Recursos/White Papers

Gestão

É hora de trazer robôs para a governança de acesso

RPA sobre IGA e PAM, uma combinação que agora está saindo da pura especulação para o terreno das aplicações concretas

André Facciolli *

Publicada em 11 de outubro de 2017 às 10h28

É notável, nos últimos cinco anos, um movimento bastante rápido e consistente nas empresas pela correção de velhas falhas estruturais na administração de acessos e na gestão da identidade digital. Um movimento que vem ao encontro das novas necessidades impostas pelo novo ambiente de interações complexas, onde a administração de usuários e entidades de acesso em geral se torna extremamente complicada e crítica pra a segurança.

 Mas, mesmo com todo o avanço das iniciativas em IAM (Gerenciamento de Acesso de Identidade) e processos de contenção do privilégio através das plataformas PAM (Gerenciamento de Privilégios de Acesso), continuam grandes os desafios para a implementação de projetos de Governança de Identidade e Acesso (IGA), uma camada de controle ainda caracterizada pela excessiva demanda de mão de obra humana. E na qual a incidência de processos manuais gera um gargalo operacional incompatível com as exigências de velocidade dos negócios nessa era do big data, da IoT e da decisão analítica.

E como agravante, quando falamos em governar, estamos nos referindo a ambientes corporativos com altos níveis de complicação. Ambientes onde a identidade e o acesso são apenas a parte mais sensível do grande Calcanhar de Aquiles ostentado pela governança corporativa.

É diante desse cenário que as comunidades de auditoria, gestão, integração, segurança e estrategistas de processos vêm, já há algum tempo, procurando formas mais apropriadas para levar mais automação aos processos de governança da identidade.

De tal modo que ela possa ocorrer com uma visão voltada para o negócio, e não apenas para a solução de problemas de tecnologia ou infraestrutura, que também necessitam ser enfrentados, mas que não são o objeto final desses esforços. Para responder a esses novos requerimentos, a saída que vejo como a mais madura e com mais chances de futuro é a do modelo robótico, proporcionado pela tecnologia RPA (Robotic Process Automation).

Em parceria tecnológica com empresas mundiais em automação e identidade de acesso, a Netbr já há algum tempo havia sido pioneira em pesquisas e experiências com protótipos de solução empregando a aplicação de robôs (os “bots”, semelhantes a “chatbots”) para substituir tarefas repetitivas.

Inicialmente, lá nos idos de 2012, estas experiências estavam orientadas a tarefas administrativas, tais como a de automação de tarefas de privilégio (Privileged Task Automation – ou PTA). Mais recentemente, porém, nossos esforços passaram a se dirigir a um objetivo mais ousado, que é o da implantação da governança de identidade (IGA) associada à tecnologia robótica.

Aquela primeira visão, focada em PTA, apesar de antiga, já carregava em si os preceitos de automação mais avançados para aquela época e que eram expressos pelo modelo RBA (Run Book Automation), cuja preocupação ainda era essencialmente a busca da economia.

Entretanto, a verdadeira importância de se automatizar tarefas privilegiadas (com emprego de PTA e com a adoção da visão de PAM – Privileged and Access Administration) está em se cumprir o desafio de manter o ambiente seguro e controlado, uma tarefa para a qual já não é mais suficiente o paradigma de “mínimo privilégio”, algo que se torna pouco eficiente e financeiramente caro.

controledeacesso

De fato, abordagens como “Super User Administration” já demonstraram falhas, em função, principalmente, da rigidez de sua arquitetura. Não é à toa, a propósito, que, em recentes relatórios sobre PAM, vários analistas recomendam o uso de gravadores e controladores de sessão como complemento necessário aos sistemas de restrição de privilégio.

Tais complementos se mostram particularmente interessantes por garantirem a visibilidade das atividades na rede, e não apenas uma visibilidade orientada às contas.

Desta forma, o paradigma de “mínimo privilégio” deve ter o seu início no entendimento e visibilidade das tarefas e eventos no fluxo de dados e transações. E o importante é que tais elementos possam ser automatizados, sob plataformas já estabelecidas, como “Puppet”, “Ansible”, e “Chef”, entre outras. Além, é claro, do uso de RPA para aplicações, interfaces gráficas ou terminais.

E por que o RPA é a melhor resposta a este aspecto? É que, por mais diferentes que sejam as interfaces de usuário, um bot articulado em RPA, após um pequeno “treinamento”, conquista a capacidade de reconhecer esta interface e entender os requerimentos para operá-la. 

Tudo isto com controle de acesso e com privilégios definidos e auditados. Assim, via RPA, conseguimos efetivamente dividir o uso de privilégios pessoais e humanos daqueles outros utilizados por sistemas e agentes não humanos da rede, e sem o excesso de rigidez que está associada à ideia de mínimo privilégio.

Indo além, recentemente, o Gartner, emitiu documentos apontando que a tendência de se adotar o RPA em implementações futuras de IGA irá impactar fortemente as estruturas de gestão da administração de identidade. Isto porque, soluções de identidade da chamada “segunda geração”, ainda penam por justificar seu valor corporativo.

Elas são, muitas vezes, tidas como caras e podem levar anos sendo implantadas, além de raramente serem de fácil integração com o ambiente corporativo. Este é mais um motivo pelo qual o RPA entra como uma luz no fim do túnel. Ele pode ser agregado a qualquer processo bem estabelecido.

E assim, esta nova camada robótica fica apta a responder com precisão por tarefas típicas da governança, como autenticação rápida de usuários, troca de senhas, criação e remoção de usuários e a execução de todo o ciclo do processo de JML (Joint, Move and Leave) que compõem o menu das tarefas de governança.

A grande diferença do RPA em comparação com a automação comum, é que o robô consegue interagir perfeitamente bem com todo e qualquer aplicativo que disponha de um fluxo de entrada e uma interface de acesso. E não importa se tal interface seja a de um mainframe, um navegador web ou uma interface de operação. O robô atuará exatamente como agiria um operador humano e irá acumular experiência num processo de retroalimentação de suas capacidades.

Partimos, dessa maneira, para a eliminação de processos arcaicos e incompatíveis com um ambiente em que as exigências de segurança e compliance não devem ser obstáculos para a agilidade e nem impor a indesejável abolição do legado ou o investimento interminável em “middleware” para automatizar processos. E como ganho adicional ainda temos a redução de custos e o controle de um ambiente com mínimo privilégio.

No próximo simpósio do Gartner, que acontecerá em São Paulo ainda neste mês (outubro de 2017), poderemos apresentar resultados em integração de RPA sobre IGA e PAM, não apenas no estado da arte dessa implementação, mas principalmente, saindo do terreno teórico especulativo para o posicionamento prático de uma solução robótica.

 

(*) André Facciolli é CEO da Netbr



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui