Já há algum tempo se observa o deslocamento da questão da identidade e acesso para o centro das preocupações de TI, num movimento bastante visível muito antes da COVID 19. Até recentemente, porém, esta tendência se explicava basicamente em função de condicionantes internas. Isto é: por questões relacionadas ao próprio desenvolvimento da sociedade conectada, da diversificação dos dispositivos, da ampliação dos negócios e da vida online como um todo.
Já vinha galopante o crescimento de fenômenos como open-banking e a utilização de mídias programáticas, com o acompanhamento de clientes reais e virtuais ao longo das redes omnichannel e sua marcação por “tags” para alimentar a análise preditiva.
Mas após a súbita decretação da Pandemia, o que se assistiu em toda parte foi a um desafio inusitado de evacuação de escritórios, levando as empresas a assumir um modo de operação contingencial nunca antes pensado. E para ser posto em prática em prazos de semanas ou dias. Há motivos para acreditar que agora não haverá retorno, e este é o “novo normal”.
Projetos que seriam plausíveis de se pensar para uma perspectiva de anos, precisaram queimar dezenas de etapas e se materializar em velocidade inversamente proporcional à recomendada pelos protocolos de mitigação de riscos.
Por sorte, a maior parte das grandes empresas (e, portanto, as mais submetidas a riscos em escala elevada) já vinha equacionando com sucesso as suas políticas de gerenciamento de privilégio (PAM). Assim, puderam adotar o controle operacional remoto com um nível de segurança adequado para os responsáveis de nível mais elevado pelos recursos de TI.
O mesmo se pode dizer, pelo menos em parte, a respeito das estruturas de gerenciamento de identidade e acesso (IAM) em geral, abrangendo as interações de usuários internos de todos os níveis e cobrindo – no nível da rede – as transações com o mundo externo (clientes, parceiros e terceirizados).
Mas com a eclosão de COVID, literalmente bagunçando o design estratégico de tantas operações, não é pequeno o número de empresas que agora começa a enfrentar dificuldades de visualização e organização de seus fluxos de interações.
Se já houve, no passado recente, um avanço significativo nos projetos de PAM e IAM, a camada de governança de identidades e acessos (IGA) ainda não se encontra tão amadurecida numa parcela das empresas. E tratar de solucionar este problema se torna agora uma prioridade com menos tempo de preparação disponível.
Para alívio dos mais retardatários, a indústria de IAM já oferece suítes bem desenvolvidas, aderentes e já testadas de IGA com inúmeros de casos de aplicação cobrindo praticamente toda a indústria.
O Fator X e o paradoxo do atrito
A emergência da COVID vem acelerar a compreensão de que a transformação digital não deixa muita margem para subterfúgios e que o modelo de projetos “passo a passo” da tradicional TI de alta segurança precisa ceder logo espaço para os modelos ágeis de desenvolvimento e entrega.
A este respeito, aliás, é um fenômeno notável a rapidez com que as empresas, de um jeito ou de outro, foram capazes de estabelecer a migração para operações quase 100% remotas sem um planejamento prévio na escala e na velocidade em que tudo aconteceu.
Outro fator a observar é que, aparentemente, a guinada arquitetural das empresas não veio acompanhada (na maior parte dos casos) de perda cabal de eficiência, capaz de inviabilizar as operações, sendo que as falhas de segurança também ocorreram dentro de margens contornáveis. São fatos que vêm demonstrar o quanto já se investiu, nas grandes e médias empresas, na complicada equação “Segurança versus Atrito”.
Aliás, é bem provável que a conjunção dos compostos tecnológicos de IAM, PAM e IGA, seja em soluções proprietárias ou de indústria, tenha garantido as bases desse resultado benéfico.
Demonstrando assim que as instâncias de TI das empresas vêm avançando de forma consistente na compreensão de que a experiência do usuário (UX) é condição de sucesso das estratégias de segurança (e isso especialmente na esfera da identidade e acesso) e não apenas um detalhe. O “Fator X”, de experiência, também é um novo normal na perspectiva dos critérios de qualidade em estratégias de acesso.
Quando o Cliente Final dá as cartas
A abordagem das estratégias de gerenciamento da identidade e acesso já vinha se inclinando fortemente para a experiência do consumidor em larga escala. E esta tendência vai se acelerar a partir da nova dimensão que os setores de varejo e serviço online passam a exigir depois da pandemia.
Um passo nessa direção está na crescente adoção da arquitetura CIAM (Customer Identity and Access Management), em substituição a arranjos caseiros de inserção do consumidor como parte marginal ou acessória dentro das empresas.
Pesquisas recentes mostram que 85% das empresas veem o CIAM como componente estratégico da experiência do consumidor (UX) para 2022, sendo que hoje esta visão já é compartilhada por 40% das empresas. E note-se que estamos falando de pesquisas anteriores à COVID.
Falando de modo resumido, a concepção CIAM visa entender a identidade como uma entidade unificada (apesar de sua configuração dinâmica), perpassando todas as camadas de serviço e de aplicação da rede. Na sua base está a eleição da experiência do consumidor (CX) como critério de homologação das soluções de identidade e acesso. Com o balizamento, é claro, da máxima segurança.
Na composição do CIAM comparecem elementos essenciais, como o registro digital por imagens, o acesso a aplicações sem senha (SSO), a autenticação por múltiplos fatores adaptativos e uma suíte de gestão de permissões associada a regras de negócio e de compliance (LGPD, GDPR, etc).
A concepção de uma estrutura de CIAM pode ser também o ponto de partida para uma estratégia abrangente de gerenciamento e governança de acesso e identidade como um todo, e tem servido de exemplo e melhores práticas em todas as jornadas de acesso voltadas para melhorar a eficiência geral desses diversos componentes mais tradicionais: IAM, PAM e IGA.
*Por André Facciolli, diretor da Netbr