De IDM a IAM - Projetos de Sucesso

Neste artigo espero conseguir contar um pouco da história de como IDM (identity Management) tornou-se IAM (Identity And Access Management), dando diversos exemplos de situações encontradas nos clientes, durante implantações. Não citarei nomes de clientes por questões éticas mas, os casos citados são reais.

O conceito de Identity Management ou Gerenciamento de Identidades surgiu da necessidade de gerenciar o ciclo de vida de um usuário na corporação. Imagine você chegando a uma empresa empresa, o RH valida sua documentação e te cadastra no sistema interno, seja legado ou de mercado (como Peoplesoft, Siebel, SAP, etc). A partir deste momento diversas solicitações de aprovações são disparadas por email para diferentes gestores. O responsável pelo ambiente de email recebe uma solicitação de aprovação, o responsável pelo ambiente de rede recebe uma solicitação de aprovação e assim com todos os sistemas integrados a solução de IDM. Posterior aprovação inicial o processo pode seguir para outros aprovadores ou, simplesmente realizar a criação da conta de acesso ao determinado sistema e notificar ao responsável pela mesma. A automação do processo agiliza o tempo de criação e a segurança e controle sobre as contas de acesso existentes no ambiente corporativo. Por exemplo, realizei um projeto em uma grande empresa de telecomunicações aonde, durante as férias do funcionário, caso o mesmo precisasse ir ao escritório era necessário uma concessão temporária de acesso para que o mesmo pudesse entrar na empresa. Todos os acessos do funcionário eram bloqueados a partir do momento que o RH inseria no sistema o mesmo como INATIVO ou EM FÉRIAS. Neste momento o sistema de IDM realizava o sincronismo de dados e todos os acessos eram cancelados temporariamente. Neste projeto não só a tecnologia foi bem implementada, mas os processo internos também foram bem mapeados assim como a cultura foi difundida dentro da empresa. IDM ou IAM não é tecnologia e sim uma mudança na cultura da corporação. Falaremos sobre este tema mais tarde.

O primeiro projeto de IDM que participei foi no ano de 2000. Este projeto foi realizado numa grande indústria petroquímica e, ali começamos a perceber a necessidade de integração de sistemas e de outras suítes de segurança como aplicações de controle de acesso. Nesta época as soluções de IDM eram muito imaturas e, precisam de muitas customizações de códigos e aplicações de patchs e correções. Neste projeto eu trabalhava em um fornecedor a qual possuía uma suíte grande de aplicativos de segurança e, uma das grandes necessidades de integração foram as ferramentas de identity management e access control. Notamos que as duas aplicações explicitamente deveriam ser integradas e o conceito unificado. Naquele momento tínhamos a certeza de o caminho do conceito de gerenciamento de identidades seria para o conceito de gerenciamento de ACESSO e identidades.

Posteriormente realizei um projeto em uma grande indústria de aço e peças de metais no interior de São Paulo. Mais uma vez a necessidade clara de integração da aplicação de gerenciamento de identidades com a aplicação de controle de acesso. Era cada vez mais clara a necessidade de uma solução integrada. Os agentes, ou conectores (como também são chamados) de integração com aplicativos já estavam mais maduros e já existiam diversos tipos desenvolvidos como por exemplo para Unix, Linux, Siebel, Oracle, SQL, Active Directory, SAP enfim, para todos os aplicativos de ponta no mercado.

Hoje, não mais falamos de Gerenciamento de Identidade mas sim de Gerenciamento de Acesso e Identidade (IAM – Identity and Access Management). Visando o futuro já estamos falando de SOC (Security Operation Center). Através de uma central única já é possível verificar em tempo real todos os alertas gerados por aplicativos de segurança da informação como o aplicativo de IAM, alertas gerados por firewalls, IDS e IPS enfim, todos os componentes da disciplina segurança da informação. Já trabalhei em clientes com SOC internos já implementados, assim como em projetos de elaboração e implementação de SOC. Confesso que é um projeto desafiador e trabalhoso.

Depois de muitas implementações de IAM bem sucedidas como outras nem tanto, posso afirmar com certeza que um projeto de sucesso, é resultado de uma combinação de:

1. Tecnologia madura (Realizar um estudo para certificar-se da melhor tecnologia que se adapte ao ambiente da sua empresa);

2. Processos bem mapeados (Levantar todos os processos de integração, fluxos de aprovações e workflows necessários a serem customizados);

3. Implantação de uma cultura interna (Realização de fóruns, envio de emails explicativos);

4. Gestão de Perfis (Realizar mapeamento de perfis internos junto as políticas adotadas pelo RH)

Vou comentar um pouco dos quatro tópicos a serem abordados.

1 – Tecnologia Madura

É necessário realizar estudos com as tecnologias de mercado para certificar-se da melhor para o seu ambiente. Hoje existem dezenas de soluções excelentes no mercado como as soluções da CA, Oracle (Sun), IBM, Novell, Microsoft e diversas outras, até mesmo a possibilidade de criar uma aplicação interna. É importante a realização de testes dos aplicativos e validação da integração da solução de IAM com os aplicativos internos da empresa. Verificar a integração da solução com a tecnologia de email usada na empresa para não ter problemas futuros nas customizações de workflows internos de aprovações, também é uma boa dica. Projetos com testes internos realizados foram sempre projetos com tecnologia aderente ao core business da empresa a necessidade da mesma.

2 – Processos Bem Mapeados

É muito importante o mapeamento de todos os processos que envolvem o conceito de IAM. Todos os fluxos de workflow devem ser mapeados anteriormente, assim como todos os aprovadores. Cada sistema pode ter um aprovador distinto. O processos de Self Registration e de Recuperação de Senha devem ser mapeados de forma a agilizar o sistema de perguntas e resposta e tempo de recuperação. Os processos de gestão de política de contas de acesso também deverão ser mapeados para que os sistemas estejam integrados a política implementada na tecnologia de IAM.

3 – Implementação de uma Cultura Interna

Não existe projeto de IAM bem implementado sem uma forte inclusão desta cultura na empresa. IAM muda com toda a estrutura organizacional. Muitos usuários não mais terão necessidade de se conectar a sistemas críticos (como a gestão de usuários da rede por exemplo). Apenas será necessário realizar a aprovação de uma requisição. O Acesso de criação é realizado pelos conectores e/ou agentes de integração da solução de IAM. Todos os seus acessos são integrados e, a área responsável pelo funcionário deve atualizar diariamente a base de dados do sistema de RH de forma a garantir a gestão de acessos aos sistemas na empresa. Desta forma, um usuário de férias deve se apresentar na portaria da sua empresa, caso tenha que realizar uma visita ao trabalho, pois seu crachá não terá acesso às dependências internas, uma vez que o sistema de crachá e controle de catracas é integrado a solução de IAM.

É importante um processo de comunicação interna avisando sobre os benefícios da implementação como o sistema de recuperação de senha automatizado sem a necessidade de ligar ao helpdesk interno. Todas essas mudanças devem ser comunicadas de forma proativa a fim de minimizar o impacto da implantação desta nova cultura de trabalho da empresa.

4 – Gestão de Perfis

É muito importante, antes de qualquer implementação de tecnologia de IAM, realizar um mapeamento interno dos perfis a serem criados. Uma integração com o RH deve ser bem efetuado para entender como são os perfis atualmente e como serão os mesmos. Qual será a nomenclatura definida para os perfis ? Quais os componentes de cada perfil ?

Realizando este mapeamento prévio, o processo de implementação e customização dos perfis na ferramenta de IAM consumirá muito menos tempo de criação.

Em resumo geral uma implementação de sucesso da tecnologia de IAM é uma implementação bem integrada na empresa, com todas as áreas envolvidas “falando a mesma língua”. Uma outra dica importante é a elaboração de um comitê interno com responsáveis diretos por todas as funções do mesmo. Se criado o comitê é bom definir responsabilidade entre outras coisas para:

1) Verificação de conformidades a frameworks de mercado (Itil, Sox, PCI-DSS, conforme negócio da empresa);

2) Verificação de adequação a políticas internas e elaboração de políticas específicas para a disciplina;

3) Gestão de perfis e fluxos de aprovação;

4) Gerenciamento de integração (definir especificações funcionais para integração com aplicações).

Estes são algumas necessidades básicas que este comitê deverá elaborar e implementar, entre outras a serem implementadas em paralelo.

Futuramente estarei postando novos artigos me aprofundando mais em processos distintos como o Mapeamento de Perfis por exemplo. Espero poder contribuir para o aprendizado de todos assim como aprender muito ao longo da vida.

Artigo escrito em 2009