English Spanish Portuguese
cloud-seguranca

RPA sobre IGA, uma combinação já aclamada pelos influenciadores, como o Gartner, e que agora está saindo da pura especulação pra o terreno das aplicações concretas.

É notável, nos últimos cinco anos, um movimento bastante rápido e consistente nas empresas pela correção de velhas falhas estruturais na administração de acessos e na gestão da identidade digital. Um movimento que vem ao encontro das novas necessidades, impostas pela terceira plataforma ?, onde a administração de usuários e entidades de acesso em geral se torna extremamente complicada e crítica pra a segurança.
Mas mesmo com todo o avanço das iniciativas em IAM (Gerenciamento de Acesso de Identidade) e processos de contenção de contenção do privilégio através das plataformas PAM (Gerenciamento de Privilégios de Acesso), ainda há grandes desafios para a implementação de projetos de  Governança de Identidade e Acesso (IGA), uma camada de controle na qual ainda é excessiva a demanda de mão de obra humana e na qual a incidência de processos manuais gera um gargalo operacional incompatível com as exigências de velocidade dos negócios nessa era do big data, da IoT e da decisão analítica. Até porque, quando falamos de Governar, estamos falando de um ambiente corporativo complexo, que a identidade e o acesso é apenas um dos calcanhar de aquiles da governança corporativa.

É diante desse cenário que as comunidades de auditoria, gestão, integração, segurança e estrategistas de processos vêm, já há algum tempo, procurando formas mais apropriadas para levar mais automação aos processos de governança da identidade, de tal modo que ela possa ocorrer com uma visão voltada para o negócio, e não apenas tecnologia ou infraestrutura, e todas as suas barreiras de integração.

Automação e Privilégios Mínimos

Em parceria tecnológica com empresas mundais em automação, identidade e acesso, a Netbr iniciou pesquisas e experiências com protótipos de solução empregando a aplicação de “bots”, semelhantes  a “chatbots” para substituir tarefas repetitivas. Inicialmente em 2012 orientadas a tarefas administrativas – Privilege Task Automation (PTA) , e recentemente orientadas à implantação da governança de identidade (IGA).

A visão de PTA, apesar de antiga – conceito precessor RBA – Run Book Automation – hoje é de vital importância, não apenas para automatizar tarefas administrativas repetitivas, e sinceramente, não vejo aqui o seu objetivo mais nobre (como pregado no passado). Hoje a importância e valor questão de PAM, e o processo de automação voltado para tarefas privilegiadas (PTA) está mais manter o ambiente seguro e controlado. Sabemos que manter uma empresa sob paradigma de mínimo privilégio é caro e ineficiente.
Abordagens como Super User Administration já falham pela arquitetura e rigidez de suas soluções, não é a toa, que em seu último report sobre PAM – vários analistas recomendam o uso de gravadores e controladores de sessão, em função da visibilidade das atividades, não apenas das contas, além da ineficiência prática de outras abordagens.

perigos-nuvem
seguranca-nuvem

RPA, IGA e PAM no Mundo Real

Desta forma, o paradigma de mínimo privilégio começa pelo entendimento e visibilidade das tarefas e manifestos, que podem ser automatizados, sob plataformas já estabelecidas como Puppet, Ansible, Chef, entre outras… Além do uso de RPA para aplicações,  interfaces gráficas ou terminais.
Ou seja, por diferentes que sejam as interfaces de usuário, um bot articulado em RPA, após um pequeno “treinamento”, conquista a capacidade de reconhecer uma interface e entender os requerimentos para operá-la.  Com controle de acesso, e com privilégios definidos e auditados. Assim, conseguimos efetivamente dividir o uso de privilégios pessoais e humanos, dos sistemas e não humanos. Com eficiência, ao contrário das rigidezas pregadas pelo mínimo privilégio.

Indo além, recentemente,  o  Gartner, emitiu documentos apontando que a tendência de se adotar o RPA em implementações futuras de IGA irá impactar fortemente as estruturas de gestão da administração de identidade. Isto porque, soluções de identidade, chamada segunda geração, ainda penam por justificar seu valor corporativo. Muitas vezes caros, há anos sendo implantado e de rara integração com ambiente corporativo. E é por isto que o RPA entra como uma luz no fim do túnel. Ele pode ser agregado a qualquer processo bem estabelecido.

Benefícios

Com isto, a nova camada robótica fica apta a responder com precisão por tarefas típicas da governança, como autenticação rápida de usuários, troca de senhas, criação e remoção de usuários e a execução de todo o ciclo do processo de JML (Joint, Move and Leave) que compõem o menu das tarefas de governança.

A grande diferença do RPA, em comparação com a automação comum, é que o robô consegue interagir perfeitamente bem com todo e qualquer aplicativo que disponha de um fluxo de entrada e uma interface de acesso. E não importa se tal interface seja a de um mainframe, um navegador web, ou uma Interface de operação. O robô atuará exatamente como agiria um operador humano e irá acumular experiência num processo de retroalimentação de suas capacidades.

Partimos, dessa maneira, para a eliminação de processos arcaicos e incompatíveis com um ambiente em que as exigências de segurança e compliance não devem ser obstáculos para a agilidade e nem impor a indesejável abolição do legado ou o investimento interminável em “middleware” para automatizar processos. E como ganho adicional ainda temos a redução de custos e o controle de um ambiente com mínimo privilégio.

monitoramento-nuvem

E então, quer ter mais controle e proteção na TI de sua empresa?

Mais Soluções

Conheça as soluções Netbr para segurança interna e prevenção a fraudes: