Durante anos, a governança e a administração de identidades (IGA) foram tratadas como um grande programa de transformação - algo que leva anos para ser implementado e que visa resolver tudo de uma vez. Em teoria, resolver tudo de uma vez parece ser a escolha certa. Na prática, muitas vezes, é por isso que a IGA não dá conta do recado.
O padrão que vejo com mais frequência não é a falta de conhecimento sobre o que é a IGA ou o que ela faz - as organizações entendem a importância da IGA. O problema é que as abordagens tradicionais de IGA pressupõem que a organização tenha tempo, estabilidade e capacidade para desenvolver tudo em uma única etapa. No ambiente atual, isso não é mais realista.
A IGA tradicional funcionava bem quando o mundo era mais simples: sistemas locais, forças de trabalho baseadas em escritórios e funções que raramente mudavam. As funções eram claramente definidas, os sistemas não mudavam com frequência e as decisões de acesso podiam ser revisadas a cada poucos meses sem grandes riscos
Hoje, tudo é diferente. As organizações usam nuvem, SaaS e equipes distribuídas. As organizações estão gerenciando mais do que identidades de funcionários: elas também são responsáveis por prestadores de serviços, parceiros e até mesmo máquinas. O acesso muda o tempo todo.
Por causa disso, os modelos estáticos de IGA - com funções, políticas e direitos definidos - ficam desatualizados muito rapidamente. Muitos programas de IGA ficam presos nesse ponto. Eles tentam projetar tudo perfeitamente desde o início, mas o ambiente continua mudando antes que eles consigam apresentar resultados.
A abordagem tradicional “big bang” da IGA é muito ambiciosa. Ela tenta integrar todos os aplicativos, definir todas as funções e implementar a governança completa em um único programa.
O desafio é que isso leva tempo. E durante esse tempo, os riscos continuam a crescer.
Os processos manuais tornam o “big bang” de um IGA ainda mais difícil. As revisões de acesso se tornam muito extensas, os revisores nem sempre têm o contexto certo e as decisões se tornam mais voltadas para a conclusão da tarefa do que para a redução do risco. As funções estáticas ficam desatualizadas e, com o tempo, o acesso se acumula sem o devido controle.
No final, as organizações investem muito, mas nem sempre percebem um valor rápido ou claro.
O que vemos funcionar muito melhor é uma mentalidade diferente. Em vez de tentar resolver tudo, comece com um problema específico de IGA. Algo claro, mensurável e importante.
Por exemplo:
- Muitos usuários têm acesso de alto risco em um aplicativo crítico
- Revisões de auditoria sinalizam contas inativas
- Alguns direitos confidenciais são atribuídos a muitos usuários, mas raramente são usados
Esses são problemas reais, não teóricos. E eles podem ser resolvidos rapidamente.
Quando uma organização se concentra em um caso de uso ou desafio de IGA, tudo fica mais simples. As equipes conseguem as partes interessadas certas, definem o sucesso com mais clareza e apresentam resultados claros. Essa vitória inicial gera confiança e cria impulso para o que vem a seguir.
É assim também que pensamos sobre a IGA na RSA.
Em vez de pedir aos clientes que façam tudo de uma vez, apoiamos uma abordagem em fases por meio de nosso sistema modular Governança e ciclo de vida RSA licenciamento. Os clientes podem começar com Visibilidade-Apenas entender quem tem acesso a quê. Isso, por si só, já traz valor e percepção.
Em seguida, eles podem ir para Governança, Aplicando controles e revisões onde realmente é importante. E depois disso, eles podem se estender para Ciclo de vida, para automatizar processos e escalonar.
Essa abordagem permite que as organizações comecem pequenas, mas ainda pensem grande. Ela permite que as organizações resolvam um problema real primeiro e depois expandam passo a passo - sem precisar começar de novo ou reprojetar tudo.
Nos ambientes modernos, a governança não pode ser estática. Ela precisa ser mais dinâmica e mais focada.
Em vez de analisar tudo igualmente, as organizações precisam fazê-lo:
- Concentre-se primeiro nos itens mais arriscados
- Usar dados para orientar decisões
- Agir rapidamente
As organizações que realizam essas etapas tendem a combinar recursos de produtos com serviços. Para obter ganhos imediatos em IGA, as organizações precisam mais do que ter as ferramentas certas - elas também precisam usá-las de forma inteligente e prática para obter resultados.
Outro ponto importante é a flexibilidade, especialmente quando se trata de implementação.
Muitas soluções forçam os clientes a escolher entre soluções IGA na nuvem ou no local. Mas, na realidade, essa escolha pode mudar. Uma empresa pode começar com uma estratégia que prioriza a nuvem, mas depois se deparar com motivos regulatórios ou comerciais para permanecer no local. Ou as organizações podem precisar agir com maior flexibilidade e implementar mais soluções na nuvem.
A única solução correta é aquela que atende às necessidades atuais da organização e está pronta para acomodar as prioridades em constante mudança no futuro. É por isso que o RSA Governance & Lifecycle tem total paridade de produto entre suas soluções na nuvem e no local: a solução oferece os mesmos recursos, independentemente da implantação.
Isso significa que os clientes podem se adaptar caso sua estratégia mude. Eles não estão presos. Eles podem seguir em frente sem perder o que já construíram.
Começar pequeno não significa limitar sua ambição. Significa ser prático.
Quando uma organização resolve um desafio de IGA ou aborda um caso de uso, fica mais fácil expandir para o próximo aplicativo, o próximo risco ou a próxima melhoria. O progresso incremental pode gerar resultados significativos e criar um programa de IGA sólido e modernizado.
A IGA tradicional não está falhando porque a governança está errada. Ela está falhando porque a abordagem não está adaptada à velocidade e à complexidade atuais.
As organizações bem-sucedidas são aquelas que se concentram, começam com pouco e constroem passo a passo. Elas buscam resultados reais, não apenas grandes projetos.
A IGA não precisa ser muito complicada. Ele deve ser prático, rápido e agregar valor.
Mostraremos a você como isso funciona na prática.
Participe de nosso próximo webinar, Por que a governança de identidade falha em escala e como a IA corrige isso, onde mostraremos como analisar os dados de identidade, priorizar os riscos e agir com confiança.
