O FUTURO DA IDENTIDADE E SEU ENCONTRO EM SP
Uma parcela da comunidade brasileira de especialistas em gerenciamento da identidade (cerca de 300 profissionais) participou do evento “Netbr Overflow, O Futuro da Identidade”, há uma semana, em São Paulo. O encontro ocupou um dia inteiro de debates, casos de uso e exposições técnicas. Abrangeu também um painel sobre a evolução do mercado de IAM no Brasil em comparação com a experiência dos EUA.
Executivos de empresas com grandes projetos de IAM nas áreas de telefonia móvel, fintechs, bancos e empresas unicórnio trocaram experiências sobre processos de implantação, consolidação e disseminação da cultura de modernização da identidade.
Três fabricantes globais de soluções na área – Ping Identity, SailPoint e BeyondTrust – trouxeram atualizações sobre sua visão da identidade no que diz respeito aos novos ambientes de risco, metodologias e abordagem e adoção de padrões abertos.
A integradora e consultoria norte-americana CyberSolve enviou o VP de Vendas, Luiz Almeida, para discutir sua experiência sobre a evolução da identidade e dos padrões abertos no EUA. As similaridades e diferenças desse processo foram debatidas em relação ao histórico brasileiro, trazido à tona pela equipe de arquitetos da Netbr.
Além disto, a banalização da IA, como vetor de risco e desorientação de processos, até então, tidos como estáveis, foi um dos temas dominantes nas discussões do Overflow.
Exemplo dessa abordagem foi dado pelo representante da área de ciências matemáticas da USP. O cientista tratou da aplicação de aprendizado de máquina em ataques de privacidade. Ele apontou haver uma insuficiência da anonimização como tática de proteção aos dados do indivíduo.
Andre Durand: A Identidade sob Ataque e os Temores pela Frente
O CEO e fundador da PingIdentity, André Durand, um dos idealizadores do conceito de jornada “passwordless”, apontou os principais temores e desafios para o futuro da identidade. Sua exposição veio recortada por questionamentos sobre o modo como a IA está provocando a fragilização do princípio da confiança. E isto tanto nos fatores de autenticação quanto na construção da identidade como garantidor da legitimidade de acesso.
Na palestra “A Identidade sob Ataque”, Durand observou que a consolidação de métodos resilientes (como a aplicação de múltiplos fatores – MFA- juntando a biometria com a validação de fatores sistêmicos), trouxe mais legitimidade para os padrões de confiança da identidade.
Entretanto, enfatizou que estas e outras conquistas não são mais suficientes para enfrentar os padrões de ataques maliciosos. Ou seja, as táticas avançadas de ataque, usando o aprendizado de máquina (ML) e empregando Modelos Grandes de Linguagem (LLM), capazes até de superar nossa atual visão de deepfake.
Nas palavras do especialista, após a consolidação de modelos de autenticação, o momento agora é o de olhar para o “futuro da autorização”. E levando em consideração a falibilidade das balizas de segurança e a incerteza quanto aos próprios critérios fixos de certificação de fatores.
Segundo ele, o futuro da identidade depende do agora “questionável” futuro da confiança. Enfatizando que a confiança sistêmica já vinha, há tempos, passando pelo escrutínio da filosofia “zero trust”.
Seguindo este raciocínio, os debates do Seminário Overflow endossam a afirmação de que os sistemas de identidade precisam passar a olhar com mais atenção para os modelos de autorização, como OAuth e OpenId, e buscar meios de torná-los acessíveis ao conjunto da sociedade.
E reconhecendo, em paralelo, a necessidade de uma disciplina de autorização permanente e adaptativa. Ou seja, capaz de se legitimar, instante a instante, e observando os sinais contextuais de risco de violação ou fraude. Não apenas no acionamento, mas em qualquer ponto do ciclo de acesso.
FAPI: Confiabilidade do Open Banking para todo o Ecossistema
A ousadia histórica do Sistema Brasileiro de Pagamentos (SPB) é vista, na comunidade de IAM, como um trunfo da indústria financeira nacional diante do mundo. Mas os debatedores reconhecem que esta “criatividade histórica” precisa mais rapidamente ceder lugar à adoção a padrões da indústria.
Isto implica na adaptação dos atuais processos à constante evolução das recomendações (RFCs) emitidas por fóruns técnicos como a OpenID Foundation e o IETF.
Na visão de um dos CISOs presentes, a rápida adesão dos bancos locais ao padrão FAPI é consequência palpável dessa dimensão de ecossistema que o SPB conserva de origem. O que atesta também o louvável papel de coordenador do Bacen, trazendo efeitos positivos ao mercado, ao propiciar uma arquitetura consistente para o Open Finance nacional.
Entre as conclusões deste painel, está a de que os bancos conseguiram, de fato, atingir o nível de gerenciamento granular de atributos críticos, resguardando a privacidade e a análise complexa de dados de identidade.
Mas, de agora em diante, é preciso que as equipes aprendam realmente a seguir a evolução das RFCs para levar estas propriedades para além do negócio financeiro. Dessa forma, será possível modernizar toda a abordagem de IAM, em âmbito interno e externo aos bancos e, a partir deles, para os demais agentes do mercado.
O resumo da discussão é dado por Flávio Bontempo, CTO e sócio da Netbr, para quem o modelo FAPI precisa estar apto a ser catapultado para todos os ramos da economia. Se esta disseminação for obtida, a indústria financeira se posicionará, mais uma vez, como a influenciadora maior dos rumos da confiança de acesso.
O arquiteto de identidade Júlio Magalhães discutiu, com representantes de três bancos e uma empresa de API de serviços de massa, sobre desafios culturais e de infraestrutura que o especialista em IAM precisa equacionar para “vender” internamente os seus projetos.
Embora concordem que as soluções de mercado tragam paradigmas capazes de facilitar os processos de absorção da identidade moderna, os profissionais ressalvaram que a estrutura bancária não se adapta, de modo algum, às imposições das plataformas. E que, por outro lado, não é um ponto pueril adaptar as plataformas ao legado das instituições.
A respeito destes obstáculos, os debatedores concordam que há também a falta de massa crítica em IAM. E que uma das dificuldades do gestor é apresentar este nicho como uma área promissora para os profissionais aspirantes de TI e segurança. Todos eles saem das faculdades de TI com a expectativa de que vão inventar suas plataformas revolucionárias. Mas, no dia a dia da IAM, diz Júlio Magalhães, a realidade é a de um profissional que descobre falhas e realiza ajustes em plataformas de mercado para melhorar os processos.
Em outras palavras, trata-se de uma área criativa e valorizada, mas carente de um “sex appeal” que só vem com a experiência.
Histórias reais nas empresas
Do lado dos influenciadores da indústria, o encontro Overflow foi oportunidade para a SailPoint, Ping Identity e BeyondTrust mostrarem os últimos avanços de suas plataformas e os rumos da identidade no novo ambiente afetado pela IA.
Do lado dos usuários, o evento contou com a apresentação de cases que estão entre os projetos mais consistentes do país nessas áreas.
Um dos especialistas em telefonia móvel mostrou como o emprego de IGA da SailPoint, articulado com as plataformas de autenticação e autorização da Ping Identity ajudam estas empresas a implementar o ambiente “cloud first”. No exemplo, uma operadora global com atuação no Brasil, antes uma empresa 100% on-prem, é hoje uma operação quase que 100% na nuvem no que diz respeito ao core-business. E a arquitetura de identidade está na base desse salto de patamar.
Outro caso estudado no evento é uma plataforma de cartões, resultante da fusão de três empresas e da aquisição de mais duas. Neste caso, o projeto de transformação da identidade funcionou como ponto de partida para e de referência técnica para a uniformização da arquitetura de serviços, incluindo segurança, UX e execução de auditoria de compliance.
Para o arquiteto de identidade Raphael Saraiva, o desafio de resolver os gaps de ambientes complexos, e dominados pela entropia de vários silos departamentais, pode ser uma boa “desculpa” para se encarar o problema de identidade.
A modernização da identidade, a seu ver, pode enriquecer a jornada de revisão do legado e oferecer soluções de transformação digital orientada a aos objetivos estratégicos mensuráveis e em prazos mais tangíveis. E não mais apenas à TI como meio e atrelada a projetos longínquos.
Tendo centenas de aplicações legadas, e sem padrão para autenticação ou autorização, a operação estudada no evento, há apenas dois anos, ainda vivia a forte pressão regulatória de normativas como PCI-DSS, Sarbox, e padrões ISO de segurança, sem falar em KYC e LGPD.
Com um projeto de IAM e adesão a protocolos abertos, o responsável pela padronização mostrou como foi possível acelerar a modernização, a partir da adoção de uma solução SaaS, trazendo as funcionalidades de IGA da SailPoint como base para a introdução de metodologias confiáveis.
Mais do que uma abordagem meramente acadêmica, o Instituto de Ciências Matemáticas e de Computação da USP, trouxe ao evento uma visão pragmática sobre o dilema da monetização e compartilhamento de grandes dados identidades diante dos imperativos éticos e dos riscos de exposição de atributos de terceiros ao crime digital.
O professor e pesquisador Ricardo Marcacini mostrou exemplos reais de engenharia reversa, em que a anonimização ou omissão parcial de dados podem ser transpostos pelo aprendizado de máquina e pelos novos modelos de ataque de linguagem.
O evento foi encerrado com a manifestação do CEO da Netbr, André Facciolli que, ao longo do dia, já havia discorrido sobre o histórico da empresa como uma das introdutoras no país de conceitos como Identidade, PAM, CIAM e WIAM e IGA, hoje com cerca de 100 projetos na área, incluindo a incorporação de novidades como IDTR, Policy Automation, e Autorização Adaptativa.
NETBRDOBEM
Créditos: “Reportagem Security Report“
