Ouço isso o tempo todo, seja conversando com clientes em uma feira ou com a equipe de produtos da RSA. As organizações dizem que têm a governança de identidade sob controle porque têm visibilidade. Elas têm painéis de controle, relatórios e métricas que mostram quem tem acesso a quê em todo o ambiente.
E, para ser justo, eles não estão errados. A visibilidade melhorou significativamente.
Mas se a visibilidade fosse suficiente, não estaríamos ainda lidando com os mesmos riscos.
Podemos ver mais do que nunca e, ainda assim, o acesso excessivo persiste, as violações de políticas permanecem e as constatações de auditoria voltam sempre. Em algum momento, fica claro que a questão não é se podemos ver o problema. É se estamos realmente fazendo algo a respeito.
Há uma suposição incorporada em muitas estratégias de governança de que uma melhor visibilidade levará naturalmente a melhores resultados - que uma vez que os problemas sejam expostos, a organização responderá de acordo. Não é isso que vejo.
O que vejo são equipes que estão totalmente cientes dos riscos em seu ambiente, mas não têm uma maneira clara de priorizar e agir sobre eles. O acesso excessivo é identificado, mas não é removido. As violações são sinalizadas, mas não são tratadas com urgência. Os revisores são solicitados a tomar centenas ou até milhares de decisões de acesso em várias equipes e funções, muitas vezes sem o contexto necessário para tomar decisões seguras. Assim, eles fazem o que as pessoas tendem a fazer quando estão sobrecarregadas: concluem a tarefa que está à sua frente. Com o tempo, a governança deixa de reduzir os riscos e passa a gerenciar a carga de trabalho.
O desafio não é apenas a quantidade de dados. É a falta de priorização. Quando todos os direitos, funções e violações de políticas aparecem da mesma forma, fica difícil determinar o que realmente importa. Nem tudo tem o mesmo nível de risco, mas sem uma maneira de distinguir entre eles, tudo começa a parecer igualmente importante.
É nesse ponto que a governança começa a estagnar. As equipes ficam com muitas informações e pouca orientação e, embora as revisões sejam concluídas e as descobertas documentadas, o risco subjacente não muda de forma significativa.
Para fechar essa lacuna, é necessário adotar uma abordagem diferente. Em vez de pedir aos revisores que avaliem tudo igualmente, precisamos ajudá-los a se concentrar no que realmente requer atenção. Em vez de apresentar mais dados, precisamos reduzir o ruído. E, em vez de confiar inteiramente na interpretação manual, precisamos introduzir uma inteligência que possa orientar as decisões. É nesse ponto que a análise e a IA começam a mudar a equação, ajudando as equipes a destacar o acesso de alto risco, a revelar o que é mais importante e a agir com confiança.
É exatamente nesse ponto que vejo as organizações começarem a fazer um progresso real e é nele que temos investido fortemente na forma como oferecemos suporte aos nossos clientes. Há anos aplicamos o aprendizado de máquina e a análise na governança de identidade, mas o que mudou recentemente foi o ritmo da inovação e a forma como podemos incorporar diretamente esses recursos aos fluxos de trabalho diários.
Não estamos adicionando IA apenas por adicionar. Estamos introduzindo recursos que ajudam as equipes a priorizar os riscos, fornecer um contexto claro para as decisões e orientar as ações diretamente nos fluxos de trabalho de governança. Em vez de pedir aos revisores que analisem grandes volumes de dados de acesso, estamos ajudando-os a se concentrarem no que realmente importa e a agirem onde terão o maior impacto. Essa mudança da visibilidade para a ação orientada é o ponto em que a governança começa a oferecer valor real.
Se tudo isso lhe parece familiar, você não está sozinho. Muitas organizações investiram muito em visibilidade, mas descobriram que isso não se traduziu em uma redução significativa dos riscos.
Quer ver como é a redução de riscos na prática? Participe de nosso próximo webinar, Por que a governança de identidade falha em escala e como a IA corrige isso, onde mostraremos como analisar os dados de identidade, priorizar os riscos e agir com confiança.
