Por que começar a automação pelos processos de IAM

Todos conseguem presumir os benefícios da transformação digital e da automação nos ambientes de negócio. Ela garante, sem dúvida, melhor controle e orquestração dos processos, maior escala, maior consistência das ações e informações. Tudo isto numa velocidade muito maior, com menos erros, menos intervenção humana, menor custo, maior conformidade.

Mas há uma espécie de consenso a este respeito, como podemos entender a situação de visível defasagem, considerando-se que os níveis de automação ainda são bem incipientes na grande maioria das corporações.

Longe de querer dar uma resposta única, que esgote de cara o assunto, opto por apontar ao menos uma pista que considero segura. Meu palpite é que um dos grandes obstáculos para o avanço da automação está em saber por onde começar.

Uma vez que os gestores consigam compreender o design de sua operação, o que implica em mapear e isolar cada momento do processo, aí a coisa começa a clarear. A partir da posse desse diagrama, fica mais fácil decidir em que ponto a automação é mais aderente, mais lógica, mais impactante e menos perturbadora na hora da implantação.

A respeito deste ponto específico, chamo a atenção para um aspecto crucial da economia em nuvem. Neste já nem tão novo ambiente, controlar as identidades e o acesso de usuários ganhou um nível de complexidade que tende a levar o gestor ao desespero.

Estamos falando em processos de origem e finalidade crítica, que contemplam em si vários chapéus: concessão, controle, auditoria, SLAs, relatórios, Segregação de Deveres (SoD) satisfação do end-user e outros inúmeros outros itens de preocupação.

Diante disso, cabe a pergunta: por que não enfrentar logo este problema e começar a automação por este nível de gestão? Afinal, a gestão de identidades e acessos consiste num tipo de processo, em si, passível de isolamento (apesar de sua complexidade intrínseca). E sua correta automação pode ajudar a destravar todo o conjunto de processos de negócio através do aumento da segurança e da redução do atrito com o usuário.

Sabemos que não é desafio corriqueiro transferir a ação de pessoas para a responsabilidade de um software. Mas esta é a condição básica do jogo para se restringir a intervenção humana, vencer a hesitação na resposta e minimizar a propensão ao erro na execução das tarefas.

Além disto, com a diversificação de dispositivos fixos e móveis e com o rompimento das fronteiras físicas das empresas, o nível de exposição das informações e recursos da rede torna inviável um monitoramento humano (ou qualquer tipo de intervenção dos indivíduos) em todos os pontos estratégicos.

Em tempos de big data e interações envolvendo massas gigantescas de usuários, os recursos de TI, antes projetados para atender a um único evento por vez, hoje precisam atingir um milhão ou até bilhões de eventos complexos e concorrentes. E tudo isto ainda turbinado por tipos de usuários e consumidores que exigem liberdade máxima e demonstram enorme impaciência com obstáculos burocráticos ao longo da sua jornada. Incluindo-se aí não só os funcionários, mas também parceiros, terceiros em geral e especialmente clientes.

Além disto, os caminhos são muitos para se iniciar a automação de IAM de forma eficiente. Podemos pensar em diferentes abordagens, como Identity Governance Administration, Access Management (IAM) e Privileged Access Management (PAM). Bem como em diferentes entidades: em clientes, em microsserviços, em coisas (IoT) ou em tudo isto ao mesmo tempo!

Em qualquer desses diferentes caminhos (e que não são excludentes entre si), é importante ter em mente o direcionador de negócio para cada ação, e não apenas a tecnologia específica ou, muito menos, o fornecedor.

Recentemente, um cliente nosso, atuante em gerenciamento de conteúdos digitais, partiu para a adoção de um modelo automatizado para organizar as transações de sua rede envolvendo um contingente de pessoas internas responsáveis pela gestão de mais de 10 mil clientes ativos.

A arquitetura de rede escolhida focou diretamente na especificidade da operação. Foi definido um projeto que garantia maior agilidade e segurança, combinadas com o menor custo de implantação e custo total de propriedade.

Depois de definir estes requerimentos, a empresa em questão passou a empregar a autenticação adaptativa e gerenciamento inteligente de identidade. Os resultados visíveis se espalharam por todos os níveis da operação a partir do vetor de sinergia "mais segurança mais performance".

Outra empresa bem diferente, do ramo aeroespacial, focou na jornada de empregados e terceiros. Uma terceira, lastreada em cooperativismo, focou na governança e administração de identidade e acessos.

Já uma empresa global do setor financeiro (uma adquirente), optou por direcionar sua atenção para uma plataforma IoT cercando seu ecossistema.

Escolher o modelo correto é, como se vê, um dado crucial para se obter benefícios realmente relevantes a cada tipo de negócio.

Seja qual for o ramo, porém, maximizar a segurança e a privacidade é hoje um imperativo não só de compliance, mas também da própria reputação do negócio. Sendo que a reputação é fator determinante da retenção do usuário/cliente e um dos mais importantes ativos das empresas. Com a chegada da LGPD, prevista para este ano, esta será igualmente uma missão de vida ou morte também na arena jurídica.

O fato é que, sem a automação nesse processo estratégico e impactante, que é a gestão da identidade e acessos, é bem provável que a eficiência dos negócios comece a declinar rapidamente. E em ritmo ainda mais acelerado, conforme a transformação digital se impõe de forma cada vez mais radical.

Para concluir, ouso afirmar que a ideia de iniciar a jornada de automação pelos processos de interface é uma sugestão que obedece a lógica mais pragmática.

É a partir da governança de todos os elementos envolvidos no acesso a dados e à estrutura que se pode conceber um nível de orquestração que viabilize modelos mais abrangentes de automação. Despontam aí as soluções orientadas a paradigma "Privacy by Design", onde a segurança é embutida na plataforma de maneira transparente e automática.

Então fica a dica: comece automatizando suas premissas de IAM como um todo: Cliente, Terceiros, Parceiros, Funcionários, Serviços e Máquinas, e a cultura da automação irá rapidamente se alastrar pelos demais processos de negócio de sua empresa.

*André Facciolli é CEO da Netbr. Especialista em tecnologias de gerenciamento de identidade e acesso, Facciolli é formado em ciência da Computação pela USP com Pós-Graduação pela FGV e Especialização em Telecomunicações pelo ITM.