O investimento na segurança e na proteção da identidade atingiu um máximo histórico. Este ano, prevê-se que o valor do mercado global de gestão da identidade e do acesso (IAM) atinja os 20,75 mil milhões de dólares. Este facto não é surpreendente; a Gartner estimou recentemente que cerca de 75% de todas as falhas de segurança são atribuíveis a uma gestão deficiente da identidade, do acesso e dos privilégios. O que é que o futuro reserva para a gestão de identidades?
Apesar do aumento dos investimentos em deteção e resposta a ameaças à identidade (ITDR), as organizações ainda se debatem com a implementação. Muitas vezes, os departamentos de uma organização estão fundamentalmente desconectados, o que anula qualquer hipótese de promover uma cultura de identidade sustentável. De acordo com Denis Ontiveros Merlo, vice-presidente de plataformas empresariais da bp, essa desconexão não é algo que as empresas possam resolver internamente.
"Construímos todo um ecossistema que, sem nos apercebermos, criou antipadrões [em nome da segurança] que derrotam o objetivo final de tornar a identidade sem atritos, segura e protegida", explica Ontiveros Merlo. "As pessoas seguem estes padrões porque pensam que é a coisa certa, e acabamos num ciclo vicioso. Há muita educação que precisa de acontecer para nos libertarmos desta situação".
A formação sobre as mais recentes capacidades de gestão de identidades é o primeiro passo para o futuro da gestão de identidades. Mas não é o único desafio que as organizações encontrarão pelo caminho.
Tropeçar num novo cenário de gestão de identidades
Em muitos aspectos, o sector empresarial ainda está a recuperar da mudança de paradigma que ocorreu durante a pandemia. Atualmente, tudo é digital, distribuído e federado, independentemente da nossa vontade. Esta mudança representa um desafio considerável para as organizações que estão habituadas a gerir infra-estruturas e equipas centralizadas.
"Quando se trata de impor um certo sentido de governação, já não há uma garganta para estrangular, como diz o ditado", afirma Ontiveros Merlo. "Enquanto antes tudo era monolítico, agora temos uma infinidade de pequenos componentes a trabalhar em conjunto. Juntamente com a transformação digital e o trabalho remoto, a arquitetura de microsserviços está a tornar-se a norma.
"Todos estes componentes têm de se autenticar e confiar uns nos outros", continua. "Cada utilizador, máquina, aplicação, dispositivo e sensor. É um desafio considerável, mas acredito que também é uma oportunidade. Podemos ver isso com o Azure B2B, que pode ser considerado como o início da identidade descentralizada."
A loucura de forçar a gestão de identidades para dentro de uma caixa
Adoramos a ideia de que existe uma solução única para o ITDR. No entanto, as organizações têm capacidades, restrições e requisitos diferentes. Tecnologias e estratégias que funcionam para uma empresa podem falhar completamente para outra.
"Sempre achei interessante o facto de que, no que diz respeito aos desafios de identidade, como o acesso privilegiado, tendemos a criar soluções e ecossistemas que, em última análise, tendem a desviar-se da configuração", reflecte Ontiveros Merlo. "O padrão ideal seria enviar o código de forma declarativa através da integração contínua/entrega contínua (CI/CD). No entanto, antes de lá chegarmos, temos de estar mais conscientes e atentos aos preconceitos que podemos ter quando adoptamos novas tecnologias - dos antipadrões em que podemos cair.
"Também temos de estar mais conscientes da forma como integramos a tecnologia na organização", acrescenta.
A gestão da identidade não é apenas para administradores
A gestão da identidade tem sido tradicionalmente vista como uma preocupação administrativa. No entanto, a identidade é relevante para muito mais do que apenas os administradores.
"Temos de perguntar quem é o cliente nesta situação", diz Ontiveros Merlo. "Como a identidade tende a ser um serviço partilhado, é frequentemente utilizada como um ponto de controlo da governação. Mas a realidade é que a governação e a responsabilidade são da responsabilidade de todos."
Não podemos esperar que as equipas de identidade tratem de questões como a privacidade ou a separação de tarefas. Ao desenvolver e implementar soluções de gestão de identidades, temos também de considerar a experiência do utilizador e a forma como os nossos processos e políticas contribuem para isso. A segurança e a conveniência não podem continuar a ser incompatíveis entre si.
Ir para além do RBAC
A longo prazo, diz Ontiveros Merlo, o controlo de acesso baseado em funções (RBAC) poderá não ser o mais adequado para um futuro distribuído. Esta mudança tem o potencial de ser bastante perturbadora.
O RBAC era muito bom em sistemas mais antigos e monolíticos, onde não havia muitas mudanças. No entanto, o panorama empresarial atual - e as funções - são altamente dinâmicos.
"Quando a sua organização muda e as suas funções não, isso cria fricção", explica Ontiveros Merlo. "Os utilizadores acabam por ter demasiado ou pouco acesso. O acesso baseado em políticas é muito mais dinâmico, e é por isso que vimos os padrões de autenticação evoluírem tanto nos últimos anos."
Embora a autenticação tenha evoluído, a autorização parece estar atrasada. Só agora estamos a começar a ver novas tecnologias que externalizam e normalizam os conceitos de autorização. A recertificação, particularmente em torno de activos contextuais, é outro grande desafio de gestão de identidade que a indústria tem de ultrapassar.
Evitar os antipadrões da gestão de identidades
A comunidade de segurança tem uma tendência infeliz para se fechar em copas quando acredita que encontrou a forma "correcta" de fazer algo, e isso é perigoso.
"Quando encerramos as conversas sem considerar exatamente o seu significado, empurramos as coisas para um canal muito menos seguro", diz Ontiveros Merlo. "Especialmente no caso de sistemas complexos, temos tendência a adotar comportamentos definidos. Todos nós precisamos de estar um pouco mais atentos ao contexto, aos nossos próprios preconceitos, à indústria em geral e ao que os outros departamentos nos podem ensinar sobre o nosso próprio".
A Ontiveros Merlo recomenda a aplicação de práticas de engenharia e psicologia à gestão de identidades - adotar uma abordagem ampla e multidisciplinar que se concentre na resolução de problemas através de dados, da centralização no cliente e do pensamento crítico.
"Em última análise, trate a identidade como um produto e tenha curiosidade sobre o atrito que cria para os seus clientes", diz ele. "Estes podem ser utilizadores finais, programadores de aplicações ou mesmo programadores que estão a reinventar o seu percurso de registo e início de sessão. Sejam eles quem forem, tente reduzir a carga cognitiva dessas equipas distribuídas, para que se possam concentrar naquilo que fazem melhor."
Estamos todos juntos
O espaço da identidade tem evoluído a passos largos nos últimos anos, mas os maiores desafios ainda estão para vir. As identidades das máquinas estão a juntar-se às identidades dos clientes e das empresas, à medida que várias empresas e entidades trabalham em conjunto em cadeias de fornecimento intrinsecamente ligadas. Inevitavelmente, uma empresa terá de conceder acesso a identidades para as quais não é a fonte autorizada.
Neste cenário, a colaboração não é apenas uma recomendação, mas representa o único caminho a seguir.
"Vamos utilizar muito mais os dados para análise comportamental e para dar contexto às identidades", prevê Ontiveros Merlo. "E para gerir tudo, desde a recertificação à segurança das transacções. Ninguém será capaz de resolver problemas como este sozinho. No futuro, precisaremos de polinização cruzada. Precisaremos de parcerias e colaboração entre empresas e disciplinas."
Saiba mais sobre a proteção de identidade híbrida
