalmente a compreensão das tecnologias de IAM”, prossegue o executivo.
Serviço
Painel: “A Identidade como Serviços de Cybersecurity e Conformidade à LGPD” – Conferência Gartner Segurança & Gestão de Risco
Dia: 14/08
Hora: 10h30
Para mais informações, acesse aqui.