Gestão de identidade

Todos os usuários do ambiente computacional têm uma queixa em comum: a diversidade e quantidade de maneiras como são identificados e são autenticados. A maioria (inclusive eu e você) entende que é necessária a existência de um identificador (nome, matrícula, CPF ou outros) e também a utilização da famosa senha para provarmos que eu sou eu e que você é você. Isto quando a senha vem sozinha, porque agora ela também vem acompanhada de cartela contendo tabelas de números, equipamentos tipo um relógio que gera números aleatórios e outras formas, inclusive utilizando a biometria. A grande explicação que nós profissionais damos é que o usuário interage com ambientes de empresas diferentes: vários bancos, escola do filho, local de noticia, entre outros. Mas, quando isto ocorre dentro da própria organização? Verifique na empresa em que você trabalha quantos identificadores e quantas senhas (ou equivalente) você têm. Tranquilamente você deve ter mais de dez identificadores/autenticação.Evidentemente as próprias organizações começaram a se preocupar com esta situação que gera custo de gestão, aumenta o tempo de ajuda (consulta ao Help Desk), aumenta o número de vulnerabilidades pois o usuário começa a escrever sua identificação e senha.Há algumas décadas algumas empresas fornecedoras de produtos anunciaram: ?Temos a solução! Use o nosso produto Single Sign-on!. Isto é, usem o nosso produto em que cada usuário só terá uma identificação e senha em todo ambiente de tecnologia!? Era meia verdade. Era verdade porque teoricamente a solução funcionava, mas, era falso porque para o mundo real de limitações e variedades de plataformas tecnológicas a solução não funcionava adequadamente.Alguns anos se passaram e as organizações (principalmente as grandes) começaram a entender que precisam de uma gestão verdadeira e estruturada das identidades utilizadas pelos usuários, juntamente com a autenticação e autorizações dessas identidades. Se tecnicamente essa solução permitisse um single sign on, ótimo! A gestão de identidade é mais do que uma única identificação e uma única senha. O conceito é simples porém a decisão de implementar uma abordagem estruturada para gestão de identidade é relativamente nova. Algumas organizações que entenderam o valor da gestão de identidades estão caminhando, implementando e podemos dizer que aprendendo essa solução.Entendo que existem alguns posicionamentos estratégicos para se alcançar uma gestão de identidade adequada:a) Existência de Governança em Segurança da Informação.De uma maneira simples podemos definir como governança a gestão da gestão. Sendo assim, se queremos aprimorar a gestão da segurança da informação devemos buscar um nível adequado e possível da gestão de identidade para a organização. b) Gestão de Identidade não é um projeto apenas de TIApesar da área de TI ser importante e fundamental para a implantação de uma gestão de identidade esse projeto é da organização, pois busca uma maior efetividade e segurança para o negócio realizado através das transações. Também possibilita um maior controle para as áreas de auditoria e conformidade (compliance), pois possibilita identificar mais facilmente situações onde não existe uma adequada segregação de função.c) Outros projetos ou definições de segurança vão precisar existir para formar um quadro completo. A Gestão de Identidade terá mais sucesso na medida em que existam algumas definições implementadas na organização. Podemos citar:* Identificação de perfis: a existência de conjuntos de perfis que agruparam autorizações comuns para pessoas que possuem a mesma autorização.* Existência formalizada do Gestor da Informação: é o gestor que autoriza ou não o acesso dos usuários à informação. Sendo assim, é o gestor que também vai autorizar determinado perfil a acessar (ou não) a informação sob a responsabilidade deste gestor. Por sua vez o gestor da informação vai fazer parte de um perfil específico que possui grande poder e precisa ser bem controlado.* Gestão dos perfis. Não basta apenas identificar uma vez e parar no tempo. A vida real é dinâmica e é necessária a existência de processos e atividades que garantam uma efetiva gestão desses perfis quando ocorrerem atualizações, mudanças de funções, exclusão de cargos e outras situações que merecem controle e atualização.* Classificação da informação sob o aspecto do gestor e do custodiante. Sobre o gestor já falamos acima. O custodiante é a pessoa que toma conta fisicamente do recurso da informação. A gestão de identidade facilita a identificação de situações em que o gestor e o custodiante são a mesma pessoa. Este fato aumenta a vulnerabilidade em relação ao uso indevido da informação. É um assunto de total interesse da área de controle e riscos.Tudo isto somente será efetivo se a organização estiver consciente e educada em segurança da informação. Cada pessoa precisa conhecer a política de segurança. Mas por favor, não me mostre uma política com mais de três paginas. Uma página seria o ideal! Faça um teste: pergunte à primeira pessoa que encontrar no corredor da organização que você trabalha se ela já leu a política de segurança da informação. Tire suas conclusões!Bem, voltando para a Gestão de Identidade, de uma forma resumida eu diria que é uma frente que deve ser desenvolvida no nível coerente com o porte e o negócio da organização. Por ser um assunto, ou melhor um projeto novo, as organizações que estão enfrentando esse desafio são impactadas pelo tempo desse aprendizado. Porém, como recompensa, quando as demais organizações acordarem para essa necessidade, essas empresas pioneiras estarão recebendo e usufruindo das vantagens de uma adequada Gestão de Identidade.