Fonte autoritativa, o coração do IAM!

Fonte autoritativa ou base autoritativa? São apenas sinônimos de uma fonte de informações muito importante para o programa de IAM dentro de uma organização. Como já adiantei no título do artigo, vamos chamar essa fonte de informações de Fonte Autoritativa. 

Afinal, o que é uma fonte autoritativa?

Vamos ao Google e usar o seguinte prompt: o que é uma fonte autoritativa? 

“Em termos de gerenciamento de identidade e acesso (IAM), uma fonte autoritativa é um sistema ou repositório de dados que é considerado a fonte confiável para informações de identidade de usuários, como nomes, cargos, grupos e permissões. Essa fonte garante que os dados de identidade sejam precisos e consistentes em toda a organização, o que é fundamental para a segurança e o correto funcionamento dos sistemas e aplicativos.” 

Parece ser algo trivial que usamos como base para garantir que o programa de IAM se torne dinâmico, vivo, seguro e confiável, mas temos algumas nuances que precisamos explicar antes de avançar no tema deste artigo. Vamos destrinchar as afirmações acima:

“Em termos de gerenciamento de identidade e acesso (IAM)...": 

Logo na primeira passagem, fica claro que a fonte autoritativa é necessária nos programas de IAM das organizações. Sem fonte autoritativa, não é possível realizar, de forma plena, a gestão de identidades e acessos de uma organização.

“…uma fonte autoritativa é um sistema ou repositório de dados que é considerado a fonte confiável para informações de identidade de usuários, como nomes, cargos, grupos e permissões.…”

Essa afirmação evidencia que uma fonte autoritativa deve ser uma base de dados confiável. Portanto, ela precisa ser confidencial, íntegra e disponível, ou seja, tem que seguir a tríade de segurança da informação: Confidencialidade, Integridade e Disponibilidade.

“...Essa fonte garante que os dados de identidade sejam precisos e consistentes em toda a organização, o que é fundamental para a segurança e o correto funcionamento dos sistemas e aplicativos.”

E por último, na passagem final do conceito, caso a tríade da segurança da informação não seja aplicada, teremos sérios problemas de segurança e operacionais.

Acredito que até aqui, ficou claro que a fonte autoritativa é o coração de qualquer programa de IAM e a manutenção dela é um enorme desafio. Esse desafio fica a cargo, GERALMENTE, do departamento de Recursos Humanos, que, pelos processos comuns, na maioria das organizações, o RH que mantém as informações de funcionários e terceiros. 

Usei a palavra “GERALMENTE” na passagem acima e precisamos já deixar claro que existem alguns cenários que certos tipos de fontes autoritativas não estão sob a responsabilidade do departamento de RH. A gestão de identidades e acessos não se resume apenas a identidades e contas humanas (funcionários e terceiros), existem as identidades e contas não humanas (sistemas, robôs (RPA) e IoT). Existem também outros tipos de fontes autoritativas fora do contexto do RH, que são as fontes autoritativas de projetos e fontes autoritativas residuais, mas vamos aprofundar nesse tema mais adiante.  

Agora, vamos usar as fontes autoritativas de RH como exemplo para comentar os casos de uso mais comuns de uma organização. Podemos começar com o dia a dia dos analistas de RH, responsáveis pela fonte autoriativa de funcionários e terceiros, que é manter essa base confiável, realizando as seguintes tarefas:

• Coleta de informações para a contratação de novos funcionários e terceiros;

• Inserção de informações de novos funcionários e terceiros, contratados, na fonte autoritativa;

• Alteração de informações de funcionários e terceiros (departamento, cidade, gestor, cargo etc.);

• Inclusão de licenças dos funcionários (férias, licença maternidade, licença médica etc.);

• Inclusão de desligamentos de funcionários e terceiros.

Fica evidente que com apenas os casos de uso acima, a fonte autoritativa de funcionários e terceiros apoia muito na orquestração do ciclo de vida da identidade, passando pela contratação, seguindo com as mudanças até o desligamento. Vamos já adiantar que seria o famoso JML (Joiner, Mover e Leaver), mas não vamos aprofundar muito nesse tema, ele caberia dentro de um artigo.

Estrutura de uma fonte autoritativa

Vamos imaginar uma tabela que contém várias linhas e colunas com as informações de usuários, onde cada usuário, seja terceiro ou funcionário, terá seus dados inseridos. Para ilustrar nossa imaginação, segue um exemplo de uma tabela que pode representar um usuário:

O relacionamento entre a fonte autoritativa e o IAM

A fonte autoritativa e o IAM andam de mãos dadas e a organização precisa de um bom relacionamento entre eles, eles não podem ficar sem comunicação. Já sabemos que a fonte autoritativa dita as regras do jogo, que o IAM acata as regras e as põe em prática.

Mas como o IAM põe essas regras em prática?

Através de processos ou ferramentas de governança de identidades e acessos (IGA). O mais indicado é que sejam usadas ferramentas de IGA que devem ter a capacidade de se conectar à fonte autoritativa, ler as informações contidas nela e que essas informações sejam as regras do jogo. As regras do jogo podem mudar em questão de minutos porque o dia a dia da fonte autoritativa é frenético e dinâmico, a IGA deve aceitar essas mudanças e ter a capacidade de replicar as mudanças de forma automática.

Vamos pensar no cenário em que um funcionário do departamento de marketing será transferido para o departamento jurídico e no próximo dia útil, as novas regras serão as seguintes:

• O funcionário Jhon Phill do departamento de marketing será transferido para o departamento jurídico;

• O funcionário Jhon Phill do departamento de marketing deverá obter o código de departamento jurídico;

• O funcionário Jhon Phill do departamento de marketing deverá obter o código do gestor do departamento jurídico;

• O funcionário Jhon Phill deverá perder todos os acessos do departamento de marketing e ganhar os acessos do departamento jurídico.

O caso acima é apenas uma situação recorrente de uma grande organização. A fonte autoritativa e a IGA devem se manter conectadas para que as regras sejam aplicadas no momento certo, atendendo aos requisitos de segurança, melhorando a experiência dos colaboradores e contribuindo de forma eficiente com o programa de IAM.

Tipos de fontes autoritativas

Em alguns contextos, não é possível fazer governança de identidades e acessos com apenas um tipo de fonte autoritativa. Dependendo do modelo de negócio da organização, é necessário combinar diferentes tipos de fontes para chegar a um bom nível de maturidade, garantindo um programa de IAM eficiente.

Fontes autoritativas de recursos humanos (RH)

A fonte autoritativa de RH é a mais comum nas organizações porque até mesmo antes do surgimento da necessidade da governança de identidades e acessos era necessário o cumprimento de normas trabalhistas e o mínimo de organização que garantisse o dia a dia operacional. Com o surgimento das ameaças digitais, foi se tornando cada vez mais necessária e importante a inclusão do IAM nas organizações e, de forma natural, a fonte autoritativa de RH, que geralmente é aplicação de mercado (SAP, ADP, Totvs etc.), começou a ser usada, pois lá as informações de funcionários e terceiros estariam atualizadas e íntegras. 

Fontes autoritativas sistêmicas

Quando falamos de IAM, muitas vezes pensamos em identidades e acessos de pessoas, mas no mundo digital e conectado é necessário o uso de identidades que não são representadas por humanos e sim por sistemas, robôs e ativos IoT. Vamos imaginar um cenário em que todos os dias um banco precise automatizar a contagem de todos os seus clientes e atualizar o saldo de cada um deles. 

Como seria se isso fosse feito por pessoas? 

Seriam centenas de pessoas executando a mesma tarefa, e para que isso seja feito de forma automática e eficiente é necessária a criação de identidades não humanas que possam fazer essas operações de forma agendada e automática. Para fazer a gestão dessas identidades, é indicado que exista uma fonte autoritativa que contenha as informações das identidades não humanas.

Fontes autoritativas de projetos

A maioria das organizações usa um modelo de hierarquia departamental que define que cada departamento tem um gestor e ele é responsável por aprovar as solicitações de acesso, férias, bloqueio e desbloqueio de seus liderados. Com a ascensão de metodologias de projetos ágeis, esse modelo departamental começou a enfrentar sérios problemas de governança porque a configuração de equipes é mais dinâmica e granular, muito diferente da configuração departamental. Os papéis e responsabilidades são diferentes e cada vez mais se distanciam dos moldes comuns de sistemas de RH. 

Caso a organização esteja inserida nesse contexto, uma decisão entre dois possíveis cenários deve ser tomada:

• Cenário 01: Convivência com duas fontes autoritativas, uma fonte de RH com o modelo departamental e outra fonte com os papéis e responsabilidades da estrutura de projetos ágeis, ambas integradas aos processos de IGA;

• Cenário 02: Incorporar as informações da fonte autoritativa de projetos à fonte autoritativa de RH e integrar uma única fonte aos processos de IGA. Esse cenário obriga os funcionários de RH a inserir e administrar novas informações de cargos e equipes ágeis.

Fontes autoritativas residuais

Em muitas organizações, nem todas as informações dos funcionários estão presentes em apenas uma única fonte autoritativa e faz-se necessária a busca dessa informação em outro sistema para compor os atributos da identidade dentro de um sistema IGA. Um exemplo comum desse cenário é quando a fonte autoritativa de RH ainda não possui o endereço de e-mail do colaborador e o endereço de e-mail é criado em outro sistema (Ex.: Active Directory em conjunto com o Exchange). Com isso, é necessário integrar o IGA com o Active Directory para resgatar o e-mail e preencher essa informação como atributo de e-mail da identidade. 

Agora, vamos resumir o que aprendemos neste artigo

A fonte autoritativa é o elemento central e insubstituível de um programa de IAM eficaz: é dela que se originam os atributos, regras e decisões que norteiam a criação, alteração e revogação de acessos. Para cumprir esse papel, a fonte autoritativa deve obedecer à tríade da segurança (confidencialidade, integridade e disponibilidade) e ser mantida por processos claros e confiáveis. Vale reforçar também que RH fica responsável por gerar informações para identidades humanas, mas também equipes técnicas ou de projetos para identidades não humanas e estruturas ágeis.

Na prática, a governança de identidades exige integração constante e confiável entre as fontes autoritativas e as ferramentas de IGA, de modo que mudanças (JML) sejam refletidas automaticamente nos acessos, reduzindo riscos operacionais e de segurança.

Organizações com um certo nível de maturidade entendem que um único tipo de fonte autoritativa raramente atende a todas as necessidades: é comum combinar fontes de RH, sistêmicas, de projetos e residuais, ou decidir consolidá-las conforme estratégia e capacidade operacional.

Com isso, projetar e governar corretamente as fontes autoritativas, definindo proprietários, processos de atualização, níveis de confiança e integrações técnicas, é condição necessária para um IAM dinâmico, seguro, alinhado ao negócio e normativos.