Carlos Alberto Costa, diretor do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados, moderou o Painel que contou com a participação de 4 profissionais para discutir o futuro do IAM (Gerenciamento de Identidade de Acesso) a partir de 6 assuntos centrais.
Veja quem foram os painelistas:
- Laurence Plazas (CyberArk), trouxe a visão da indústria
- Flávio Xavier (SecurID), compartilhou o ponto de vista dos fornecedores
- Erik Oliveira (PwC), representou o lado das consultorias
- Maurício Felício (Itaú) participou como um utilizador de tecnologias de segurança da informação
Serviços em Nuvem
Carlos Alberto lançou para discussão o que persiste como um dos maiores desafios do meio – o impacto ao gerenciamento de identidade e acesso no que diz respeito à flexibilidade aos colaboradores de empresas. “Gerenciar acessos cloud é totalmente diferente de on-premises“, disse Maurício Felício. “Muitas vezes a gente pode acabar não se atentando aos riscos que isso envolve. (…) Muitos dos gaps são de acessos não aurorizados”. Erik Oliveira complementou a fala: “Cada vez mais a gente está partindo para um mundo muito mais voltado para o cloud. Inclusive, Gartner₁ comentou que está se criando uma nova disciplina, chamada CIAM (Customer Identity and Access Management), justamente para se poder endereçar esses desafios”.
Inteligência Artificial e Machine Learning
O segundo tema introduzido por Carlos Alberto também abriu espaço para insights interessantes, dessa vez de Laurence Plazas: “Cada solução, dentro do mundo de IAM, vem utilizando motores de aprendizado de máquina, especializados em monitorar o comportamento do usuário para conhecê-lo e depois contrastar com os novos logins”. Flávio Xavier acrescentou: “Precisa-se evoluir a abordagem de IAM e criar políticas adaptáveis a cada tipo de projeto. E o auxílio para isso está na inteligência artificial e em machine learning, que auxilia em tomadas de decisão”.
Autenticação sem Senha
A autenticação sem senha (ou passwordless authentication) foi o terceiro tópico abordado pelo moderador Carlos Alberto, que abriu a discussão afirmando o quanto se tornou insustentável pensar em autenticação apenas baseada em senha. “É importante estar claro que passwordless authentication não é a abolição da senha”, introduziu Maurício Felício. “A gente deixa de fazer aquela autenticação simplificada, em que eu identifico um usuário e uma senha conhecida. A gestão do acesso passa a ser feita de maneira diferenciada, elevando o nível se segurança, reduzindo custos do lado de operação”. Flávio Xavier ainda traz: “Apesar de já existirem tecnologias hoje que estão indo para o caminho de não existir mais senhas, o MFA (identificação por dois fatores) vem para complementar esse fator de segurança”.
Regulações de Privacidade
“O que a gente está percebendo, principalmente aqui no Brasil, voltado para LGPD (Lei Geral de Proteção de Dados Pessoais), é que as empresas já têm uma gestão de acesso mais madura”, disse Erik Oliveira. “A nossa percepção de mercado é que mudou o mindset principalmente dos times de segurança e da área de negócios”. Em seguida, vem a fala de Laurence Plazas: “Quando se pensa nessas leis de privacidade ou regulamentações, se pensa primeiramente nos clientes. Eu vejo que as empresas ainda não estão cuidando das identidades e privacidade dos seus funcionários e terceiros. E isso faz parte da frente de cuidar da proteção de dados privados”.
Machine Identity Management
Carlos Alberto citou a mudança do IAM, antes focado somente nos usuários, que agora também contempla o ponto de vista das máquinas. Então ele pediu para que os painelistas dessem as suas opiniões sobre o tópico. “Quando a gente começa a falar de gerenciar a máquina em si e governar o acesso, acho que é um assunto importante para todo mundo ter no radar. Não está em um futuro tão distante assim”, manifestou Maurício Felício. Laurence Plazas concordou: “A gente está falando de APIs, aplicações, containers. Tudo isso utiliza secrets e contas de serviço, que são comunicações entre as máquinas. Com certeza graças à rápida transformação digital existem soluções para fazer esse broker de secrets“.
Identidades Descentralizadas
Carlos Alberto finalizou o painel pedindo para que o Flávio Xavier agregasse a sua opinião sobre identidades descentralizadas: “Há uma certa conexão entre o processo de autenticação e identidades descentralizadas. (…) O mercado está começando a chamar de Identity-based Authentication“. Erik Oliveira ainda sustentou: “Blockchain para identidade vai mudar totalmente o mercado”.
₁ Gartner é uma empresa de consultoria fundada em 1979 por Gideon Gartner.