Identidade como Serviço

“Identidades, gestão e governança” é tema de debate das empresas há muitos anos. Atualmente, um dos principais focos de atenção dos Chief Security Officer é estabelecer um programa de gestão de identidades eficiente, com governança e escalável que permita o crescimento do negócio e a expansão dos serviços - seja para funcionários, parceiros, terceiros ou clientes.
 
Mas, por que a gestão de identidades se tornou tão importante? Em um sistema comercial sem fronteiras físicas entre a empresas e seus clientes, no qual a informação não está mais apenas dentro de casa - datacenters em nuvem -, as barreiras tradicionais como Firewalls, e IDS/IPS, embora ainda importantes, não apresentam a abrangência necessária para proteger as informações que circulam pelo mundo. Sendo assim, a solução de gestão de identidades, além de endereçar diversos pontos das principais normas de segurança, como SOX, HIPAA e PCI, traz um retorno sobre o investimento (ROI) bastante interessante para as empresas, pois melhora a eficiência operacional, aumenta a produtividade dos funcionários e melhora a experiência dos usuários.
 
 No entanto, a implantação tende a ser de longo prazo, investimento relativamente alto, com envolvimento de equipes multidisciplinares (técnicas e processos) e líderes que conheçam bem suas necessidades, dificuldades e visão estratégica da companhia para poderem estruturar um alicerce consistente e eficiente. Uma vez implementado, os CSOs devem voltar atenção para a sua governança, que envolve, além da sustentação e suporte, todo o processo de gestão, e geração de métricas que direcionarão os esforços para os itens prioritários, além de dar visão aos executivos de ROI, disponibilidade e eficiência. 
 
Para resolver parte desse ônus – se é que podemos chamar assim – temos o modelo de identidade como serviço, o qual acredito ser uma tendência em curto/médio prazo. Esse novo approach de solução visa trazer todos os benefícios do modelo tradicional, porém com menos custo de investimento e menor tempo de projeto. Nesse modelo o FOCO está no negócio e em estabelecer indicadores e métricas que serão cobradas do serviço. Assim, a empresa não precisa investir praticamente nada em Hardware, equipes de operação e sustentação. 
 
Adicionalmente, apesar de ser uma solução em nuvem, traz um conceito híbrido onde a gestão é feita em aplicações que estão em nuvem (grande motivo de atenção dos gestores em garantir que apenas quem pode acessar as informações nessas aplicações, acessem) e dentro da empresa (modelo tradicional). 
 
Por sua segurança e praticidade, esse novo approach será bastante discutido e implementado nos próximos meses. Para alguns negócios e segmentos será a forma mais viável e eficaz de implementação da gestão de identidades. Essa tendência já é realidade nos negócios de diversos países e no Brasil não será diferente. 
 

André Toledo é sócio-diretor na SEC4YOU, empresa brasileira com foco em segurança da informação.

 

 

https://www.linkedin.com/company/1209213/

Custom Topo