Depois do boom das tecnologias de IAM e das implementações pressionadas pelos controles de compliance, finalmente chegou a hora de respirar um pouco, começar a ver os objetivos no fim da estrada, e planejar como alcançá-los.
O gerenciamento de identidades e acessos está longe de ser apenas controlar quem acessa, o que acessa, e quando acessa. Ou seja, manter a governança de identidades já não é somente revisar e certificar acessos, é preciso fazer mais, entregar mais, e de maneira mais inteligente. Afinal, todos nós defendemos com unhas e dentes IAM como investimento, e não custo. Então, fica a questão: onde (e como) investir?
Como dito, entregar de maneira mais inteligente é a chave, portanto a expectativa é grande para as integrações das tecnologias já maduras no mercado com IA. Não é necessário ciência de foguete para prever comportamentos de usuários, e veremos mais e mais aplicações dos recursos de IA para ações preditivas e reestruturais no ecossistema de IAM.
Fornecer o contexto da organização e em um clique ter a identificação de acúmulo e sobreposição de perfis, anomalias, violação de controles, e ter um rascunho de plano de ação para diminuir essa superfície de ameaça será corriqueiro. As regras de compliance, que hoje já impulsionam as revisões e certificações de acessos, serão cada vez mais rígidas, e as tecnologias envolvidas deverão acompanhar, fornecendo pacotes nativos de recursos para SOX, BACEN, PCI, ISO. Para muito além das revisões e certificações, as próprias solicitações de acesso serão tratadas cada vez mais de maneira contextual, se apoiando em políticas de acesso e análise de risco.
Levando o pensamento para os clientes e parceiros de negócio, as milhares de autenticações seguirão se simplificando ainda mais, até o ideal passwordless, mas sem perder a segurança. Com o processo todo muito apoiado novamente pela IA e por processos de identity threat detection.
Como cereja do bolo, veremos mais iniciativas de zero trust se multiplicando nas organizações, ainda que no mercado brasileiro seja em fase embrionária. Novamente, não é necessário ciência de foguete se você tiver o básico fazendo o seu papel.
Ainda que seja um sonho de todo CIO que acessos apropriados sejam concedidos e revogados de maneira automatizada somente no momento da execução da atividade aprovada em um comitê de mudanças, se os acessos forem validados pelo registro dos dispositivos utilizados, e houver monitoramento do comportamento do usuário com uma resposta consistente em caso de ameaça, você já estará bem mais protegido do que 93% das organizações.
Enquanto o bom é inimigo do ótimo, ter uma proteção inicial com vislumbre de uma estrada bem projetada pela frente é bem melhor do que estar desprotegido e arriscar passar por um incidente de segurança na vida da sua empresa.
*Por Rafael Medeiros, consultor e trusted advisor da Open Consult.
