É fato que as empresas de hoje em dia investem em recursos humanos e tecnológicos: os recursos tecnológicos são amplamente utilizados pelas corporações e pessoas são contratadas e treinadas para operarem e utilizarem tais recursos, sejam com acesso normal ou privilegiado. Independente do seu papel na corporação, é de suma importância identificar e conceder acessos para os usuários, afinal, os usuários precisam acessar os recursos tecnológicos para que possam desempenhar suas atividades, preferencialmente seguindo alguma regra regulatória. Com o crescimento vertiginoso dos recursos, surgem perguntas que norteiam as principais preocupações das organizações e gestores:

Quem tem acesso aos recursos de TI?

Que privilégios de acesso cada usuário tem? Ou seja o que eles podem fazer?

Os usuários podem usar um só nome de usuário e senha?

Sua empresa cumpre regras regulatórias? Atende a todos os itens das normas?

Acesso

Dependendo do recurso que estamos disponibilizando, ele pode ser utilizado por um grupo pequeno ou por uma imensidão de usuários, aglomerados em grupos de controle de acesso, com necessidades específicas ou distintas. Fato bastante relevante e que deve ser levado em consideração bem antes da disponibilização do recurso para não tornar sua administração uma tarefa hercúlea. Como saber quem é quem? Em outras palavras, qual sua “Identidade”.

Privilégios

Dentro das corporações temos o tão importante time de TI, ou de pessoas que controlam os recursos tecnológicos, e por isso precisam ter acesso privilegiado a eles para validar seu funcionamento, conceder e remover acessos, executar tarefas administrativas e de manutenção. Como controlar quem tem qual tipo de privilégio em qual local? Identidades e papéis.

Nome de usuário e senha

Passando de nome de usuário a login, no pior dos casos, se tivermos 10 sistemas, temos 10 dessas credenciais de acesso, com políticas e características básicas distintas. Passamos desta forma aos usuários, finais ou com acesso privilegiado, a complexa tarefa de administrar uma dezena de credenciais distintas, em sistemas distintos, mas nem sempre com senha também distinta. Bingo! Está aqui um grande problema corporativo: descentralização de identidades. Há usuários que colam lembretes de senhas nos monitores, outros que tem uma lista com todas sob o teclado e aquele grupo certinho, que segue regras complexas de formação e tempo de vida das senhas e ótimo convívio com credenciais diferentes. Mas como atender a todos estes grupos? Identidades, papéis e centralização.

Regras regulatórias

Visando aumentar a capacidade de controle, conformidade e facilidade na manutenção, são implementadas regras regulatórias nas corporações. Mas o que estaria isso diretamente relacionado com usuários, acesso, privilégio e suas credenciais? A forma como tudo isso acontece e é disponibilizado: deve estar conforme a norma.

Infraestrutura de identidades centralizada

A centralização da Infraestrutura de identidades chega para ficar e está na alça de mira de muitos gestores de TI, mas com simplicidade é possível resolver isso, principalmente as soluções com excelente custo-benefício e que se utilizam da infraestrutura de identidade existente na empresa, sem a necessidade de se instaurar uma nova cultura, ensinando os demais sistemas a autenticar num ponto central.

É fato que hoje grande parte das corporações se utiliza de estruturas para gerenciar objetos computacionais – dentre eles usuários e recursos – baseado em diretório Microsoft. Também é sabido que elas utilizam sistemas de informação, na nuvem ou on premise, com diretórios de autenticação separados, sem comunicação com o central. O que isso gera? Descentralização de identidades. O que isso acarreta? Maior esforço para manter a segurança, maior tempo para disponibilizar acesso e, principalmente, possibilidade de falhas num momento importante: a remoção de acessos críticos e privilegiados.

Na carona…

Outro movimento sem volta, mas também diretamente relacionado a identidades e recursos é o BYOD (Bring Your Own Device) e MDM (Mobile Device Management): dispositivos móveis que podem ser trazidos pelos usuários, ou não, e a correta administração de “quem tem o que?”, “quem pode fazer o que com o que tem?” e, “como eu fico conforme com a norma regulatória permitindo o uso disso?”. Mais desafios de identidade e controle para os mesmos gestores, mas num mundo novo e tão nocivo quanto a segurança e informações, onde poderemos ter 4 opções:

1. Ignorar e achar que os riscos são exagero e abrir dispositivos móveis para a organização;
2. Levar o risco para apenas os níveis gerenciais altos e correr um risco médio, deixando a maior parte dos colaboradores da organização de fora;
3. Buscar uma solução flexível que garanta o controle granular das aplicações móveis nos dispositivos da corporação;
4. Não fazer nada e perder agilidade e competitividade.

Sem um planejamento adequado e ferramentas que apoiem estes controles, fica muito complicado e dispendioso manter os recursos e a produtividade desse pessoal todo, que precisa se identificar diariamente para sistemas (o cara – crachá!) para poder desempenhar suas tarefas e mostrar seus resultados.