A unificação dos processos de autenticação e autorização no fluxo de identidades é uma das pré-condições para a escalada de implantação do modelo Zero Trust no ambiente de negócios. Com base nesta premissa, especialistas em segurança e arquitetura da informação discutiram o cenário atual e futuro da governança de identidade na economia “Open X”. O debate ocorreu no encontro presencial “Netbr Overflow”, há duas semanas, em São Paulo. A discussão reuniu dirigentes de áreas de segurança e negócios do Itaú Unibanco, Embraer, Globo, Tim, Telefônica Vivo, Sicredi, QuintoAndar e Santander, além de uma audiência de 140 profissionais.
Veja isso
GitHub coloca em open source o seu sistema de IAM
Cibersegurança e a explosão de identidades não humanas
Apresentada pelo gerente e engenharia de TI do Itaú Unibanco, Cristiano Camilo dos Santos, esta fragmentação das bases autoritativas foi um dos temas centrais do debate.
Na visão Túlio Irie, especialista de Open Finance e Big Data do Santander, o desafio de unificar tais processos é especialmente difícil na área financeira. Isto porque, além de portfólios de produtos e serviços muito granulares, estas empresas convivem com movimentos frequentes de fusão e aquisição, o que torna os ambientes legados uma colcha de retalhos mais complicada que a média.
Segundo ele, o caminho da unificação de estratégias de acesso começa a se mostrar mais definido a partir do endurecimento dos padrões da indústria. “Embora surjam, inicialmente, como um aborrecimento para as esteiras de produção, cedo ou tarde estes padrões vão favorecer a convergência e reduzir o atrito operacional”, comenta Irie.
Ainda sobre o setor financeiro, um caso de unificação de acessos foi relatado pelo especialista de SI do Sicredi, Luis Antônio Baptista. Sua instituição está estruturada como cooperativa de entes independentes e controla uma das maiores operações de varejo financeiro no País.
O Sicredi, explicou Baptista, administra uma estrutura de mais de 2.800 pontos de atendimento e governa o ciclo de vida de identidades através de um padrão corporativo imposto para todo o ambiente. Este modelo é aplicado no gerenciamento das identidades, de perfis de sistemas e acessos, sendo considerado um ponto chave na luta diária de orquestração desses processos. “A coerência e afinação com a produtividade são essenciais para conscientizar os usuários e ‘owners’ de negócio sobre a importância da IGA na segurança das informações”, comenta ele.
Também presente nos debates, o CISO Claudio Creo, da TIM Brasil, relata que uma das vantagens de seu segmento é a de ter “no próprio DNA”, a preocupação com a identificação dos clientes e com o ciclo de acesso completo.
Segundo Creo, a TIM busca se manter como líder na inovação e tem um programa ambicioso de migração das infraestruturas para a nuvem, sem falar no atual desafio de lançar o 5G. Com isto, prossegue ele, uma governança da identidade de ponta é essencial para garantir agilidade para a atualização constante que o negócio exige.
Com uma presença recente no mercado, o setor de telecom móvel tem ainda seu favor o fato de possuir um legado com cerca de apenas de 20 anos e já construído, desde o início, em um contexto cibernético.
Este raciocínio se aplica de forma ainda mais categórica para à plataforma digital de moradia QuintoAndar, representada pelo especialista em IAM e Product Manager Leonardo Ferreira. Na visão de Ferreira, a estratégia competitiva do seu negócio exige a calibração fina entre o controle de risco e a qualidade da experiência final. “Garantir segurança e UX é uma demanda muito bem assimilada desde o nascimento da QuintoAndar, daí o status conferido pela direção à IAM”, diz o executivo.
No evento, emergiu a compreensão de que a evolução dos sistemas de ID, e sua unificação nos processos, dependem de um diálogo menos técnico com as cúpulas dos negócios. Falar de revolução nas bases autoritativas, disse Cristiano Camilo, do Itaú, é menos impactante do que mostrar ao stakeholder onde estão as oportunidades e os riscos envolvendo suas informações valiosas.
A propósito desse diálogo com a cúpula, Vinícius Brasileiro, Gerente de Segurança da Informação da Globo, relata que os projetos de gerenciamento da identidade na empresa eram frequentemente atrelados à adaptação a marcos regulatórios e outras exigências externas. Sua área apresentava projetos para redução dos riscos de acesso, mas, como o custo era também relevante, eles frequentemente entravam nas listas de cortes ou modulações circunstanciais de gastos.
Brasileiro conta que a governança de ID ganhou um impulso maior quando a Globo modificou seu status empresarial. Ou seja, passando de empresa tradicional de mídia para se tornar uma companhia “mediatech”. Este movimento corporativo, mas também cultural, explica ele, impulsionou a transformação digital e a renovação total dos processos de tecnologia, incluindo o credenciamento e gerenciamento dos acessos, que ganhou prioridade estratégica.
Danilo Carlos dos Santos, Security Information da Embraer, mostrou a evolução da governança de identidade na fabricante aérea e relatou os ganhos provenientes da unificação de processos, inclusive com a implantação de portais de ID envolvendo unidades estrangeiras. Na Embraer, as esteiras de governança da identidade abarcam também fornecedores, parceiros e toda a cadeia de suprimentos, abraçando o ERP como um todo. Recentemente, relata ele, a Embraer viveu um movimento incomum. Depois de avançar em uma complexa integração de IGA, envolvendo exclusivamente a área de aeronaves de defesa e executiva, a equipe de TI precisou partir novamente do zero com a unidade de jatos comerciais, em um projeto que se desenvolveu para reintegrar todas as empresas da fabricante aérea.
Abordagem Low Code/No Code
O Netbr Overflow foi concebido pela equipe da Netbr e seus parceiros SailPoint e Ping Identity. Spencer Bybee, da Ping Identity, apresentou a nova abordagem “Low Code/No Code” para o desacoplamento de aplicações para funções de autenticação e autorização. Fabrício Simão, Regional Manager da SailPoint, trouxe a visão da IGA como camada de orquestração de processos de identidade.
O CEO da Netbr, André Facciolli, e o CTO, Flávio Bontempo, conduziram os painéis de discussão e posicionaram a situação de transbordamento (“tradução para “overflow”) do modelo de identidade no contexto da segurança após a abolição dos perímetros.
Facciolli explicou a abordagem “Extend your ID”: o conceito compreende a intervenção na área de ID como uma extensão da empresa interessada na jornada de transformação dos acessos. Isto inclui um agregado de serviços envolvendo a engenharia de processos, a organização do inventário e o desenvolvimento do plano de jornada. O conceito abarca as identidades internas, as terceirizadas e as de entes não humanos, como robôs, aplicações, IoT e big data.
A Identidade Just in Time
Os participantes dos debates enfrentaram a questão de ser realidade, ou pura utopia, o surgimento de um modelo universal da identidade baseada em inteligência artificial. Se este modelo vingar, se tornaria um fato concreto a propalada identidade “Just-in-Time”. A conclusão foi a de que, mesmo tecnicamente distante, este modelo JiT deve ser encarado, desde já, como um ponto de chegada real e precisa ser perseguido através de melhoria contínua. “O fundamental é que haja um plano seguro de jornada, porque, em se tratando de acesso, não há lugar para a tentativa e erro”, resume Flávio Bontempo.
