Unificação de processos de identidade desafia zero trust

Da Redação
17/06/2022

A unificação dos processos de autenticação e autorização no fluxo  de identidades é uma das pré-condições para a escalada de implantação do modelo Zero Trust no ambiente de negócios. Com base nesta premissa, especialistas em segurança e arquitetura da informação discutiram o cenário atual e futuro da governança de identidade na economia “Open X”. O debate ocorreu no encontro presencial “Netbr Overflow”, há duas semanas, em São Paulo. A discussão reuniu dirigentes de áreas de segurança e negócios do Itaú Unibanco, Embraer, Globo, Tim, Telefônica Vivo, Sicredi, QuintoAndar e Santander, além de uma audiência de 140 profissionais.

Veja isso
GitHub coloca em open source o seu sistema de IAM
Cibersegurança e a explosão de identidades não humanas

Apresentada pelo gerente e engenharia de TI do Itaú Unibanco, Cristiano Camilo dos Santos, esta fragmentação das bases autoritativas foi um dos temas centrais do debate.

Na visão Túlio Irie, especialista de Open Finance e Big Data do Santander, o desafio de unificar tais processos é especialmente difícil na área financeira. Isto porque, além de portfólios de produtos e serviços muito granulares, estas empresas convivem com movimentos frequentes de fusão e aquisição, o que torna os ambientes legados uma colcha de retalhos mais complicada que a média.

Segundo ele, o caminho da unificação de estratégias de acesso começa a se mostrar mais definido a partir do endurecimento dos  padrões da indústria. “Embora surjam, inicialmente, como um aborrecimento para as esteiras de produção, cedo ou tarde estes padrões vão favorecer a convergência e reduzir o atrito operacional”, comenta Irie.

Ainda sobre o setor financeiro, um caso de unificação de acessos foi relatado pelo especialista de SI do Sicredi, Luis Antônio Baptista. Sua instituição está estruturada como cooperativa de entes independentes e controla uma das maiores operações de varejo financeiro no País.

O Sicredi, explicou Baptista, administra uma estrutura de mais de 2.800 pontos de atendimento e governa o ciclo de vida de identidades através de um padrão corporativo imposto para todo o ambiente. Este modelo é aplicado no gerenciamento das identidades, de perfis de sistemas e acessos, sendo considerado um ponto chave na luta diária de orquestração desses processos. “A coerência e afinação com a produtividade são essenciais para conscientizar os usuários e ‘owners’ de negócio sobre a importância da IGA na segurança das informações”, comenta ele.

Também presente nos debates, o CISO Claudio Creo, da TIM Brasil, relata que uma das vantagens de seu segmento é a de ter “no próprio DNA”, a preocupação com a identificação dos clientes e com o ciclo de acesso completo.

Segundo Creo, a TIM busca se manter como  líder na inovação e tem um programa ambicioso de migração das infraestruturas para a nuvem, sem falar no atual desafio de lançar o 5G. Com isto, prossegue ele, uma governança da identidade de ponta é essencial para garantir agilidade para a atualização constante que o negócio exige.

Com uma presença recente no mercado, o setor de telecom móvel tem ainda seu favor o fato de possuir um legado com cerca de apenas de 20 anos e já construído, desde o início, em um contexto cibernético.

Este raciocínio se aplica de forma ainda mais categórica para à plataforma digital de moradia QuintoAndar, representada pelo especialista em IAM e Product  Manager Leonardo Ferreira. Na visão de Ferreira, a estratégia competitiva do seu negócio exige a calibração fina entre o controle de risco e a qualidade da experiência final. “Garantir segurança e UX é uma demanda muito bem assimilada desde o nascimento da QuintoAndar, daí o status conferido pela direção à IAM”, diz o executivo.   

No evento, emergiu a compreensão de que a evolução dos sistemas de ID, e sua unificação nos processos, dependem de um diálogo menos técnico com as cúpulas dos negócios. Falar de revolução nas bases autoritativas, disse Cristiano Camilo, do Itaú, é menos impactante do que mostrar ao stakeholder onde estão as oportunidades e os riscos envolvendo suas informações valiosas.

A propósito desse diálogo com a cúpula, Vinícius Brasileiro, Gerente de Segurança da Informação da Globo, relata que os projetos de gerenciamento da identidade na empresa eram frequentemente atrelados à adaptação a marcos regulatórios e outras exigências externas. Sua área apresentava projetos para redução dos riscos de acesso, mas, como o custo era também relevante, eles frequentemente entravam nas listas de cortes ou modulações circunstanciais de gastos.
Brasileiro conta que a governança de ID ganhou um impulso maior quando a Globo modificou seu status empresarial. Ou seja, passando de empresa tradicional de mídia para se tornar uma companhia  “mediatech”. Este movimento corporativo, mas também cultural, explica ele, impulsionou a transformação digital e a renovação total dos processos de tecnologia, incluindo o credenciamento e gerenciamento dos acessos, que ganhou prioridade estratégica.

Danilo Carlos dos Santos, Security Information da Embraer, mostrou a evolução da governança de identidade na fabricante aérea e relatou os ganhos provenientes da unificação de processos, inclusive com a implantação de portais de ID envolvendo unidades estrangeiras. Na Embraer, as esteiras de governança da identidade abarcam também fornecedores, parceiros e toda a cadeia de suprimentos, abraçando o ERP como um todo. Recentemente, relata ele, a Embraer viveu um movimento incomum. Depois de avançar em uma complexa integração de IGA, envolvendo exclusivamente a área de aeronaves de defesa e executiva, a equipe de TI precisou partir novamente do zero com a unidade de jatos comerciais, em um projeto que se desenvolveu para reintegrar todas as empresas da fabricante aérea.

Abordagem Low Code/No Code

O Netbr Overflow foi concebido pela equipe da Netbr e seus parceiros SailPoint e Ping Identity. Spencer Bybee, da Ping Identity, apresentou a nova abordagem “Low Code/No Code” para o desacoplamento de aplicações para funções de autenticação e autorização. Fabrício Simão, Regional Manager da SailPoint, trouxe a visão da IGA como camada de orquestração de processos de identidade.
O CEO da Netbr, André Facciolli, e o CTO, Flávio Bontempo, conduziram os painéis de discussão  e posicionaram a situação de transbordamento (“tradução para “overflow”) do modelo de identidade no contexto da segurança após a abolição dos perímetros.

Facciolli explicou a abordagem “Extend your ID”: o conceito compreende a intervenção na área de ID como uma extensão da empresa interessada na jornada de transformação dos acessos. Isto inclui um agregado de serviços envolvendo a engenharia de processos, a organização do inventário e o desenvolvimento do plano de jornada. O conceito abarca as identidades internas, as terceirizadas e as de entes não humanos, como robôs, aplicações, IoT e big data.  

A Identidade Just in Time

Os participantes dos debates enfrentaram a questão de ser realidade, ou pura utopia, o surgimento de um modelo universal da identidade baseada em inteligência artificial. Se este modelo vingar, se  tornaria um fato concreto a propalada identidade “Just-in-Time”. A conclusão foi a de que, mesmo tecnicamente distante, este modelo JiT deve ser encarado, desde já, como um ponto de chegada real e precisa ser perseguido através de melhoria contínua. “O fundamental é que haja um plano seguro de jornada, porque, em se tratando de acesso, não há lugar para a tentativa e erro”, resume Flávio Bontempo. 

Compartilhar: