Um grande número de empresas passou a enxergar a solução IGA como evolução natural dos projetos de transformação
Por Allan Mariani – Arquiteto de Identidade e Cientista de Dados na Netbr
Mesmo reconhecendo o conceito de IAM (Gerenciamento de Identidades e Acessos) como indispensável em médias e grandes estruturas de TI, uma parte das empresas focou a questão de forma pragmática (e eu diria, incompleta) ao longo da última década.
Como parecia complexo demais (e talvez muito caro) radicalizar na implementação de IAM, uma saída provisória foi centrar fogo na população portadora de credenciais com privilégio, através de arquitetura PAM (Privileged Access Management). Algo até compreensível, já que é um contingente muito menor de identidades, mais fácil de resolver, com um potencial de risco mais alto.
Havia, portanto, a crença de que resolvendo esta linha mais crítica, dava para obter uma estrutura de controle de identidade e acessos aceitável. Bastava combinar a aplicação de PAM com uma boa administração de senhas e outras formas de credenciais.
Isto se daria, por exemplo, através das soluções mais à mão, como cofres de senhas, planilhas de credenciais e “IT Asset Managers”, criando-se essa camada de proteção que vai desde a concepção até a descontinuidade da credencial.
Mas, de 2010 para cá as coisas mudaram. Isto porque a digitalização acelerada e a chamada economia das APIs trouxeram um cenário bem mais instável e nebuloso.
Já em meados de 2013, o Gartner constatava que a arquitetura IAM precisaria não só ser plena – indo além do controle de privilégio – como teria de olhar para uma camada mais alta: acima do gerenciamento, deveria ser superposto o degrau da Governança e Administração. Fixa-se aí a sigla IGA (Identity Governance and Administration) como um horizonte mandatório.
Abaixo do IAM, como sabemos, existe um conjunto de funções que compõem o ciclo do acesso. Este conjunto abarca a gestão do fluxo, as tarefas de atribuição e provisionamento do usuário, com suas dimensões e seus direitos, a autenticação multifator e o gerenciamento de credenciais.
Uma consciência para a rede
Com a camada de governança sincronizando esse conjunto de elementos (em muitos casos, assíncronos), todas as regras de negócios visando a segurança, a performance e os objetivos-fins da política de acessos, passam a formar numa superestrutura ubíqua. Algo que, associado à IAM, pode ser entendido como a “consciência da rede”.
Com ela, se viabiliza a compreensão sistêmica dos componentes IAM, juntamente com a aplicação orquestrada das imposições fixas ou dinâmicas do arcabouço legal-normativo (SOX, LGPD, PCI-DSS, KYC, etc).
Sem esta camada superior, a arquitetura de dados esbarra na inviabilidade de se conceder acesso ágil às informações e funções críticas da rede, agora em permanente dinamismo, sem risco excessivo de segurança, ou sem comprometer a performance (ou a experiência) em alguma parte da esteira de autorização e execução das permissões relativas às identidades.
Com o advento da Covid, surge uma situação ultra massificada de home office e uma complexidade de acessos e micro gerenciamento muito maiores.
Daí, um grande número de empresas passou a enxergar a solução IGA como evolução natural dos projetos de transformação, associados à filosofia de zero trust.
Ao contrário do modelo de segurança perimetral, cuja premissa é “confiar e verificar”, a arquitetura de Zero Trust preza que, por padrão, as organizações nunca devem confiar em qualquer entidade interna ou externa que solicite acesso, e isso vem se tornando cada mais dominante.
Benefícios como a automação dos processos de provisionamento, credenciamento just-in-time, logon único, federação, autenticação por contexto já vinham se tornando uma ambição dos projetos de arquitetura.
Agora, no mundo pós-pandemia, novas funcionalidades de acesso, como o login-digital da força de trabalho, de clientes, de correntistas, de colaboradores temporários não podem mais esperar um desenvolvimento por etapas, e precisam ser implementadas a despeito de limitações do legado.
Joint, Mover and Leaver
Com uma instância de IGA bem constituída, a administração consciente pode automatizar as funções de JML (Joiner, Mover and Leaver), entregando à comunidade de usuários o poder de ingresso quase instantâneo a todos os dados e aplicações pertinentes a suas necessidades e às necessidades de negócios.
Tudo isso sem precisar apelar a medidas manuais ou protelatórias de checagem e autenticação e empregando caminhos evolutivos que permitem preservar ao máximo a engenharia legada.
A atenção dos gestores pode então se voltar para os painéis de supervisão e controle da população de credenciais e dos fluxos de acesso, ao invés de se deter em rotinas particulares de análise de requisições de permissões e atributos caso a caso de pequenos em pequenos lotes.
Com a constituição da camada de IGA, as credenciais humanas ou lógicas podem ser provisionadas de maneira automática e documentadas, termo a termo, na trilha de auditoria, com todas as suas liberdades e limitações relacionadas à hierarquia, à atividade laboral, ao esquema de transações do negócio ou segundo as aplicações específicas.
Ao adotar essa arquitetura, empresas com milhares de funcionários, trabalhando de forma concentrada ou dispersa em nível planetário, podem produzir modelos de kits de Onboarding/Offboarding padronizados.
Estes kits são capazes de reduzir para alguns minutos certos processos de credenciamento de trabalhadores que antes poderiam levar várias semanas.
E sendo que a Governança garante consciência permanente do ciclo das identidades, com processos dinâmicos e incessantes de certificação, re-certificação e descredenciamento automático.
Com isto, o gestor obtém igualmente a tranquilidade de saber da inexistência de credenciais órfãs no ambiente, bem como de credenciais com atributos hipo ou hiper dimensionados, após a passagem de um trabalhador de um departamento a outro.
Em tempos de mudanças de paradigma nas relações de trabalho. Em tempos demandas digitais, que se caracterizam pela alta volatilidade e por estratégias de customer-centric, ancoradas na análise de dados velozes, captados em regime de big data, uma plataforma de credenciamento ou autenticação morosa pode representar a perda de eficiência ou uma operação sempre temerosa diante do risco sistêmico.
Com a visibilidade e orquestração “sub-judice”, trazidas pela camada IGA, encontramos um ponto de chegada para estratégias de automação de todos os procedimentos relativos á identidade. Inclui-se aí a análise conjuntural do ambiente, as políticas de compliance e as regras de negócios.
Esta é uma conquista especialmente valiosa no momento em que as empresas estão ás voltas não só com a gestão de seus próprios dados, mas também com a complicada administração de dados e de permissões de terceiros.
Sobre Allan Mariani
Allan Mariani, integrante da equipe de cientistas de dados e arquiteto da identidade da Netbr, atua na área de segurança da informação há 10 anos. Neste período vem liderando projetos de arquitetura e implantação em segurança da informação e governança de identidade em empresas como UOL, Cetip, Banco do Brasil, Itaú, Unimed, Santander ( BR e/Chile), Embraer, C&A, Riachuelo e XP, entre outros.
O Crypto ID reúne desde 2014 as principais notícias e artigos sobre as diversas tecnologias que identificam, no meio eletrônico, pessoas, empresas, equipamentos, aplicações e softwares. São artigos do Brasil e do Mundo, afinal, identidade digital é parte do nosso nome! Confira a coluna onde falamos sobre Identidade Civil e Digital.
Crypto ID é o maior canal de comunicação do Brasil e América Latina sobre identificação digital.
Mídia Oficial do Evento
Por que é um bom momento para investir em automação? E o que você deve (ou não) automatizar?
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!