O medo de se mexer no legado: Oracle, IBM e CA.
As grandes e médias empresas já estão cientes do fato de que prover acesso digital seguro e confortável para a força de trabalho, clientes e parceiros é uma questão não só de competitividade, mas até de sobrevivência.
Hoje, todas as empresas querem oferecer jornadas de acesso “customer centric” para o cliente, e garantir liberdade e agilidade para a força de trabalho. Independentemente do ambiente, a ideia de se projetar a melhor experiência do usuário, por mais rigorosa que precise ser a segurança, vai se tornando consensual em todos os domínios do negócio: no marketing, no RH, no service desk, nas transações de pagamento, nas parcerias entre varejo e fintechs, nos novos modelos de open finance etc.
Dados interessantes são que as pesquisas mostram que 80% das violações de dados estão relacionadas à apropriação ou mau uso de credenciais desprotegidas. Seja por parte de agentes externos ou mesmo internos, muitos deles mal-intencionados, outros não. Além disso, numa pesquisa da Ping Identity, 94% dos líderes de TI têm sérias preocupações com senhas geradas por usuários, que na sua maioria são fracas e rapidamente esquecidas.
70% dos líderes de TI concordam que a sua infraestrutura legada dificulta a introdução de novas tecnologias, e que este é um dos principais motivos de protelação dos projetos de transformação da identidade.
Essa mesma classe de produtos força a uma desaceleração dos projetos de transformação da identidade, porque foram concebidas antes da emergência de conceitos como login social, credenciais com atributos granulares e uso de APIs amigáveis para a produção de jornadas de acesso perfeitas.
Mas então por que, afinal, existe tanto medo e complicações para se transformar estruturas de identidade legadas nas empresas?
O que sentimos quando falamos de modernização no mercado, é medo, medo de mexer em sua “estrutura legada de IAM (Gerenciamento de Identidade e Acesso)”, além disso, muitos gestores de TI não têm nenhuma ideia do quanto pode custar uma jornada de transformação de identidade, como conseguir fazer esse projeto ganhar relevância e priorização entre os líderes das empresas e nem mesmo por onde começar todo esse processo. Podemos dividir esse “medo” em duas vertentes, a primeira é sobre o trauma da experiência negativa que a empresa teve com o implementador…atraso no projeto, recursos importantes para o negócio não foram entregues, alto custo e complexidade para integração de aplicação e a própria limitação da plataforma em si.
A outra vertente é que muitas vezes, devido a complexidade e alto esforço para implementação de uma plataforma limitada, precisou-se contar com um grande apoio técnico da força de trabalho interna do cliente, e atualmente, com um cenário pós pandêmico onde o fator geográfico não é algo mais relevante para decisão de mudança, muitas dessas pessoas trocaram de empresa e o histórico se perdeu.
Entretanto, com a ajuda das mãos certas, é possível sim traçar uma jornada de transformação extremamente eficiente, não traumática e personalizada para cada sistema e estrutura e ainda ter entregáveis mensuráveis mesmo no início do projeto.
Em resumo, a inteligência de TI precisa estar apta a oferecer, ao longo do projeto, a visão concreta de uma estrutura de processamento de acessos pronta a atender a novos requisitos de comunicação, colaboração e confiança mútua entre os parceiros da cadeia de valor. E isto precisa acontecer num prazo palatável para não estressar os patrocinadores internos, ou usuários e os owners de negócio.
Assim, de posse do mapeamento do ambiente e do rol de fraquezas e oportunidades, o time desenvolve uma justificativa de projeto em bases financeiras viáveis, com programação realística de entregas e métricas convincentes de ROI.
Ao fim, mexer em estruturas legadas não parecerá mais um monstro de sete cabeças!
Ok, decidi migrar a estrutura legada da minha empresa, e agora?
Seria ilusório partir da perspectiva do “quadro em branco” quando a realidade da migração, ou mesmo da modernização dada em fases, enfrenta obstáculos e desafios. Uma medida estratégica, além da substituição dos silos e aplicações, é estudar formas de desacoplamento das instâncias de autenticação e autorização de dentro das próprias aplicações.
Em vez de simplesmente “matar” aquelas aplicações de IAM legadas, uma alternativa é a criação de um barramento de serviços de identidade, externo, capaz de interagir com estas aplicações.
Trata-se de exteriorização de uma instância de autenticação e autorização associada não mais aos sistemas e às aplicações, mas a um motor de imposição de políticas. Este barramento orientado às políticas possibilita um desacoplamento gradual das funções de identidade e acesso das aplicações em si.
Ele permite isolar a problemática da identidade e acesso num ponto de gerenciamento único e fornece um horizonte de referência para o endereçamento das migrações. “É aqui que estamos, vejamos o que pode ser integrado em relação ao mundo aberto e, muito importante, já sabemos para onde queremos ir”.
Com a centralização dos serviços relacionados ao acesso é possível mexer na jornada sem ter de mexer nas vísceras. Por exemplo, se quisermos introduzir uma liberdade presumida mais ampla para o acesso de clientes B2C – digamos, num dia de Black Friday – basta que o owner do negócio decida pela regra mais aberta e atue num editor de regras simples sob seu controle, e melhor, sem precisar falar com o TI ou SI, habilitando o negócio a tomada de decisões pois eles contam agora com um vasto leque de features modernas como por exemplo, progressive profiling, que vai associada a um sistema de scoring habilitado a avaliar o risco de acesso “a quente”, sem exigir ginásticas do usuário e sem proibi-lo de prosseguir antes da hora.
A adoção de plataformas famosas e bem reputadas do mercado para as várias disciplinas de IAM é uma solução à mão, mas deve-se evitar a velha alternativa de desenvolvimento de “middleware” para integrar as aplicações legadas ao barramento de serviços ou às plataformas. Isto só faria aumentar a fragmentação da estrutura e agravar as dificuldades de controle.
Também se mostra caro e complicado demais criar aplicações ou add-ons específicos para suprir as plataformas com funções de gerenciamento para as quais não foram projetadas.
Uma saída que tem se mostrado compensadora é a criação de um proxy de acesso entre domínios, para uso temporário, de modo a balancear as limitações do legado com as novas soluções de identidade aberta. Uma resposta provisória, sem dúvidas, mas também providencial em muitos casos.
Outra estratégia inteligente é a combinação temporária de aplicações legadas com a estrutura de barramento já mencionada. E este arranjo foi articulado juntamente com o uso das plataformas de mercado e a aplicação de plug-ins (extraídos de casos de uso) para ligar todos estes elementos.
Desta forma, a equipe de projeto começa a obter um acesso centralizado de funcionários internos, dispositivos móveis, WEB e APIs.
A centralização gradual do gerenciamento permite um considerável retorno de investimento com melhor time-to-market nas entregas de automação, melhoria da experiência e ganhos de segurança.
Escalando de forma balanceada os serviços de identidade locais para a nuvem, vai se formando um modelo de operação para a identidade e acesso, e preparando o terreno para a adoção dos padrões abertos.
O que há de novo?
Antes de falarmos do novo, vamos falar do “velho”, as plataformas legadas da IAM dispõe de componentes prototipados de integração capazes de servir de atalho entre as bases de autenticação e autorização proprietárias e os modelos abertos de gerenciamento.
Através da combinação desses protótipos, no plano das interfaces de aplicações legadas, o especialista de IAM tenta criar as jornadas de autenticação e autorização tendentes à melhor experiência, mesmo diante de inúmeras limitações tecnológicas e muitas vezes o especialista necessitará de kits de integração para trazer ao mundo moderno de infraestruturas e aplicações (padronizados ou não) essas plataformas legadas tais como CA, Oracle, IBM.
Já com as plataformas modernas e o famoso conceito de orquestração, ganhou-se vida em IAM as operações de arraste e cole, o especialista desenha uma jornada de acesso completa, incluindo atribuição, autenticação e autorização, podendo testar os resultados em ambiente controlado.
Neste ambiente, a empresa pode iniciar a utilização integrada de suas aplicações com os protocolos padrões mais atuais, encontrando suporte nativo para SAML, OAuth, OpenID Connect e JSON Web tokens.
Isso viabiliza o conhecimento concreto de operações e negócios, desde já, em um ambiente digital compatível com a evolução para a estratégia Zero Trust.
Os ganhos
Com a centralização dos serviços de identidade e o emprego de no/low-code para o design de jornadas perfeitas de acesso, os projetos de transformação de IAM conseguem vencer as amarras de migração para padrões abertos e automáticos.
A modernização de IAM irá trazer reduções substanciais de custo de desenvolvimento de suporte e helpdesk, com menor dependência de fabricantes e redução dos gastos de TCO e upgrade de software.
A aderência operacional e estratégica com a nuvem permitirá respostas ágeis às mudanças de cenário de negócios, sem deixar escapar as janelas de oportunidade e mitigando os riscos.
Sua empresa ganha uma orientação real ao cliente e à força de trabalho, com taxas de conversão mais rápidas e time to market imbatível no lançamento de aplicações.