Para que projetos de transformação da identidade conquistem espaço próprio, é preciso que os seus proponentes desenvolvam um capital político
Por Raphael Saraiva – Arquiteto de Dados e Líder de Inovação na Netbr
A definição e implementação de programas de IAM costuma mobilizar toda a complexidade da estrutura de TI.
Isto impacta de duas formas a deflagração e continuidade dos projetos: na fase inicial, há uma tendência à inércia, em função da grande quantidade de exigências imbricadas e suas consequências em termos de custo e de perturbação para o ambiente.
Despesas adicionadas de upgrade em contratos de software e substituição de aplicações não integradas, bem como elevados custos de desenvolvimento se aliam a tais perturbações, tornando o horizonte mais turvo.
No mesmo diapasão, a continuidade dos projetos tende à frustração devido à dificuldade de sincronizar as expectativas gerais, descritas no programa maior, com as entregas efetivas, trazendo a sensação de um interminável tempo de retorno.
De modo que, em muitos casos, os projetos de identidade vão sendo adiados ou descontinuados.
Ou então, vão se resolvendo apenas pontualmente, através de soluções caseiras e focadas em problemas departamentais específicos.
E isto a partir de investimentos tímidos e rubricados apenas lateralmente no orçamento genérico de TI ou de segurança.
Para que projetos impactantes e abrangentes de transformação da identidade conquistem espaço próprio, é preciso que os seus proponentes (CISOs, CIOs, CTOs ou afins) desenvolvam um capital político no interior da corporação para angariar o apoio executivo entre os seus pares e na hierarquia do negócio.
O patrocínio financeiro da cúpula e o endosso técnico (ou engajamento) dos vários proprietários de aplicações e negócios, bem como dos usuários, pode ser facilitado com um roteiro conscientemente elaborado de justificativas e comunicação do projeto.
Sem querer esgotar o assunto, listamos abaixo alguns tópicos e dicas, refletindo a experiência de CISOs e especialistas em IAM apresentados no seminário online “Justificativa de Projetos”, promovido pelo IDforum.
1 – Defina um escopo plausível.
A incorporação ou avanços da tecnologia de IAM suscita tantas possibilidades e exigências de integração, e mudanças na estrutura de TI, que o escopo do projeto tende a se agigantar a ponto de parecer pouco viável.
Para não cair no implausível técnico e financeiro, o proponente deve trabalhar com uma perspectiva unindo a teoria e a prática.
Ou seja: enxergar uma arquitetura de IAM em termos ideais, para o modelo de negócio, e criar um calendário de entregas compatível com os recursos e necessidades mais imediatas.
Uma forma de descrever esta estratégia é entender a IAM como um programa (praticamente permanente) de melhoria contínua dos processos de identidade e trabalhar com um “roadmap” baseado na entrega de lotes de projetos com time-to-market e orçamento assimiláveis.
2 – Faça um mapeamento de riscos e oportunidades
Os proponentes necessitam apresentar a justificativa de projeto baseada em argumentos palpáveis, com diagnósticos de riscos e oportunidades de negócio para os diferentes interessados.
Até muito recentemente, os projetos de IAM se justificavam principalmente na fase de “autópsia”, depois da ocorrência de violações, mas esta realidade mudou principalmente durante a pandemia.
Com a explosão do trabalho remoto e a entrada em vigor da LGPD, ocorreu uma aceleração de projetos, represados ou novos, em função de demandas de onboarding digital de trabalhadores domésticos e de consumidores de e-commerce.
Some-se a isto a necessidade de gestão de dados de terceiros, incluindo dificuldades como o gerenciamento de permissões e a aplicação de políticas de ciclo de vida, custódia e descarte destes dados de clientes.
Em paralelo a isto, o movimento para a nuvem cresce de forma exponencial.
A maior parte dos acessos a aplicações “as a service” passam a ser efetuados a partir de conexões remotas, e não mais no interior do perímetro.
Trazendo, portanto, novas vulnerabilidades, sem falar nas ameaças antes não existentes, baseadas em inteligência artificial e direcionadas a violações de identidades e credenciais de acesso.
De tal modo que as justificas voltadas para o controle (segurança, compliance e documentação de acessos) passaram a ser melhor assimiladas, facilitando a venda interna de projetos.
Mas ainda com esta evolução, o ambiente corporativo continua com as típicas limitações do caráter custo restritivo da TI e da visão da segurança como centro de custo, e não motor de negócio.
Antes de ambicionar emplacar programas inovadores de transformação da identidade, é preciso começar pelo mapeamento da arquitetura de acesso e o inventário de identidades, seus propósitos e suas funções no negócio.
Um levantamento que inclui a identificação e descrição detalhada do legado de soluções de identidade e suas possibilidades de orquestração com novas tecnologias, ou apontando para a fatalidade de sua obsolescência.
Sem esquecer o recenseamento, descrição e classificação das identidades existentes na rede juntamente com a limpeza de credenciais redundantes, indevidas ou órfãs.
Este é o pré-requisito para se isolar os circuitos de risco, insegurança jurídica ou ineficiência operacional e apontar o futuro e o roadmap com as prioridades de entrega de uma forma palatável para os patrocinadores internos.
Em outros termos, estamos falando da conexão lógica, a ser apresentada ao patrocinador, entre a arquitetura de acesso e as políticas de identidade com as premissas do negócio-fim e seu modelo operacional.
3 – Comece pelo principal ou mais fácil
Uma vez definido o escopo de longo prazo de melhoria do ambiente de produção, via gerenciamento da identidade, o passo seguinte mais importante é vencer a inércia inicial, destravando o início do processo de transformação.
Um caminho recomendável é o de eleger a revisão de processos que tragam ganhos visíveis em prazos tangíveis, como são, em geral, aqueles relacionados com a gestão da força de trabalho, tais como o controle de privilégio e a aplicação de MFA.
Enfim, iniciativas capazes de agilizar processos de autenticação, fortalecer a segurança da arquitetura de acesso e criar um ambiente favorável ao início da automatização com time-to-market atraente.
É claro que haverá casos em que a prioridade possa ser o gerenciamento da identidade de consumidores ou de entidades não humanas, mas o que interessa, no exemplo acima, é a clareza de propósito.
Havendo esta clareza, com a exposição de poucos slides, mostrando o encurtamento dos fluxos de execução e os ganhos imediatos em termos de mitigação de risco e melhoria de performance, o proponente consegue assim fortalecer o potencial de adesão dos patrocinadores do projeto.
4 – Lance mão de casos de uso comprovados.
A integração dos diversos silos de IAM, criados internamente para aplicações especificas, pode exigir novas e dispendiosas iniciativas de desenvolvimento interno, tornando o ciclo de evolução de IAM uma atividade sem ponto de partida ou de chegada definidos.
Por outro lado, há no mercado soluções especializadas ou abrangentes que são capazes de responder por 90% dos casos de integração de processos de identidade sem que seja necessário reinventar a roda.
Para típicas funções de controle de gestão de atribuição, controle de privilégio e gerenciamento de identidade de funcionários, as plataformas de mercado oferecem módulos práticos de absorver ou de substituir estas aplicações legadas, sem exigir desenvolvimento a partir do zero.
Lançar mão da existência dessas ferramentas e de seus casos de sucesso pode ser um importante trunfo de convencimento para fortalecer a justificativa de projeto.
Por outro lado, para funções mais complexas e com exigência de maior customização, existem hoje plug-ins, frameworks e elementos de orquestração que permitem integrar o legado com novas iniciativas (ou com as plataformas de mercado) e viabilizam projetos mais criativos, flexíveis e, portanto, mais assimiláveis.
Com o apoio de tais conectores, o proponente pode mostrar ao patrocinador como trazer para a governança da identidade aquelas entidades de controle mais complicado.
Como, por exemplo, a gestão de trabalhadores temporários e a governança de identidades não humanas, apontando, para ganhos em escala.
5 – Engate novas oportunidades nas demandas já existentes
Tal como a LGPD, a nuvem e o trabalho remoto contribuíram para facilitar os projetos voltados para segurança e compliance, as demandas urgentes da área de identidade podem servir de locomotiva para projetos incrementais em inovação de processos.
Ao obter o patrocínio para necessidades prementes, os proponentes estão a meio caminho de estender as iniciativas para propostas visando à melhoria da experiência do usuário e a automação gradual e combinada de modelos autoritativos.
A este propósito, os novos padrões operacionais e novas exigências de escopo tecnológico, relacionadas à nuvem múltipla e ao processamento dinâmico, devem ser considerados como trunfo para a justificativa de projeto e de investimentos em IAM.
6 – Defina métricas de ROI
Na fase de diagnóstico, é fundamental que os proponentes estudem com os proprietários de aplicação uma análise SWOT de seus processos de identidade para que daí sejam extraídos KPIs capazes de justificar o orçamento de forma quantitativa.
A estratégia de entregas faseadas, dentro do programa maior de transformação da identidade, permite que a apresentação dos resultados ajude a fundamentar a continuidade e ampliação do investimento a partir de cada entrega.
Métricas objetivas, como a redução do tempo de espera para o onboarding de trabalhadores, diminuindo o custo de horas paradas, ou a menor ocupação do helpdesk, são exemplos de tópicos persuasivos para os patrocinadores e partes interessadas.
É possível também dimensionar o prejuízo potencial representado por violações, tanto os financeiros quanto os de reputação de marca, operacionais ou jurídicos.
O mesmo valendo para o potencial de ganhos incrementais em tempos de autorização e execução de acessos, com reflexos diretos na experiência do cliente/usuário e na viabilização de novas frentes de receita ou contenção de custos.
7 – A comunicação dever ser parte do projeto
Embora se possa considerar a comunicação como um elemento acessório, nas abordagens mais recentes, este componente é integrante da estratégia de obtenção (e manutenção) do patrocínio, bem como na conquista de engajamento da comunidade de usuários.
Em certas equipes de advisory em IAM e transformação da identidade, recursos de áreas como marketing e RH, ou mesmo de serviços externos de consultoria comportamental, têm sido empregados para este fim.
Esta comunicação envolve a aplicação de técnicas facilitadoras da troca de experiência entre “owners” de aplicação, segurança, TI e usuários, tais como dinâmicas de grupos, brainstorming, técnicas de reunião e práticas de divulgação constante de resultados.
Esta comunicação permanente ajuda a manter a credibilidade diante dos patrocinadores, partes interessadas e usuários, incidindo diretamente sobre o comportamento desses últimos.
Em contraposição, a falta de comunicação pode esvaziar a empatia e colocar em risco o financiamento futuro, se os projetos sofrerem atrasos ou falhas na implementação que as partes interessadas não previam.
Raphael Saraiva é arquiteto de dados e líder de inovação na Netbr. Atua na área de segurança da informação há 18 anos, passando por Security Operations Centers, Implantação de projetos de IAM, análise de vulnerabilidade e testes de invasão.
Raphael tem experiência em investigação forense digital, com serviços prestados para duas das seis maiores empresas mundiais de tecnologia.
Governo publica regras de emissão da nova carteira de identidade
Como fica a identidade do brasileiro após o resultado das urnas?
Biometria e identidade auto-soberana podem resolver muitos desafios de autenticação
No futuro a identidade será reutilizável, distribuída e armazenada em nuvem soberana?
O Crypto ID reúne as principais notícias e artigos sobre as diversas tecnologias que identificam, no meio eletrônico, pessoas, empresas, equipamentos, aplicações e softwares. São artigos do Brasil e do Mundo, afinal, identidade digital é parte do nosso nome! Confira a coluna Identidade Civil e Digital.
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!