A gestão de identidades é um tema de que se tem falado bastante nos últimos tempos, mas os desafios que as organizações enfrentam relativamente a este tema, não são de agora. Existe no entanto algumas reticências em avançar com este tipo de projectos. A razão parece-me clara e prende-se com os custos associados aos projectos deste tipo.

Ainda recentemente, no dia 16 de Maio, tivemos a visita de um especialista nesta matéria que conseguiu reunir numa sala cerca de 400 pessoas. Perto de 400 pessoas para ouvir falar sobre gestão de identidades? É um sinal claro de que existe um grande interesse por este tema.

Existe no entanto algumas reticências em avançar com este tipo de projectos. A razão parece-me clara e prende-se com os custos associados aos projectos deste tipo. Com a evolução da tecnologia e as claras vantagens que uma solução deste género traz, servindo para justificar o investimento feito, parece-me ser a altura de se pensar seriamente no assunto

A evolução do mercado

Mas o que é este conceito de gestão de identidades? É simples, é um conjunto de tecnologias, procedimentos e políticas que permitem a gestão do ciclo de vida e dos direitos das identidades digitais.

Se recuarmos um pouco no tempo, verificamos que o número de identidades digitais de cada utilizador numa organização é directamente proporcional ao número de aplicações que nelas vão aparecendo. De facto, com a adopção de novas aplicações, com o aparecimento da Internet e os dispositivos móveis o número de identidades multiplicou-se. Faz-me lembrar uma visita a uma organização nacional cujo cenário me foi descrito e depois verifiquei, denotar uma clara necessidade de gestão de identidades.

Os utilizadores dessa empresa tinham colado com post-its no monitor os três nomes de utilizadores diferentes e respectivas palavras passe. Os diferentes utilizadores eram utilizados para aceder ao computador, aceder ao correio electrónico e aceder à aplicação de ERP, todos diferentes. Mas vejamos mais em detalhe os diferentes desafios que se colocam na gestão de identidades.

Desafios da gestão de identidades

Existem três tipos de entidades que mais sofrem com esta problemática da gestão de identidades. Os utilizadores como já referi têm um conjunto de problemas: demasiadas credenciais, cada uma para cada aplicação e múltiplas necessidades de autenticação. O impacto no negócio não é imediato, mas está provado que reduz a produtividade, aumenta o risco de comprometimento de certas operações e incrementa os gastos em helpdesk.

Os administradores de sistemas por seu lado, têm os seus desafios como o excesso de directórios para manter, a necessidade de providenciar novas contas de utilizadores e gestão de palavras-passe, a auditoria da actividade dos utilizadores e a gestão do acesso de utilizadores que não são empregados. Em relação ao impacto no negócio, estas operações são extremamente dependentes de pessoas e da sua intervenção, existe o risco do acesso não autorizado e não existe um ponto único com visão geral sobre todos os utilizadores.

Também os programadores são afectados pela não existência de uma ferramenta de gestão de identidades. Questões como ter de optar por uma directoria com diferentes opções, diferentes políticas e mecanismos de segurança são um verdadeiro quebra-cabeças para quem vai desenvolver uma aplicação.

Para provar estes cenários, o META Group realizou um estudo que mostra que durante o período de um ano numa organização de 10.000 utilizadores os resultados foram esclarecedores:
• 48% das chamadas ao helpdesk são pedidos de reposição da palavra passe
• 54.180 horas-homem são utilizadas em administração de utilizadores, permissões e autenticações
• 2.666 horas-homem são gastas no iniciar de sessão das aplicações

Este estudo já tem alguns anos (2002) e a dimensão (10.000) é exagerada para o nosso país mas mostra bem o impacto dos valores  

Soluções e benefícios da gestão de identidades

Uma solução integrada de gestão de identidades proporciona uma única vista sobre todos os utilizadores em toda a organização. Permite às organizações criarem um ambiente seguro para gerir utilizadores, métodos de autenticação e direitos de acesso.

A solução tem que ser um trabalho de equipa entre tecnologia/processos e parceiros. Exemplos de algumas soluções que vão ao encontro dos desafios acima listados:
• Palavra-passe “Self-Service”: colaboradores podem mudar e sincronizar as suas palavras passe através de todos os directórios sem ter de ligar ao responsável de informática.
• Capacidades de “Single sign on”: permitir aos utilizadores que acedem a aplicações corporativas, intranet e serviços sem terem que introduzirem e lembrarem-se de múltiplas palavras passe.
• Autenticação integrada: utilizar e integrar diferentes protocolos de autenticação.
• Interoperacionalidade nas várias plataformas: integrar a informação de identificação do utilizador em múltiplos repositórios, sistemas e plataformas (incluindo plataformas legadas)
• Confidencialidade e privacidade: assegurar a confidencialidade e privacidade dos dados que os colaboradores estão a trabalhar.
Na implementação destas soluções os parceiros/fornecedores de serviços têm um papel preponderante pois trazem boas práticas, experiência e fazem a personalização, desenvolvimento, implementação e manutenção da própria solução. Caso esteja à procura de um parceiro nestas condições pode consultar o endereço: www.microsoft.com/portugal/seguranca/parceiros.mspx

Conclusão

 
Espero neste artigo ter conseguido esclarecer a importância de uma ferramenta de gestão de identidades na sua organização. Os benefícios são imediatos como já tive oportunidade de referir não só em relação aos custos, mas também em relação à diminuição dos riscos. Caso se tenha identificado com um dos cenários acima descritos é um bom momento para fazer uma consulta de mercado.

Artigo de opinião de Marcos Santos,
Marcos Santos – responsável pela área de Segurança e Estratégia de Plataformas da Microsoft Portugal