Por André Facciolli, CEO da Netbr
Estamos vivenciando uma rápida mudança de visão quanto ao papel da identidade digital no contexto dos ambientes de informação, bem como no modo de se encarar a conformação da identidade em processos de administração dos recursos e dos ciclos de acesso a dados de TI.
Para não ter de descer a um emaranhado de questões, digamos, de forma resumida, que tal mudança se traduz na evolução das práticas de controle da criação de identidades e suas regras técnicas de atribuição. Esta evolução transfere estes elementos para um patamar mais elevado e abrangente; um patamar em que as políticas de identidade são abordadas agora em sua relação direta com as aplicações e os negócios.
Numa retrospectiva histórica, podemos situar que a primeira onda tecnológica buscava resolver o controle da identidade através do provisionamento das contas de usuário, a qual se denominou "Gerenciamento de Identidade" (ou IdM -identity Management). Em seguida, passamos para um modelo em que se gerenciam também as regras de distribuição dos atributos das identidades, constituindo-se então o ambiente de "Gerenciamento de Identidades e Acessos" (ou IAM – Identity and Access Management).
Uma vez consolidada esta conceituação, evoluímos, finalmente, para um modelo que o jargão da indústria de compliance e gestão de riscos nomeia como "Governança e Administração de Identidade" (ou IGA – Identity Governance and Administration).
A principal diferença entre estas visões é que o modelo IdM/IAM resulta da paulatina e constante atualização das práticas de provisionamento de contas de usuário e de tratamento de seus atributos e suas regras, com mínimo de autosserviço.
Já a atual visão da Governança (com suas funções de reconciliação) representa um novo encaminhamento da problemática da identidade e do acesso, agora bem mais superposta nos negócios, e com foco na eficiência, na operação e no risco.
A razão de tratarmos isto como avanço é porque os processos baseados em IGA pressupõem a criação de uma nova camada de diagnóstico, planejamento, supervisão, comando e documentação que irá interagir com todos os modelos técnicos existentes: provisionamento, atributos, regras e permissões.
Camada esta que tem, sob seu comando, as políticas de certificação, de atestação, de compliance e o gerenciamento das solicitações (ou processos) de acesso por parte das identidades.
Tudo isto, sempre segundo as diretivas de negócio e mitigação de riscos, e sempre com um nível de agilidade compatível com os atuais requerimentos dos negócios.
Já representavam uma certa conquista as tradicionais virtudes do IdM/IAM. Elas permitem que os direitos do usuário sejam gerenciados e alocados automaticamente, com base em mapas de funções pré-definidos, o que não é nada desprezível.
Entretanto, apesar de fornecer um alto grau de precisão e segurança, este modelo tem a desvantagem de ser algo de lenta implementação, muitas vezes levando-se anos para se completar na sua totalidade.
Em consequência, após seu término, é comum que os tais mapas de função já não se mantenham confiáveis, em função das rápidas mudanças pelas quais o negócio vai se transformando. Isto criava uma sensação de projeto inacabado e por vezes oneroso e excessivamente manual.
Na proposição da Governança, por sua vez, as plataformas de identidade incluem funções que vão muito além da automação e monitoramento das autorizações e do controle de acesso. O IGA, uma vez implantado, passa a responder a necessidades bem mais complexas, tais como: a de auditoria; a de inteligência de negócios no ciclo das identidades, a de implementação do gerenciamento dinâmico das identidades e acessos (sempre em sintonia com o contexto de negócios) e a de supervisão permanente da aplicação das normas de compliance.
E é importante enfatizar que este nível de resposta do IGA se estende por todas as dimensões, cada vez mais plurais, da identidade, seja ela um usuário humano ou contas não humanas, como, por exemplo, um componente do sistema que interage com as aplicações, recursos e bases de dados (acesso privilegiado).
Assim, em harmonia com os investimentos realizados em IdM e IAM, a plataforma típica de IGA se volta para fortalecer a segurança e o controle da exposição ao risco.
A automatização do provisionamento, algo previsto já nos primórdios do IAM, passa a contar agora com a capacidade analítica de dados velozes e complexos, tal como se faz necessário no ambiente da nuvem, big data e dados não estruturados. E tudo isto com um retorno de investimento muito mais palpável.
Esta inteligência analítica é útil também, por outro lado, para o acionamento pontual de controles de ações pró-ativas de segurança cibernética, como a identificação da violação de dados ao longo de todo o processo típico de uma invasão externa (incluindo-se aí as fases de reconhecimento, infiltração, exploração e extração).
Chegamos, portanto, a um nível de funcionalidade que alguns equiparam ao "carrinho de compras" de um portal de ecommerce, ou a um sistema de "customer relationship", ou a um ERP; ou enfim, a um sistema de negócio movido por inteligência de dados, processamento rápido e aplicação de regras rígidas, mas autoevolutivas.
Partimos assim de um patamar em que a gestão da identidade – disciplina antiga e, para muitos, complicada – assume agora uma posição bem mais relevante nas estratégias de negócios. Ela passa a ocupar uma dependência operacional que achamos apropriado chamar de "Centro da Segurança".
Dessa forma, o IGA se tornou mandatório num mundo em que a informação tende a perder a forma, o lugar, os meios de propagação e os modos de acessar e usar. E num mundo em que a rapidez das deliberações (e, portanto, das autorizações de acesso) necessita acompanhar a extrema velocidade com que a informação de negócios trafega ao longo de toda a organização. Vamos nos preparar agora para uma nova onda: a de Assignment Governance.