Vários requisitos da Governança de TI tem exercido pressão sobre os CIOs ao longo dos últimos cinco anos, especialmente os temas de Segurança da Informação e Auditoria. Sob o aspecto da Segurança da Informação o tema mais abordado é a segurança de infraestrutura (redes, pcn, etc.), mas que se tornou uma preocupação do passado, porque hoje todas as práticas já são encaradas como commodities. Já sobre o aspecto de Auditoria, é a conformidade e a certeza de que os processos estão em ordem, e que as respostas sejam rápidas, corretas e simples. Alguns pontos rotineiros que a Auditoria aborda: controle de acesso, segregação de funções e histórico de transações eletrônicas.
Mas é a operação segura do negócio que tira o sono dos executivos, concentrando-se principalmente no contexto de fraude. Isto leva diretamente para as questões relacionadas com os usuários e suas ações. Afinal, o que os usuários podem ou estão fazendo?
A gestão de identidade ou IDM, tem sido uma das principais abordagens para apoiar a operação do negócio seguro. O IDM vai muito além do fornecimento de login, ele deve ser visto como uma solução que enxerga os riscos reais da operação e fornece ferramentas de controle e gestão adequadas na vida cotidiana. Os controle geralmente associado à políticas de acesso, gestão de riscos e o mais importante, o ciclo de vida do usuário.
Mas o que o IDM potencializa na organização? É através do IDM que fica simples a implantação de conceitos como login corporativo e senha corporativa. Assim, as expectativas de adotar uma solução são: mais integração entre as Aplicações (Single Sign On - SSO), menos senhas e menos logins para os usuários, facilidade da solicitação de acessos adicionais através de um autoatendimento, facilidade e flexibilidade nos fluxos de aprovação de acessos (garantindo que o histórico de aprovação seja mantido), controle do ciclo de vida do usuário (criação, alteração e desligamento do usuários e seus acessos), rastreabilidade (quando teve acesso, quem autorizou, etc.) e conformidade com controles e normas internacionais.
Por mais simples que pareça a adoção de uma solução de IDM, existem alguns percalços que precisam ser vencidos, como:
Escopo - a gestão de identidade é um processo evolutivo, então realize a adoção em projetos anuais de IDM para diminuir o impacto corporativo; muitos sistemas são complexos para integrar, assim, analise o custo-benefício de cada um; lembre-se que a adoção do IDM geralmente traz mudanças organizacionais e culturais, e a sua organização vai ter que ter um "Change Management" em relação a isso.
Processos - a gestão de identidade é baseada em processos, que na maioria das vezes parecem maduros, mas ao sistematizar eles se demonstram com pontos de ruptura e conflitos internos; os processos mais falhos estão relacionados a fonte autoritativa (RH), pois muitas exceções são aplicadas ao dia a dia, o que geralmente é insuportável para um processo automatizado; exceções em processos geralmente significam customizações nas soluções IDM, e isso representa um alto custo no projeto; adote o Princípio da Simplicidade, não opte por alta granularidade de processos.
Cultura - a gestão de identidade precisa envolver toda a organização, pois todos colaboradores, internos e externos, terão participação e uso; é necessário desenvolver um programa de sensibilização, aculturamento e treinamento; as áreas de negócios são mais reativas aos controles, pois geralmente são mais voláteis e precisam de flexibilidade, por isso mantenha o controle do processo; é preciso fazer os colaboradores se sentirem parte da solução e não do problema.
Patrocínio - a gestão de identidade precisa ter patrocínio da alta gestão, principalmente para resolver os conflitos internos; IDM é uma solução conjugada de Segurança da Informação e Tecnologia da Informação; por isso é preciso apresentar benefícios tangíveis e intangíveis e os resultados periodicamente.
Políticas e Regras - a gestão de identidade precisa ser simples e objetiva, por isso a busca por alto grau de automatização na concessão de acessos é lenda (e extremamente danosa); a organização precisa de agilidade para se transformar e evoluir, por isso elabore regras simples para conceder acessos automáticos; incentive os colaboradores em solicitar os acessos adicionais no autoatendimento. Simplifique o dia a dia.
Produtos e Fornecedores - a gestão de identidade precisa se soluções robustas e maduras no mercado, então procure por produtos que estejam alinhados com os benefícios e simplicidade desejados; a integração (o projeto) requer muita experiência, tanto em IDM como em segurança da informação; busque por parceiros que também auxiliem nas questões organizacionais e culturais.