A gestão da identidade e acessos concebida como um barramento de serviços é uma das condições para alicerçar a transformação digital dos negócios
Historicamente, as abordagens de segurança e gestão da identidade se aplicavam sobre uma realidade comportando elementos relativamente estáveis e passíveis de controle. Este ambiente era, então, fisicamente compartimentado, logicamente determinado, hierarquicamente organizado e esquematicamente compreendido.
Mesmo na rede pública e, por natureza insegura, a navegação de missão crítica das empresas se garantia através da projeção lenta de túneis e com bons instrumentos de autenticação.
Ocorre que tais circunstâncias não existem mais e o que muda, no contexto atual, é a própria realidade a ser enquadrada. Isto porque entram em cena, para valer, as empresas horizontais e os negócios disruptivos. Sem sedes, sem filiais, sem premissas bem delimitadas e sem uma clara cadeia de responsabilidades estanques. Frutos cada vez mais numerosos de iniciativas de digitalização dos negócios, operações dessa natureza atingirão cerca de 17% das receitas empresariais até 2021 segundo um relatório do Gartner.
Cai por terra, em outras palavras, o paradigma da arquitetura defensiva, que por décadas justificou a segurança da informação via proteção do perímetro. Uma proteção que se dava através de muralhas físicas e virtuais associadas ao controle rigoroso dos indivíduos e dos elementos estruturais no interior desse microuniverso.
Com a digitalização e com os novos modelos de negócios (e de obtenção de receitas) que dela decorrem, fica gritante a exigência de controles adicionais sem precedentes, em função de diversos outros fatores de risco e de segurança.
Olhemos para o paradigma de vias urbanas, onde já não mais trafegam apenas carros e pedestres, cada qual na sua própria trilha. De que maneira mapear e controlar a convivência sem atrito de transeuntes com uma babel de modais, como motos, bikes, drones, patinetes, motos, coletivos, utilitários e até veículos autônomos? E tudo isto em um novo tipo de conformação cultural e produtiva, onde os formalismos funcionais são vistos como entraves ao bom desenvolvimento dos fluxos.
Na arena específica da identidade, as formas de produção da sociedade em rede implicam numa grande confluência de pessoas, dispositivos, coisas, aplicações, arquivos, recursos, lugares e composições. Tudo isto assumindo funções pontuais e intermitentes nos mais diferentes contextos e com uma grande exigência de flexibilidade e liberdade de ação. E tudo isto embutido em novas aplicações e negócios que carregam novas formas de engajamento, envolvimento e compromisso da massa dos indivíduos.
Em síntese, a nova questão do gerenciamento da identidade passa pela constatação de que as formas modernas de produção, com novos serviços desenvolvidos por tecnologias emergentes (IoT, blockchain, microsserviços, devops etc) residem num ambiente de associações de trabalho essencialmente inseguras. Um ambiente, além disso, impossível de ser domado pela arquitetura tradicional voltada à prevenção, defesa e resposta a ameaças a partir de um lugar demarcado, uma trincheira.
No Brasil, como em todo o mundo, já vai se tornando consensual o encaminhamento dessa problemática para novos modelos, sejam eles Zero Trust, segundo formulação da Forrester, ou CARTA (Contínuos Adaptive risk and Trust Assessment) do Gartner.
Assumindo-se também que a as formas de controle efetivo das identidades e dos acessos não pode provocar excessivo atrito no processo para não comprometer a agilidade requerida. E muito menos criar uma fricção indesejável com o usuário final, seja ele cliente, empregado ou parceiro.
Partindo da sua experiência e dos demais negócios disruptivos, os laboratórios de segurança do Google forjaram o conceito de “BeyondCorps” para descrever o novo padrão de organização empresarial que emerge da sociedade em rede e no qual a insegurança (ou melhor, o seu enfrentamento) é questão não só de sobrevivência, mas também de competitividade.
Isto porque, no cenário de BeyondCorps, a velocidade das permissões de acesso – velocidade esta equacionada com a segurança máxima desse acesso – incide, em grande medida, no sucesso frente à concorrência.
No paradigma da BeyondCorp, a autenticação de identidades e a permissão de acesso pertencem a uma classe das funções essenciais de serviços (tal como as “Utilities”), de modo a permitir, sem burocracia, as conexões intermitentes de colaboradores, parceiros, empregados tradicionais, clientes, fornecedores e até estranhos circunstanciais, cuja interação pode agregar um valor, mesmo fluido, ao negócio.
Não é à toa, que em um último estudo, também do Gartner, a Gestão da Identidade é um dos principais alvos de automação de segurança a serem seguidos em conjunto com a automação dos dados e novos serviços.
Identidade é, portanto, a fundação para todos os outros controles de segurança. Especialmente quando se fala em movimentos de migração a ambientes de Cloud, uma vez que a decisão do acesso permanecerá sempre atrelada aos controles internos das organizações, sejam estes acessos de humanos ou de máquinas.
Em sintonia com a visão das BeyondCorps, uma formulação adequada é, a meu ver, a de projetar a segurança como um barramento de serviços em que a autenticação e a autorização passam a se orientar ao acesso (políticas, atributos, fortalecimento, risco, transação) e não somente ao objeto (máquina, dispositivo, aplicação ou arquivo) ou ao sujeito (entidade ou humano).
Acima de tal barramento, o estrategista de segurança de identidade e acesso irá projetar o conjunto de regras de autenticação e autorização que se aplicam às entidades, no que diz respeito às suas relações com aplicações, arquivos, dispositivos e demais recursos da rede.
Trata-se de um rearranjo de onde se obtém o conceito de “Identity as a Utility”, tal como entendemos outros serviços essenciais como energia, água ou combustível.
Esta gestão da identidade e acessos orientada a serviços está em linha com tendências da transformação digital dos negócios, como a disseminação do blockchain, da federação de identidades e da computação elástica baseada em microsserviços.
Termos como IDM, IAM, IGA, PAM agora estão convergindo para ICAM (Identity, Credentials and Access Management), que inclui a modernização nos seguintes pilares: “access management”, “identity governance” e “identity integration and virtualization”.
É bem verdade que a maioria das empresas continua em processo de assimilação de tecnologias de IAM ainda baseadas na organização perimetral, e não diretamente envolvidas em processos disruptivos.
Mas, como bem mostra o Google, Netflix, Spotify e muitas outras, as imposições de velocidade de acesso, quebra de salas ou estruturas hierárquicas, multiplicidade relacional e amplificação da insegurança, intrínsecas ao ambiente produtivo, são fatores que já estão contaminando a sociedade e as empresas de modo abrangente e irreversível.
De modo que a gestão de acesso e identidade deve ser encarada como missão crítica por si só, já que carrega, entre outras, a função de habilitar a gestão do risco e segurança, além de garantir o controle e integridades das novas fronteiras de negócio.
*Adré Facciolli é CEO da Netbr
