O que é gestão de identidade?

O que é Gestão de Identidade e por que sua empresa deveria se preocupar com ela?

O que é Gestão de Identidade? Para responder a esta pergunta, vamos pegar emprestada a definição do Gartner Group [1]: “Identity and access management (IAM) is the discipline that enables the right individuals to access the right resources at the right times for the right reasons.”.

Antes de analisarmos esta definição do Gartner, é interessante alinharmos alguns conceitos. Normalmente, termos como “Gestão de Identidade”, “Gestão de Acesso”, “Identity Management”, “Identity and Access Management” e “IAM” se referem a uma mesma disciplina.

Neste artigo, vamos usar o termo Gestão de Identidade, mas é importante não esquecer que em diversos lugares, pode ser que você veja estes e outros termos sendo utilizados de forma intercambiável.

Voltando à definição do Gartner, podemos destacar elementos importantes, sendo eles: (i) “Individuals”; (ii) “Resources”; (iii) “Right times”; e (iv) “Right reasons”. Neste artigo, vamos utilizar estes 4 elementos para explicarmos o que de fato é Gestão de Identidade e por que as organizações deveriam desenvolver planos de ações para sua adoção.

Individuals

Na disciplina de Gestão de Identidade, o Indivíduo é um elemento central das ações, é a pessoa (ator) que deseja ter acesso a um determinado recurso. Em um contexto organizacional, este indivíduo pode ser um colaborador, um parceiro ou até mesmo um cliente.

Resources

A definição de Recurso, pode ser entendida de forma geral como algo que um determinado Indivíduo deseja utilizar. Um recurso pode ser algo como uma aplicação, um conteúdo, um servidor, um acesso à Internet, ou até mesmo uma coisa (IoT), por exemplo uma catraca que dá acesso físico à organização.

Right times

Em um mundo cada vez mais digital e de experimentação, indivíduos precisam de acesso a recursos de maneira mais rápida possível. Não é mais aceitável que um colaborador (indivíduo) aguarde dias para poder acessar seu sistema principal (recurso) de trabalho. Além disso, devido a cenários cada vez mais ágeis, é necessário conceder acessos a recursos corporativos de forma rápida, garantindo que a agilidade requerida não comprometa a segurança da organização.

Right reasons

Cada indivíduo deve ter acesso aos recursos necessários e em tempo hábil, e isto deve sempre ocorrer pela razão correta (Right Reason). A necessidade do acesso pode se dar pelo papel que ele exerce na organização ou por alguma tarefa específica que ele vá executar durante algum período. De forma geral, nenhum indivíduo deveria ter acesso a um recurso se não houver uma razão. Isto protege a organização, mas, também, protege o indivíduo.

Com a definição destes 4 elementos, já é possível entender que a Gestão de Identidade é responsável por garantir que indivíduos tenham acessos a recursos, e que estes acessos aconteçam na hora necessária e pela razão correta. Porém, como tornar isto em realidade?

Basicamente, para implantar Gestão de Identidade são necessários PROCESSOS e TECNOLOGIAS para o mapeamento de Indivíduos, Recursos, Right Time e Right Reasons no âmbito da organização. Ou seja, quando falamos de Gestão de Identidade, não estamos falando apenas de um sistema logicamente centralizado que é capaz de capturar todas as necessidades para que o objetivo principal seja alcançado. Devemos ter em mente que, a Gestão de Identidade utiliza muito de tecnologias mas que, em sua base, temos a utilização de diversos processos, que envolvem tanto TECNOLOGIAS quanto PESSOAS.

O que são estes processos e tecnologias?

Para explicar os processos e tecnologias envolvidos na Gestão de identidade, vamos utilizar os 4 elementos discutidos anteriormente.

Indivíduo

Se o indivíduo pode ser um colaborador, parceiro ou até mesmo um cliente, nós precisamos de algum mecanismo que nos auxilie na organização do ciclo de vida deles. Por exemplo, quando este indivíduo é criado? Quando ele é modificado? Quando ele é removido?

Para nos ajudar neste controle, podemos utilizar o que chamamos na disciplina de Gestão de Identidade de “Processo de Reconciliação”, que nos auxilia a controlar o que de fato foi criado, alterado ou removido, relativamente a indivíduos.

Em um contexto organizacional, podemos por exemplo integrar o nosso sistema de Gestão de Identidade com o sistema de Folha de Pagamento (normalmente utilizado para controle de colaboradores), deste modo, sempre que um colaborador é admitido, entra em férias, é demitido ou tem alguma modificação, nós podemos tomar ações apropriadas, como por exemplo, revogar um acesso, inativar um acesso, ativar um acesso etc.

De forma resumida, podemos fazer uma relação entre o ciclo de vida de um colaborador na organização e seus acessos aos recursos corporativos. Ou seja, sempre que um colaborador é admitido, ele pode ganhar um conjunto de acessos, sempre que ele sai de férias, podemos inativar tais acessos e quando ele for desligado da empresa nós os revogamos.

Com isto em mente, fica mais claro entender porque é importante o controle do indivíduo quando estamos discutindo o controle de acesso.

Resources

Assim como controlamos quem pode acessar algum recurso, agora é importante discutirmos como estes recursos podem ser gerenciados.

Um dos elementos centrais quando falamos em recursos é uma base de dados que nos permita conhecer qual indivíduo possui acesso a qual recurso. Esta base vai nos permitir, por exemplo, revogar os acessos de um determinado colaborador, instantaneamente, em um único local, se ele for desligado da organização.

Além disso, um processo fundamental no controle dos recursos é de fato a criação do acesso a recursos desejados. A este processo damos o nome de Provisionamento, que é o processo responsável por criar, editar e remover as informações de acesso de um determinado indivíduo. Por exemplo, quando um colaborador pede acesso à VPN da organização, de alguma maneira essa solicitação deve ser atendida e de alguma forma seu acesso deve ser criado para a respectiva aplicação.

O processo de provisionamento, normalmente, pode se dar de duas formas, sendo: Automática ou Manual. Por Automática, entendemos que o sistema de Gestão de Identidade enviará comandos por meio de uma API e o recurso os interpretará, criando e/ou removendo os acessos necessários. Por Manual, estamos nos referindo a alguns recursos que normalmente não são gerenciados por meio de uma API, seja por uma limitação técnica ou até mesmo financeira (não se justifica o investimento da automatização).

Right times

Além dos processos e tecnologias que podem auxiliar na gestão de indivíduos e recursos, há processos e tecnologias que suportam os indivíduos em seus acessos a recursos no momento certo. Dentre os processos que podemos utilizar, podemos citar alguns tais como:

• RBAC (Rule Based Access Control): é o que chamamos de controle de acesso baseado em papéis, que garantem que colaboradores de nossa organização tenha seus acessos concedidos por meio de seus cargos e funções que eles ocupam em seu dia a dia;

• Certificação: mudanças de cargo, função ou até mesmo alguma mudança na estrutura organizacional, podem ter impactos nos acessos que colaboradores de uma organização possuem, sendo assim, sempre que alguma mudança ocorre é interessante revalidarem os acessos dos colaboradores, para garantir que cada colaborador tenha o(s) acesso(s) que ele realmente necessita; e,

Self-Service: um processo fundamental que torna possível que o indivíduo possa requerer acessos nos momentos (Right Time) que ele precisa e, sendo assim, ele mesmo pode gerenciar seus acessos para desempenhar a função necessária (Right Reason).

Right reasons

Assim como precisamos utilizar vários processos para garantir o acesso do indivíduo em tempo hábil, também precisamos de processos para que estes acessos ocorram pela razão correta.

Além dos processos de certificação e RBAC, que discutimos anteriormente e que podem nos auxiliar para que seja possível concedermos os acessos pelas razões corretas, é possível utilizar outros mecanismos, como por exemplo, o que é comumente chamado de “Segregação de Responsabilidades”.

O processo de Segregação de Responsabilidades, nos permite garantir que indivíduos não possuam acessos conflitantes. Por exemplo: alguém que abre uma solicitação para compra de algum equipamento, não deveria ser responsável por aprovar esta solicitação.

Com estes e outros processos, podemos trabalhar para que indivíduos possuam acessos ao seus recursos, nos períodos necessários, pelos motivos corretos.

Por que minha empresa deveria se preocupar com isso?

Agora que entendemos que Gestão de Identidade nada mais é do que conceder acessos para indivíduos na hora e pela razão corretas, e que, para alcançar este objetivo, podemos utilizar de vários processos e tecnologias, vamos responder a questão central deste artigo: Por que minha empresa deveria se preocupar com isso?

Nossas organizações deveriam considerar Gestão de Identidade por diversos aspectos, mas vamos nos concentrar apenas em dois: Transformação Digital e Compliance.

Qual a relação entre Gestão de Identidade e Transformação Digital? Se a questão central da Transformação Digital é trazer todos os aspectos de uma organização para um mundo digital, isto significa que muito provavelmente a quantidade de recursos que eram gerenciados anteriormente tendem a crescer e muito. Sendo assim, do que adianta termos uma série de aplicativos se não conseguimos facilitar a adoção dos mesmos?

E, se não nos preocupamos com o crescimento e em como faremos a gestão de recursos, como será possível a Compliance com normas, leis e outros aspectos regulatórios?

Se minha organização adota cada vez mais soluções em nuvem, como vou me organizar para que estas aplicações sejam gerenciadas de forma a atender legislações?

Se analisarmos apenas estes dois aspectos, podemos perceber que a implementação de uma plataforma de Gestão de Identidade em nossas organizações faz todo sentido e que a adoção de plataformas que nos auxiliem nisso é de extrema importância.

Bibliografia:

https://www.gartner.com/en/information-technology/glossary/identity-and-access-management-iam