Migração forçada para a nuvem impulsiona gestão da identidade
Empresas vão precisar evoluir dos controles atuais de identidade para modelos capazes de responder ao novo patamar de risco e complexidade operacional dos negócios.
As tecnologias de gerenciamento e governança da identidade digital, que já vinham crescendo no mercado a taxas de 16% ao ano nos últimos anos, estão passando por uma aceleração incremental na casa dos 25% em 2020. O movimento se deve ao aumento repentino do teletrabalho e das transações online, em sintonia com a disseminação das estruturas cloud.
Na expectativa da brasileira Netbr, uma provedora de IAM (Identity and Access Management), este novo patamar de demanda digital não irá refluir completamente após a reabertura das cidades. E a consequência disto, prevê a empresa, será um risco cibernético mais agudo e uma maior complexidade dos acessos a serem gerenciados. As dificuldades de controle serão ainda agravadas pela insuficiência de capital humano preparando a gestão destes ambientes mais complexos e superpopulosos.
Entre os complicadores, a Netbr destaca a radicalização de dois componentes: um número antes impensável de pessoas trabalhando em casa e com acesso direto a sistemas que não foram projetados para tanto. Um fator que vem acompanhado da diversificação das formas e canais de acesso e da maior recorrência das empresas aos serviços de nuvem pública para suportar a velocidade da expansão online.
Outro ponto de perturbação recente está na maior dispensa e renovação da força de trabalho promovida por reestruturações de emergência, seja por questões financeiras ou por força das mudanças na forma de geração de valor. A Netbr observa que só 20% das empresas dispõem de metodologias de credenciamento e descredenciamento automático de usuários, o que torna a adaptação muito lenta. A este aspecto contribuem também as novas leis de trabalho, que flexibilizam os regimes funcionais e reduzem a estabilidade das identidades na rede.
“O novo cenário vai pressionar as empresas médias e grandes a irem além dos níveis atuais de controle de identidades. Hoje, muitas delas estão suportadas por processos semi-automatizados ou pouco desenhados, com baixo nível de maturidade. Estas empresas vão precisar partir para a adoção da governança e administração da identidade (IGA) e para a implantação de plataformas de provisionamento/desprovisionamento automático para acompanharem o ciclo de mudanças mais veloz”, explica André Facciolli, diretor da Netbr, principalmente no aspecto de acessos em Cloud.
Hora de partir para a IGA
Segundo o especialista, um diferencial do modelo IGA, na comparação com o gerenciamento puro e simples, está na articulação que a governança realiza entre os controles de identidade e a execução de políticas de eficiência e de conformidade a normas como LGPD ou KYC (Know Your Client).
André Facciolli avalia que as práticas atuais de gerenciamento e governança precisam evoluir para responder a esta migração forçada de parte das operações para a nuvem múltipla. Ele acrescenta que os padrões de controle de identidade ainda predominantes continuam a refletir somente o ambiente legado dos data centers fixos e dos escritórios locais, ou ligados em redes fechadas, e esquecem a realidade dos ambientes mais complexos e dinâmicos.
Com a expansão do processamento em estruturas abstratas, raciocina o diretor, a saída será o emprego de diferentes estratégias, tais como: inteligência artificial, automação intensiva e segurança embutida, abrangendo o gerenciamento de segredos e a assinatura única de usuário (dispensando o uso de senha), bem como o suporte a acessos efêmeros (OTP – One Time Password).
“O empresário precisa conceber uma governança de identidade e acessos que lhe dê flexibilidade estrutural para o modelo de negócios, garanta a segurança e evite a criação de atrito com clientes, funcionários e fornecedores em suas transações de produção”, explica Facciolli.
Outro requisito, segundo ele, será garantir a independência da TI em relação a ferramentas de gerenciamento nativas de fabricantes como Azure, AWS ou Google Cloud. “A melhor política em relação a isto é que a empresa se habilite a explorar todos estes recursos, de forma nativa ou via integração das peças que compõem este lego de soluções, envolvendo estratégias de IAM, “Infra as a Code” e “Embedded System Security”, completa.