O Overflow 2024 contou com a participação de 400 especialistas em identidade e acesso sob a égide da questão central “Next Stage of Identity”
O Overflow 2024 contou com a participação de 400 especialistas em identidade e acesso sob a égide da questão central “Next Stage of Identity”. Na abertura, o CEO da Netbr, André Facciolli, apontou para as mudanças trazidas pela inteligência artificial e pela explosão dos tipos de identidade, incluindo RPAs, IOT, contas de serviço, AI generativa e novas configurações da força produtiva.
Ele pontuou que esta realidade desafia as arquiteturas proprietárias e fragiliza a abordagem fragmentada dos processos de IAM, CIAM e IGA, anteriores ao império ‘multi-cloud’.
Facciolli, escolhendo como tema um ritmo apocalíptico do grupo Sepultura, pontuou que o cenário, aparentemente caótico e ruidoso, abre oportunidades de uma revisão criativa, mais eficiente e mais organizada, dos processos digitais e sua governança.
O CEO bateu na tecla da automação adaptativa, ancorada em aprendizado de máquina e integrando o máximo de processos para a governança unificada.
Esta é a armação estratégica que deve ser acompanhada da incorporação de padrões modernos de autenticação e autorização, além de comportar a gestão granular do consentimento nas identidades.
A economia da disrupção exige um compliance regulatório que não impeça a produção, mas que também não deixe pontas soltas. E exige protocolos abertos, desburocratizados e aceitos por toda a indústria, para viabilizar a automação da confiança (ou da confiança zero) em uma realidade de risco digital intrínseco.
Arshad Noor: o FIDO e o fim dos segredos
O Keynote Arshad Noor, membro da FIDO Alliance e CTO da StrongKey, destacou as mudanças em curso nos frameworks de autenticação da Internet. Segundo ele, embora venha mudando “na costura”, esta forma autenticação ainda segue a alfaiataria da combinação “login e senha”, inventada no início da rede.
Ele enfatizou que os dados só estarão seguros quando este modelo de “share based authentication” for substituído.
Noor apresentou as bases do protocolo Fast Identity Online (FIDO), como provável solução de massa para destravar a autenticação sem o compartilhamento de segredos. E para impor um fator de validação final físico, estabelecido em token ou no dispositivo do usuário.
A experiência do CIAM
O CTO da Netbr, Flávio Bontempo, mediou uma troca de experiência entre profissionais de bancos, mercado de capitais e telecomunicações. Os especialistas Christian Coutinho, Elisângela Coelho e Washington Almeida concordaram com a opinião de que o CIAM é uma etapa especialmente complicada da modernização da identidade. E que sua evolução não pode estar atrelada ao desenvolvimento constante de códigos domésticos.
A fase de customizar deve ser abolida. Caso contrário, os ajustes constantes de experiência e segurança não irão acontecer sem aumentar o peso do legado, ou sem se perder o controle dos gastos.
Os debatedores concordaram com a necessidade de engajamento dos “donos” de negócios para conseguir escalar a jornada de CIAM, uma vez que sua implantação, frequentemente, se dá em cima de processos que estão em perfeito funcionamento (ou, pelo menos em funcionamento satisfatório).
O conselho que sobressaiu do debate foi o de apresentar ao stakeholder ganhos tangíveis retratados por KPIs, não só em termos de segurança e satisfação do cliente. O CIAM deve ser projetado também como um motor de insights granulares, que podem e devem ser processados pelo gestor de negócio, seja para melhoria contínua dos produtos ou para as guinadas competitivas.
Para onde está indo a IGA?
Júlio Magalhães, da Netbr, levantou a questão sobre desafios da migração da IGA para a nuvem. Apontando que não se trata mais apenas de uma tendência, uma vez que o rompimento de perímetro é incompatível com a dependência de governança lastreada em arranjos de software proprietário.
A visão é compartilhada pelos debatedores Leonardo Rodrigues, Alessandro Rosini e Ricardo Henrique. Eles convergiram para a ideia de que a jornada ideal de IGA inclui a criação de um “game” reunindo a TI, a Segurança, a DPI (se houver), os gestores de negócio e o RH.
De modo geral, o debate permite reconhecer que as plataformas de governança em nuvem ampliam a visibilidade, a integração e o controle, superando a fragmentação do legado de forma mais definitiva.
Cristiano Camilo, da Netbr, abordou outros aspectos da jornada IGA com os especialistas Edter Peterle e Rodrigo Adriano. Entre os tópicos levantados, ressaltou-se a correlação entre a implantação da IGA e a incorporação de requisitos de compliance.
Ao final, uma das conclusões é a de que internalização do instrumento regulatório, à parte seu aspecto complicador, é um uma oportunidade competitiva para os agentes de transformação da identidade.
Em alguns casos relatados, a criação de manuais de compliance aconteceu de forma concomitante ao desenvolvimento da IGA. O tema trouxe mais discussões, mediadas por Rafael Ribeiro, da Netbr, com usuários dos setores financeiro, varejo e de telecom. Rômulo Paulo, Cesar Telles e Pedro Farias Barbosa falaram sobre as dores de cabeça (e seus remédios) relacionadas á jornada IGA em ambientes de alta complexidade e produção altamente terceirizada.
Outro tópico da temática IGA foi a pós-implantação e suas implicações, com ênfase em aspectos como a cultura interna, a distribuição de responsabilidades pelos times e o enquadramento de parceiros. Principalmente em empresas que mantém grandes redes de afiliadas ou cooperados independentes.
Os especialistas Alexandre Nisi, Luiz Baptista e Vinicius Brasileiro, debateram sua experiência, com mediação de Micaella Ribeiro, CEO da IAM Brasil.
Autorização antifraude e DID
O time de especialistas da Netbr passou a limpo alguns conceitos e tendências. Entre eles, as formas de autenticação permanente, associada à avaliação de risco “a quente”, com base em elementos contextuais, para a prevenção à fraude.
Eles relacionaram motores de autorização e autenticação ‘just in time’. Tendências de emprego da identidade distribuída (DID) e exemplos concretos foram elencados por Anália Meira, Wellington Adami, Raphael Saraiva e Flávio Bontempo.
Roadmap para o “next stage”
O CEO da Allthenticate, Chad Spensky, e sua colega Rita Mounir (COO e co-founder), trouxeram a exposição “Descentralized ID, Verified Credential and FIDO For You”, explorando as possibilidades de uma identidade unificada, baseada em smartphone, para acesso físico sem chave e com autenticação sem senha.
O CTO da SailPoint, Dana Reed, apresentou a estratégia de governança de identidade para um mundo de fluxos diversos, mostrando como a nuvem pode ser muito mais segura e mais prática do que as soluções caseiras voltadas para o data center.
Daniel Ortiz e Diego Venâncio, da Ping, mostraram o roadmap para a adoção de padrões abertos, compatíveis com o próximo estágio da identidade, vencendo a estagnação ocasionada pelo legado.
Embratel marca presença no Febraban Tech 2024 e leva soluções inovadoras para Bancos
CIOs dos bancos debaterão a disrupção da Inteligência Artificial no FEBRABAN TECH 2024