Gerir acessos em 5 minutos… ou menos?

Por Tito Carvalho da Silva Teixeira *

[caption]Tito Teixeira - Everis[/caption]

Segurança e Eficiência na Gestão de Identidades: qualidade e tempo real

Os "5 minutos" de demora para a criação de uma nova conta de utilizador nunca parecem causar transtorno num dia de trabalho de alguém que acumule as funções de administrador de sistemas. Contudo, a rentabilidade deste processo - e consequentemente do responsável pela criação da nova conta - começa a ser posta em causa quando se verifica a necessidade de repercutir o processo ao longo dos sistemas ou aplicações necessários ao novo utilizador (5-6 em média) e veja-se porquê: ao se multiplicar o tempo necessário à criação da conta pelo número de sistemas necessários e, adicionalmente, ainda se somar os tempos de espera e de comunicação entre as diversas equipas, rapidamente se atingem condições Kafkianas : a atribuição de acessos a um colaborador pode demorar vários dias, já para não falar no facto comum de automaticamente serem utilizados os novos dados para alimentar várias bases de dados repletas de acessos activos para utilizadores reformados ou falecidos.

A gestão das TI e, em particular, da área de segurança onde se inclui a Gestão de Identidades e Acessos (IAM- Identity and Access Management) é muitas vezes menosprezada pelas organizações, mas o esforço para "arrumar a casa" pode trazer grandes ganhos em eficiência e de produtividade e na redução de custos.

Em média cada colaborador requer cinco ou seis palavras-chave no seu trabalho. Como não seria difícil antever, a dificuldade em recordar combinações arcanas de caracteres traz consequências para a segurança e adiciona atrasos que podem tomar dimensões embaraçantes no quotidiano da maioria das organizações. Muitos estudos têm sido feitos no sentido de encontrar a solução mais segura e eficaz para substituir essas palavras-chave e como resultado têm sido propostos vários esquemas avançados, tais como impressões digitais, imagens de retina, etc..

Menos frequente é o reconhecimento de que esse número de credenciais reflecte também o tempo dispendido com a definição de acessos para cada utilizador. Esse tempo existe mesmo que se consigam substituir as palavras-chave por impressões digitais, algo nem sempre simples quando se encontram alguns "dinossauros" entre os sistemas a mudar.

É neste contexto que os "inteligentes" recorrem às soluções de IAM. Estas soluções abrangem uma variedade de componentes e funcionalidades para dar resposta aos problemas "bola de neve" inerentes à criação de contas para todos os utilizadores.

De forma simplificada, podemos dizer que o núcleo de uma solução de IAM é a possibilidade de ligar aos vários sistemas onde é necessário registar um utilizador e efectuar todas as definições de forma automática, podendo assumir uma forma mais abstracta (e.g.: definir directórios virtuais que centralizam a informação de identidades) ou pragmática (e.g.: fornecer simplesmente uma interface única que despoleta scripts de criação nos vários sistemas).

Esta possibilidade de centralizar a função de definição de utilizadores traz vantagens reais tanto em segurança como em eficiência para as equipas. No entanto, a implementação de uma solução realmente bem concebida não é trivial: além das questões técnicas de integração de sistemas diversos através de conectores específicos, carece ainda de um trabalho intermitente e extensivo de definição e normalização de perfis.

A definição de perfis tem que ser incorporada nos processos de gestão de utilizadores para manter as definições actualizadas. Actualmente esta funcionalidade começa a ser integrada nas suites de software de IAM através de alianças e aquisições efectuadas pelos principais fornecedores (CA, IBM, Oracle e Sun), no entanto não dispensa ainda bastante trabalho cuidado na implementação.

Por outras palavras, uma solução IAM não é uma vacina para combater uma praga que contamina várias aldeias e sim o cocktail idealizado para optimizar o biorritmo de um organismo. A implementação de uma solução de IAM deve ser ajustada à medida não sendo, por isso, um pacote de software pronto a instalar por todos.

* Da área de tecnologia da Everis.