Meu primeiro contato com um projeto de IAM (Identity and Access Management – Gestão de Identidades e Acessos) que na verdade ainda era IDM (Identity Management), foi em 1999. Implementamos a solução da antiga “etrust” em um cliente de Porto Alegre. Eram soluções separadas. Instalamos e configuramos o Identity Management, depois foi o Access Control, Policy Compliance e por fim o Audit. Lembro disso claramente pois não fazia sentido você apenas criar e gerenciar o usuário (IDM) e, em outra solução você controlar os acessos deste usuário (Access Control). E logo no ano seguinte começou uma discussão de se integrar várias destas soluções separadas, em especial o IDM com o Access Control. Depois, se não me engano, foi que começou a integração da parte de Governança. Mas enfim.
Image by Freepik
Muita agua rolou de lá pra cá e, o que antes era um desafio de inserir um meio de autenticação para um usuário (como senha, tokens físicos..), hoje fala-se em autenticação sem senha. Upgrade ou retrocesso? Cada um com uma posição diferente mas, pensando na melhoria deste processo de autenticação. E assim os profissionais de Security vão sendo desafiados quase que diariamente.
E falando em desafios, todo esse upgrade de sistemas e controles de IAM acabou gerando a necessidade de criação de um programa consistente sobre o tema, dentro das Empresas. E esse programa vai se complicando ou, se atualizando a cada dia que passa e obvio que gerando novos desafios. Acho que boa parte das Empresas já entenderam que tratar gerenciamento de identidade e acesso como chamados de tecnologia não dão muito certo não é!?!? Hoje o que mais vemos são vazamento de dados originários de terceiros com acesso aos sistemas. Vazamentos quase que diários acontecem devido a uma falha no processo de gestão de identidades. Esses problemas, cada vez mais expostos nos sites especializados, reforçam a necessidade da criação deste programa de IAM.
Os anos de 2021 e 2022 foram anos que as Empresas deram um foco maior neste tema de gerenciamento de identidades e acesso, até mesmo por questões legais e de atendimento a auditorias (compliance) e, grandes desafios vão sendo colocados na mesa para 2023, tais como:
1 – Entender quais os pontos de melhoria do programa de IAM e manter este programa sempre atualizado dentro da Empresa. A cada mudança uma atualização do programa e, lembrar que o mesmo tem que atender o negócio da Empresa
2 – Integração com sistemas e terceiros. Este é um pronto de muita atenção pois em muitos casos um vazamento esta se originando de uma integração com terceiro. Vários casos estão ai na mídia e que moveram o mercado nos últimos anos
3 – O processo de contratação (onboarding) e desligamento (offboarding) virou um processo extremamente crítico. Auditado com foco interno e se falho pode ser foco de uma autuação legal (LGPD). Estou errado?
4 – E falando em processos, entender todos os processos que suportam o programa de IAM. Processos de validação e certificação de perfis de acesso com suporte da gerência e outras áreas, processos que envolvam o RH, processos de mudanças de cargos.. processos e mais processos..
5 – Manter documentação atualizada. Políticas, normas, procedimentos, guidelines e tudo mais precisa estar adequado a tudo que esta acontecendo no seu programa de IAM. Sim, este é um desafio e tanto
6 – Processos de autenticação diferente para cada tipo de usuário. Usuários internos, externos, “de serviços de sistemas”, terceiros, clientes… São tantos tipos de usuários em alguns casos que exige um controle muito focado em que tipo de autenticação conceder para cada tipo de usuário
7 – Adesão a LGPD, normas e regulamentações que sustentam o negócio da sua Empresa. Não pode de maneira alguma deixar de atender as auditorias internas e externas e muito menos as questões legais
8 – Buscar ajuda de especialistas e Empresas que atuam com foco em gerenciamento de identidade e Acessos. Ajuda externa tem sido de grande valia para grandes programas de IAM e, experiência própria, ajuda muito o suporte a grandes programas. Temos feito muito isso com serviços de IAM e sempre com satisfação do Cliente. Em muitos casos você não tem “braço” para suportar todos os processos do seu programa de IAM
Acho que um outro ponto muito legal de citar são as certificações que estão disponíveis no Identity Management Institute. Na página do IMI você verá que existem uma série de treinamentos e certificações, cada um com foco diferente diante de uma necessidade particular. Vale o investimento? Poxa, se você trabalha nesta área e tem esse foco na sua carreira, por que não iria valer?
Este ano de 2023 será um ano de muitas atividades no mundo do Gerenciamento de Identidade e Acesso. Muitas empresas buscando fazer um assessment para entender seu programa e como melhorar e, por outro lado, várias Empresas amadurecendo seu programa atual de IAM.
Excelentes colocações, a cada dia que se passa os desafios são maiores, no passado não se dava muito valor a isso, mas agora entendo que é um desafio por termos poucos profissionais focados neste segmento.
Top Felipe