A Identidade Digital e o Ambiente da Nuvem

Estamos vivenciando uma rápida mudança de visão quanto ao papel da identidade digital no contexto dos ambientes de informação, bem como no modo de se encarar a conformação da identidade em processos de administração dos recursos e dos ciclos de acesso a dados de TI

s5 certificado-1 temporrio

André Facciolli (*)

Para não ter de descer a um emaranhado de questões, digamos, de forma resumida, que tal mudança se traduz na evolução das práticas de controle da criação de identidades e suas regras técnicas de atribuição. Esta evolução transfere estes elementos para um patamar mais elevado e abrangente; um patamar em que as políticas de identidade são abordadas agora em sua relação direta com as aplicações e os negócios.

Numa retrospectiva histórica, podemos situar que a primeira onda tecnológica buscava resolver o controle da identidade através do provisionamento das contas de usuário, a qual se denominou "Gerenciamento de Identidade" (ou IdM -identity Management). Em seguida, passamos para um modelo em que se gerenciam também as regras de distribuição dos atributos das identidades, constituindo-se então o ambiente de "Gerenciamento de Identidades e Acessos" (ou IAM - Identity and Access Management).

Uma vez consolidada esta conceituação, evoluímos, finalmente, para um modelo que o jargão da indústria de compliance e gestão de riscos nomeia como "Governança e Administração de Identidade" (ou IGA - Identity Governance and Administration).

A principal diferença entre estas visões é que o modelo IdM/IAM resulta da paulatina e constante atualização das práticas de provisionamento de contas de usuário e de tratamento de seus atributos e suas regras, com mínimo de autosserviço.

Já a atual visão da Governança (com suas funções de reconciliação) representa um novo encaminhamento da problemática da identidade e do acesso, agora bem mais superposta nos negócios, e com foco na eficiência, na operação e no risco.

A razão de tratarmos isto como avanço é porque os processos baseados em IGA pressupõem a criação de uma nova camada de diagnóstico, planejamento, supervisão, comando e documentação que irá interagir com todos os modelos técnicos existentes: provisionamento, atributos, regras e permissões.

Camada esta que tem, sob seu comando, as políticas de certificação, de atestação, de compliance e o gerenciamento das solicitações (ou processos) de acesso por parte das identidades.

Tudo isto, sempre segundo as diretivas de negócio e mitigação de riscos, e sempre com um nível de agilidade compatível com os atuais requerimentos dos negócios.

Já representavam uma certa conquista as tradicionais virtudes do IdM/IAM. Elas permitem que os direitos do usuário sejam gerenciados e alocados automaticamente, com base em mapas de funções pré-definidos, o que não é nada desprezível.

Entretanto, apesar de fornecer um alto grau de precisão e segurança, este modelo tem a desvantagem de ser algo de lenta implementação, muitas vezes levando-se anos para se completar na sua totalidade.

Em consequência, após seu término, é comum que os tais mapas de função já não se mantenham confiáveis, em função das rápidas mudanças pelas quais o negócio vai se transformando. Isto criava uma sensação de projeto inacabado e por vezes oneroso e excessivamente manual.

Na proposição da Governança, por sua vez, as plataformas de identidade incluem funções que vão muito além da automação e monitoramento das autorizações e do controle de acesso. O IGA, uma vez implantado, passa a responder a necessidades bem mais complexas, tais como: a de auditoria; a de inteligência de negócios no ciclo das identidades, a de implementação do gerenciamento dinâmico das identidades e acessos (sempre em sintonia com o contexto de negócios) e a de supervisão permanente da aplicação das normas de compliance.

E é importante enfatizar que este nível de resposta do IGA se estende por todas as dimensões, cada vez mais plurais, da identidade, seja ela um usuário humano ou contas não humanas, como, por exemplo, um componente do sistema que interage com as aplicações, recursos e bases de dados (acesso privilegiado).

Assim, em harmonia com os investimentos realizados em IdM e IAM, a plataforma típica de IGA se volta para fortalecer a segurança e o controle da exposição ao risco.

A automatização do provisionamento, algo previsto já nos primórdios do IAM, passa a contar agora com a capacidade analítica de dados velozes e complexos, tal como se faz necessário no ambiente da nuvem, big data e dados não estruturados. E tudo isto com um retorno de investimento muito mais palpável.

Esta inteligência analítica é útil também, por outro lado, para o acionamento pontual de controles de ações pró-ativas de segurança cibernética, como a identificação da violação de dados ao longo de todo o processo típico de uma invasão externa (incluindo-se aí as fases de reconhecimento, infiltração, exploração e extração).

Chegamos, portanto, a um nível de funcionalidade que alguns equiparam ao "carrinho de compras" de um portal de ecommerce, ou a um sistema de "customer relationship", ou a um ERP; ou enfim, a um sistema de negócio movido por inteligência de dados, processamento rápido e aplicação de regras rígidas, mas autoevolutivas.

Partimos assim de um patamar em que a gestão da identidade - disciplina antiga e, para muitos, complicada - assume agora uma posição bem mais relevante nas estratégias de negócios. Ela passa a ocupar uma dependência operacional que achamos apropriado chamar de "Centro da Segurança".

Dessa forma, o IGA se tornou mandatório num mundo em que a informação tende a perder a forma, o lugar, os meios de propagação e os modos de acessar e usar. E num mundo em que a rapidez das deliberações (e, portanto, das autorizações de acesso) necessita acompanhar a extrema velocidade com que a informação de negócios trafega ao longo de toda a organização. Vamos nos preparar agora para uma nova onda: a de Assignment Governance.

(*) É CEO da Netbr.

“Um site desfigurado diz muito sobre as políticas de segurança da empresa”

site desconfigurado-732x488 temporrio

No último mês, milhares de sites do WordPress no mundo todo sofreram ataques em que hackers desfiguraram páginas por meio de uma vulnerabilidade de escalação de privilégios que afetou as versões 4.7 e 4.7.1 do publicador.
Segundo o vice-presidente da Varonis para a América Latina, Carlos Rodrigues, o fato de os cibercriminosos não terem tido acesso a informações sensíveis durante os ataques não significa que as empresas devam se preocupar menos com esse tipo de ação.
“Ter seu site desfigurado, além de fazer a empresa perder negócios devido à indisponibilidade de sistemas, também não faz com que seus clientes se sintam receosos em relação às suas práticas de segurança, gerando danos significativos à reputação da empresa”, explica o VP da Varonis.
Os ataques tiveram início após a divulgação de uma falha de segurança pelo WordPress. Apesar de muitos blogs terem feito o upgrade automaticamente para a versão 4.7.2, que corrigia o problema, milhares de sites não se atentaram a essa necessidade e ficaram vulneráveis e não implementaram o patch que solucionava a falha.
Em menos de 48 horas, estima-se que hackers tenham feito mais de 800 mil ataques, tirando proveito de uma série de falhas de segurança que passaram a ser compartilhadas e postadas online – atualmente, o número estimado é de mais de 1,5 milhão de páginas afetadas.
Escritórios de advocacia estão na mira dos cibercriminosos
Um relatório do portal World Trademark Review sugere que, dentre os sites atacados, dezenas deles foram escritórios de advocacia especializados em propriedade intelectual – mesmo que as falhas de segurança divulgadas não dessem acesso a dados ou a informações sensíveis.
“Não precisamos nem nos lembrar do caso do Panamá Papers para entendermos o que acontece com a confiança do cliente quando seus dados são roubados”, exemplifica Carlos Rodrigues, citando o ataque ao escritório de advocacia panamenho Mossack Fonseca, ocorrido em 2016, que resultou no vazamento de 11,5 milhões de documentos confidenciais de clientes, incluindo políticos brasileiros.
“Todos precisam se preocupar com a segurança da informação, incluindo pequenas empresas com sites em WordPress. Infelizmente, vários desses sites continuarão vulneráveis por um bom tempo até que os hackers consigam ir além de simplesmente desfigurar páginas e de fato começar a atingir os clientes”, lamenta o VP da Varonis.
“Os clientes vão buscar outras empresas se souberem que as organizações com as quais fazem negócio sofreram violações de dados ou se sentem que suas informações estão vulneráveis. Um site invadido não vai ajudar em nada na construção dessa confiança”, finaliza Carlos Rodrigues.

A Transformação Digital do Brasil: IoT e o desenvolvimento urbano

José Paulo de Oliveira (*)

Para reduzir custos, aumentar a eficiência dos serviços prestados e gerar renda, governos do mundo todo estão investindo na Internet das Coisas (IoT), conectando pessoas, processos, dados e informações

Essa transformação digital é fundamental para diminuir a lacuna entre as expectativas dos cidadãos em relação aos serviços públicos. Ao mesmo tempo, os governos precisam gerar novas fontes de renda, simplificar a comunicação das pessoas e criar serviços inovadores em prol do crescimento econômico.
O momento é especialmente oportuno para que o setor público possa atingir com maior velocidade a redução de custos e a melhoria nos serviços, por meio do investimento em tecnologia. No Brasil, 99% das organizações do governo federal possuem um website, 74% estão presentes nas redes sociais e mais de 38,7 milhões de usuários de internet já usaram serviços eletrônicos do Governo Brasileiro, de acordo com dados do Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br). Já o estudo Cisco Visual Networking Index prevê o crescimento do tráfego global no Brasil em cinco vezes até 2021, revelando que os cidadãos estão cada vez mais conectados.
A transformação digital, possibilitada pela IoT, permite o uso específico da tecnologia nos mais variados setores da sociedade, adaptado às reais necessidades e rotinas. O serviço público é especialmente impactado, pois a mobilidade, integração e criação de novas aplicações impulsionam e aceleram este movimento. Já é possível ver, em algumas cidades do mundo, os benefícios trazidos pelo transporte público conectado, estacionamento, pedágio e iluminação inteligentes. Este último, por exemplo, além de garantir a segurança do cidadão, também favorece a redução do consumo de energia, agindo de modo sustentável e consciente.
As soluções citadas são utilizadas em cidades como Derby, na Inglaterra, onde funcionários do governo usam ferramentas de colaboração digital para melhorar a produtividade. Em Barcelona, a aplicação da nuvem entrega serviços superiores aos cidadãos, enquanto que, em Singapura, pontos de Wi-Fi estão disponíveis em todo o país, permitindo a conectividade e incentivando a colaboração.
No Brasil, um dos mais recentes exemplos é o programa de Inovação Urbana do Porto Maravilha, no Rio de Janeiro, desenvolvido e implantado pela Cisco, que transformou a área em um bairro mais inteligente e conectado. Foram implantadas 15 soluções na região, que permitem que cidadãos e visitantes do Porto Maravilha se conectem e tenham um maior engajamento com a cidade, além de oferecer mais e melhores ferramentas para operação, planejamento e tomada de decisões.
Assim são as Smarts Cities (cidades inteligentes). Mais do que conectar coisas, pessoas e dados, a partir do acesso à Internet, a IoT promove serviços com rapidez, viabiliza aplicações para segurança pública e atende mais cidadãos com menos custo, eliminando assim necessidade de deslocamento e soluções eficientes, ágeis e seguras.
Essas inovações possibilitam o compartilhamento de dados e gerenciamento de operações, ao mesmo tempo em que incentivam maior engajamento dos cidadãos. Por meio da IoT, é possível melhorar os serviços aos cidadãos, estimular a economia, aumentar o acesso à saúde e a educação, reduzir o trânsito e o congestionamento, entre outros benefícios à população.
Para ajudar os governos a responderem as expectativas da sociedade por meio da IoT, fornecedores de tecnologia oferecem soluções integradas, validadas e altamente seguras, não só pela experiência com setor público, mas também através de um amplo ecossistema de parceiros.
O uso da IoT permite redução de custos, maiores receitas e ganhos em produtividade, além de integrar conexões que antes funcionavam de maneira independente e podem resultar em novos modelos operacionais. Para funcionários, a conectividade proporciona redução de viagens, aumento da eficiência e produtividade, enquanto que a população se beneficia com experiências inovadoras, serviços inteligentes e fáceis de usufruir.
Como resultado, a Internet das Coisas proporciona diversas melhorias em vários setores da esfera pública, como a infraestrutura urbana, antecipação de emergências, segurança pública, logística, dentre outros. A exemplo da segurança pública, a conexão de todas as coisas ajuda a implantar recursos de policiamento e, consequentemente, aumenta a eficiência do combate ao crime.
A IoT é o ingrediente perfeito na fórmula que acelera a transformação digital e o desenvolvimento urbano. Uma conquista para todos!

(*) É diretor de Setor Público da Cisco Brasil. Para mais informações acesse www.cisco.com.br.