Home Artigos Sensacional: Sete dicas para Gestão de Identidade

Sensacional: Sete dicas para Gestão de Identidade

por Agência Canal Veiculação

Sua empresa está preparada para Gestão de Identidade?

Por que muitas empresas desistem ou abandonam projetos de Gestão de
Identidade

O processo parece simples: a empresa compra a tecnologia para Gestão de Identidade, implementa e passa a usar. Neste caso, a lógica não condiz com a realidade, já que grande maioria das empresas que adquirem soluções para Gestão de Identidade, sem planejamento anterior e conhecimento das necessidades da empresa, interrompem o projeto e muitas vezes colocam a “culpa” na solução. A tecnologia neste caso não é a responsável pelo sucesso
do projeto, mas sim um bom planejamento, roadmap e entendimento do negócio envolvendo todas as áreas da empresa.

As empresas estão cada vez mais maduras e certas da necessidade de se ter uma gestão que controle o acesso dos seus funcionários. Afinal, o que não faltam são exemplos de corporações que foram prejudicadas por ex-colaboradores, terceiros ou funcionários descontentes com a empresa. Apesar desta maturidade, muitas empresas desconhecem as principais dificuldades encontradas durante o processo de implementação da tecnologia –
leia-se custos também – e acabam por interromper o projeto durante os momentos críticos.

Um dos grandes paradigmas é que todos os sistemas devem ser conectados de forma automática a Gestão de Identidade. Isto é caro, demorado e provavelmente não vai funcionar. O ideal é conhecer os sistemas críticos,
tanto em volume de alterações de acesso, quanto em relação à segurança da empresa. Podemos citar ERP, CRM, e-mails e servidores de arquivos, sendo que para esses, os softwares de Gestão de Identidade já possuem conectores automáticos nativos, o que trará retorno mais rápido ao projeto e a empresa.

Já a conexão automática de alguns sistemas torna-se extremamente cara e demorada como, por exemplo, as de sistemas legados, geralmente desenvolvidos internamente e que não possuem uma camada de autenticação e autorização bem estruturada ou mesmo as de sistemas que não tem grande volume de alteração de acessos/usuários. Para estes casos, utilizar toda inteligência da solução tecnológica de Gestão de Identidade, permanecendo somente com a última etapa dos processos de forma manual, torna-se muito mais barato e com a mesma efetividade. Para termos uma ideia, o tempo que se leva para conectar automaticamente um sistema legado pode chegar a meses, já a conexão automática através de um conector nativo pode ser feita em dias.

Resumindo, não existem problemas, tecnológicos ou de processos, grandes o suficiente para impactar negativamente a implantação de um processo de Gestão de Identidade. O que existe é a falta de planejamento, conhecimento das necessidades de negócio e das funcionalidades que são desejáveis. Alguns gestores subestimam ou ignoram situações durante o planejamento, as quais, com certeza, se tornarão grandes transtornos durante a implementação, abaixo cito algumas:

1. Definição da lista detalha de sistemas a serem conectados na solução tecnológica de Gestão de Identidade. Ao definir essa lista, é necessário o entendimento completo de como esse sistema suporta os processos de negócio e quais as limitações técnicas que esse sistema possui, exemplo, estrutura de usuários, perfis, grupos, transações, telas, objetos, funcionalidades, dentre outros. É importante definir ondas, agrupando no máximo três sistemas, sempre do mais crítico/importante para o menos.

2. Definição das bases autoritativas. Provavelmente a empresa vai lidar com funcionários, terceiros e temporários, e vai esbarrar em políticas internas de recursos humanos para conseguir todos os dados dos usuários.

3. Existência de uma estrutura de cargos versus funções bem definida. Tendo esta estrutura o ganho é imenso em relação à inteligência agregada aos processos assim como a facilidade de implementação.

4. Existência de pacotes básicos de acesso por função. Isso reduz drasticamente o número de solicitações feitas através de intervenção humana.

5. Definição de atores envolvidos nos workflows (aprovadores, executores, gestores, normativos). Sem os atores definidos, não existem processos.

6. Definição das funcionalidades técnicas. As soluções tecnológicas de Gestão de Identidade tem mais de 10 possíveis funcionalidades, porém apenas algumas delas são requisitos obrigatórios em uma implementação. É importante definir fases de implementação conforme a necessidade da empresa.

7. Avaliação da necessidade de se realizar um redesenho de perfis com ou sem análise de segregação de funções. Não espere ter perfis de acesso e usuários 100% aderentes e adequados já no inicio da implementação. O
importante é pegar o cenário atual da sua empresa e importar no sistema, “as is”, para depois de toda a implementação da solução tecnológica de Gestão de Identidade, iniciar um projeto de desenho de perfis de acesso em conjunto com áreas normativas (riscos e controles internos,) e com os donos dos processos de negócio. As empresas ficam, às vezes, anos tentando desenhar os perfis antes ou durante o projeto de Gestão de Identidade e perdem todo o trabalho. Considere a implantação de um processo de Gestão de Perfis (Role Management) integrado a solução tecnológica de Gestão de Identidade.

A implantação de Gestão de Identidades é simples, acredite. No passado algumas empresas tentavam fazer seu próprio sistema de controle de identidade e hoje não migram para as novas tecnologias com medo de perder a funcionalidade. A maioria das ferramentas disponíveis no mercado atendem as principais necessidades das mais variadas indústrias, e o que não se deve fazer é tentar resolver todos os problemas da empresa com o sistema de
gestão de identidade. O passo a passo e o planejamento são fundamentais para o sucesso, retorno rápido e visibilidade do controle para toda a empresa.

* Umberto Rosti é administrador, sócio-fundador da SafeWay Consultoria, com MBA em Tecnologia pela FGV, possui mais de 14 anos de experiência atuando principalmente com Segurança da Informação em consultoria e auditoria. Também é certificado CISA, CRISC e professor de pós-graduação em Segurança da Informação, além de participar de organizações como ISACA e CB21.

Sobre a SafeWay

A SafeWay é uma consultoria de Segurança da Informação, que oferece soluções
que atendem integralmente as necessidades de seus clientes e parceiros com
confiabilidade e eficiência, sempre voltada ao negócio. A organização possui
profissionais altamente capacitados em Governança e Segurança de Informação,
os quais possuem certificações como CRISC, CISA, COBIT, ITIL e CISSP, além
de profundo conhecimento em gestão de negócios. Com uma metodologia
completa, a SafeWay pode disponibilizar equipamentos, processos, pessoas e
softwares para atender aos seus clientes.

Participação Colaborativa Agenciado Overbr: por Umberto Rosti

 

Você também pode gostar

Deixe um Comentário

Ao navegar neste site, você aceita os cookies que usamos para melhorar sua experiência. Aceito Mais informações