Neste momento, em vários lugares do mundo, há milhares de executivos de TI atormentados com um conjunto de preocupações em comum. Estas preocupações giram certamente em torno da questão central de como encontrar a melhor forma de superar os principais desafios de "governar" a TI de forma a torná-la um instrumento eficaz para o crescimento do negócio. Dentre os principais desafios destaco: como racionalizar os custos da TI e demonstrar que se faz bom uso do orçamento; como contribuir de forma relevante para o negócio (inovações); como melhorar a eficiência dos processos de negócio (automatizar a operação); como atender auditorias, leis e marcos regulatórios (SOX, Hipaa, 3380 etc); e, por fim, como reduzir os riscos mantendo a segurança e a privacidade das informações mais críticas.
Dos desafios "top 5" listados acima, a princípio pode parecer que somente três deles (produtividade, compliance e riscos) estão relacionados diretamente à disciplina da Segurança da Informação. Mas, podemos afirmar sem medo de errar, que todos os cinco desafios estão associados a esta necessidades estratégica, mais precisamente no tocante ao uso de sistemas de gestão de identidades e acessos. O que comprova que a "boa" Governança de TI é altamente dependente da boa gestão da Segurança.
Um sistema de gestão de identidades e acessos é capaz de automatizar os processos de "criar, modificar, revogar, excluir e controlar" identidades de usuários e direitos de acessos e senhas de forma centralizada, intercalando fluxos de trabalho de requisições, avaliações, aprovações, operacionalizações (aprovisionamentos), reportes e controles.
Mas, o que exatamente a gestão de identidades e acessos tem a ver com racionalizar os custos e contribuição para o negócio? No primeiro caso, pelo simples fato de reduzir custos de auditorias, custos de suporte (problemas com senhas) e custos de indisponibilidades (falta de acessos) às aplicações de negócio. No segundo caso, a contribuição para o negócio advém da proteção de dados confidenciais que são ativos estratégicos do negócio.
Hoje, cada interação "cliente com o negócio", entre "o negócio e outro negócio", entre "empregados e o negócio", entre o "negócio e o governo" e entre o "governo e o cidadão", acontece invariavelmente por meio de meios digitais. Nestes meios digitais trafegam informações com os mais variados propósitos e conteúdos e com responsabilidades de usuários associadas. Gerenciar controles, em todos os níveis, sobre a disponibilidade, a confidencialidade e integridade das informações digitalizadas, faz com que todas essas interações de negócio sejam mais efetivas e apresentem menos riscos, o que faz deste o principal papel de um sistema de gestão de identidades e acessos.
Além do processo de "gestão de identidades", os processos de "gestão de perfis e controles de acessos", "prevenção a perdas de dados", "atribuição de login único em aplicações", compõem os instrumentos mais importantes que, aliados à tecnologia, trazem benefícios relevantes para os modelos de Governança de TI. Uma vez que, ao controlarem a identidade dos usuários, controlarem o acesso desses usuários aos recursos de negócio da forma correta e segura e controlarem ainda que a informação acessada não seja utilizada de forma a colocar em risco o negócio, possibilitam que as estruturas e processos de TI estejam alinhados com os objetivos estratégicos corporativos, balanceando os riscos com o retorno dos investimentos.
Eduardo Brito é diretor de Tecnologia e Serviços da Interadapt