Gestão de ciclo de vida

O Gartner Group define Gestão de Identidade e Acessos como o mercado de ferramentas para ‘gerir a Identidade digital e seus direitos (permissões de acessos)’ através de múltiplos sistemas e aplicações. Essas ferramentas ajudam a garantir que apenas pessoas certas, têm direitos para acessar recursos corretos, no período adequado e pelas razões corretas. Para fazê-lo, as ferramentas agregam e correlacionam dados de identidade e direitos provenientes de diversas fontes (sistemas e recursos) distribuídas por todo o cenário de TI, para melhorar o controle sobre o acesso do usuário.

Normalmente, a expressão ‘Gestão do Ciclo de Vida’ remete a pessoas, a usuários de sistemas da organização. Usuários também têm ciclo de vida nas empresas, mas não só. Outra simplificação que merece ser citada é misturar Ciclo de Vida de Usuários com Acessos a recursos (ou seja, aplicações, dados, dispositivos) da corporação. Observe que o termo Acesso implica em fazer algo e, então, pergunta-se: “Quem? Quando? Onde? O quê? Quanto tempo?”. Observe que o objeto pode variar em escopo, natureza e amplitude.

A justificativa para gerir Recursos (físicos, lógicos e virtuais) de modo independente de Usuários pode ser feita indutivamente por um exemplo simples. Imagine uma sala que contenha uma série de recursos críticos em seu interior. Independentemente de quem (usuários) tenha acessos, é preciso definir se esta sala fica acessível 24hs, que tipo de acesso (físico, virtual), por quanto tempo, quantos dias por ano e quais são as atividades (papéis) passíveis de serem realizadas nesta sala. Veja que estas propriedades não dependem de usuários, embora, usuários farão acessos a esta sala.

Analogamente, podemos estender este raciocínio a todos os recursos da corporação. Só para ficar em mais um exemplo. Imagine um sistema corporativo, pergunta-se: ele pode ser acessado de qualquer lugar? a qualquer hora? Vai usar sempre o(s) mesmo(s) método(s) de autenticação? Deste modo, uma boa prática é que as ferramentas de Gestão de Identidade separem os ciclos de vidas, cujas propriedades serão especificadas separadamente, e que faça a concessão de direitos de acessos (Entitlements) à medida que Usuários sejam associados a seus papéis na organização.

A Gestão de Identidade e Acessos é, portanto, a chave para gerir os tipos de ciclo de vida e se constitui no alicerce para a construção e aplicação de políticas corporativas que expressam os requisitos de leis, atos, normas etc. Há muitas ferramentas que prometem a atender requisitos regulatórios, como por exemplo a Lei Geral de Proteção de Dados, e não passarão de promessa se, obrigatoriamente, não oferecerem este alicerce. Como proteger dados se você não sabe: Qual o ciclo de vida? Como, quando, onde, por que estarão disponíveis? Quem os acessará? Para quê?

Cada uma dessas perguntas depende de mecanismos que apenas o alicerce da Gestão de Identidade e Acessos os oferece. De acordo com o Gartner Group, uma ferramenta de Gestão de Identidade e Acesso tem de oferecer a gestão do ciclo de vida de pelo menos as seguintes entidades:

• Fonte Autoritativa de Dados: este é modo de operação clássico de ciclo de vida de Identidade em que a ferramenta é integrada a um sistema externo que encapsula processos de ciclo de vida, como RH, gerenciamento de fornecedores e outros sistemas tais como Serviços de Diretório, Ferramentas de Emails, entre outras;

• Prestadores de Serviço: esses ciclos de vida de identidade geralmente cobrem não funcionários (ou seja, aqueles que não são cobertos por sistemas de RH ou processos externos, como contratados e fornecedores). Um terceiro solicita autorização temporária (limitada no tempo e sujeita a um limite máximo, normalmente entre 30 a 180 dias), que pode ser expandida mediante solicitação;

• Administração Delegada: quando há fornecedores ou clientes, vários indivíduos do parceiro de negócios atuam como terceiros para a criação e manutenção de Informações de Identidade para pessoas que estão trabalhando com a organização em nome do parceiro de negócios. Tal como acontece Prestadores de Serviços, as datas de vencimento ou a recertificação periódica devem ser usadas para fechar o ciclo desse tipo de ciclo de vida;

• Auto-serviço: quando consumidores precisam interagir com o site de uma organização, de uma forma que exija personalização, eles geralmente são obrigados a criar algum tipo de conta, e esse ciclo de vida de identidade geralmente é reservado para cenários de acesso onde não há razão para remover o acesso no futuro, como quando não há um final de relacionamento definido.

Existem muitos assuntos que se transformam em uma grande pressão para a área de Governança e de TI das empresas, como é o citado caso da Lei Geral de Proteção de Dados. Em nome da eficiência (que muitas vezes não resulta em eficácia), é são enormes as tentações para se pegar um atalho para atender a essas pressões. À luz da experiência de grandes empresas e profissionais que vivenciaram situações semelhantes, lembre-se que há casos em que não há um caminho mais curto, como é o caso de gestações. Em geral, essas regulamentações e normas culminam em aplicações que se não tiverem um alicerce bem fundado, serão frágeis e não serão cumpridas.