Gestão de Identidade e Acessos não é sobre automatizar seu Active Directory

Gestão de Identidade e Acessos não é sobre automatizar seu Active Directory

As organizações têm enormes desafios de Segurança que refletem em pelo menos dois aspectos importantes sendo (i) Padrões de Compliance, que podem implicar em políticas corporativas, visando a atender Regulações, Atos e Normas nacionais e internacionais; e (ii) Eficácia para transformar aspectos dos Padrões de Compliance em procedimentos de monitoração e controle, nos diversos níveis da organização.

Evidentemente (ii) tem um apelo muito grande, uma vez que executivos e as diversas camadas de gerências são cobrados diuturnamente por desempenho, aliás, aumentar o desempenho das operações. No entanto, geralmente, estão mais preocupados com eficiência do que com eficácia. Existe uma diferença sutil, mas importante, entre essas duas palavras. Eficiência é fazer rapidamente. Eficácia é ser eficiente para uma finalidade proveitosa. Não adianta fazer rapidamente, se o que você faz não tem utilidade, ou pior ainda, acelera o desastre.

Existe uma capacidade humana de responder a dores, aliás, não só humana. Trata-se primeiro aquilo que causa dor, sem se preocupar, muitas vezes, que a dor é apenas o sintoma. Pode-se até aliviar a dor, mas a causa da dor continua lá. Este é um bom exemplo para diferenciar eficiência de eficácia. Algo semelhante acontece com o provisionamento no Serviço de Diretório (DS – Directory Service), muitas vezes referenciado como AD (Active Directory) ou LDAP (Lightweight Directory Access Protocol).

O Serviço de Diretório é um ponto nevrálgico para organizações, pois há vários acessos que são oferecidos por meio dele. Por exemplo, acessos à rede e emails podem ser disponibilizados por meio do cadastro do usuário no DS. Há vários outros exemplos que poderiam ser mencionados. Deste modo, é compreensível que se queira automatizar cadastros no DS. Contudo, várias perguntas podem ficar sem resposta quando se automatiza simplesmente o cadastro no DS, tais como, qual política está sendo atendida em determinado cadastro? Todos os cadastros existente estão válidos? As permissões concedidas estão de acordo com a compliance da organização? E muitas outras existem.

Estas perguntas somente terão respostas eficazes se os cadastros no DS acontecerem como tarefas do processo de provisionamento, oferecido pela Gestão de Identidade e Acesso, que por sinal, não é vista em toda a sua extensão e profundidade, por inúmeros profissionais envolvidos neste processo. A seguir são listadas 5 falácias sobre Gestão de Identidade e Acesso, sendo:

1. Uma ferramenta para apenas automatizar seu Active Directory ou outras aplicações;

2. Uma ferramenta apenas para diminuir os tickets no seu Service Desk;

3. Uma ferrementa para "fazer login";

4. "Apenas uma ferramenta";

5. Preocupação apenas da área de TI.

Os itens (1), (2) e (3), evidentemente, são almejados e podem ser alcançados como parte do projeto de implantação de uma Plataforma de Gestão de Identidade e Acesso como estratégia para atingir altos padrões de Compliance e Segurança. Os itens (4) e (5) são só falácias mesmo. Há que se anotar que nem tudo são falácias e há muitas verdades que permeiam o imaginário relativamente a Gestão de Identidade e Acesso, sendo 5 delas:

1. No cenário atual, toda e qualquer empresa, independentemente do porte, deve se preocupar com Gestão de Identidade e Acesso;

2. Gestão de Identidade e Acesso é sobre Processos, Pessoas e Tecnologia;

3. Gestão de Identidade e Acesso é uma disciplina estratégica para negócios de toda natureza;

4. Existem benefícios muito maiores do que apenas automatizar o provisionamento das minhas aplicações;

5. Gestão de Identidade e acessos ajuda minha organização a estar em dia com leis como LGPD e normas tais como ISO 27001, PCI etc.

Há uma expressão no hemisfério norte que diz - “Gostando-se ou não o Inverno chega!”. Para além dos benefícios de se ter a Gestão, a Monitoração e o Controle na ponta dos dedos, a um clique de mouse, gerir Identidades e Acessos será obrigatório para todas as empresas com possíveis implicações em seu principal ativo que é sua credibilidade e, por consequência, seu valor de mercado.