.
Recurso patrocinado É fácil esquecer o fator humano quando se trata de cibersegurança. Bloquear completamente sua rede certamente o deixará seguro, assim como bloquear completamente seu prédio fará o mesmo. O problema é que você vai lutar para fazer muito trabalho, porque as pessoas precisam de acesso a ativos, físicos ou virtuais, para realizar seus trabalhos.
É por isso que o gerenciamento de identidade e acesso (IAM) para “insiders” é uma disciplina central na segurança cibernética. Ele fornece os princípios, processos e ferramentas necessários para gerenciar o que seus colegas podem e não podem fazer nos sistemas principais que formam a base da infraestrutura de tecnologia corporativa são bem compreendidos – mesmo que sejam ocasionalmente esquecidos.
Há apenas um problema. Sua organização não existe isoladamente. Assim como as cadeias de suprimentos do mundo real se tornaram cada vez mais complexas e interconectadas, o mesmo aconteceu com as formas pelas quais organizações e indivíduos fazem negócios juntos e colaboram usando a tecnologia.
Tanto as empresas quanto os consumidores esperam uma experiência muito mais profunda e integrada ao lidar com empresas. E eles querem poder fazer isso em uma ampla gama de dispositivos e serviços, acessando seu site a partir de seu desktop ou laptop, interagindo com seus aplicativos em dispositivos móveis e mantendo contato por meio de canais sociais. E eles não querem fazer malabarismos com vários logins e identidades enquanto fazem isso.
Na verdade, não são apenas “clientes”. Os fornecedores querem e merecem uma experiência semelhante. E os que se enquadram nas duas categorias? Os trabalhadores da economia gig são, filosoficamente – se não legalmente – fornecedores, clientes e funcionários reunidos em um só.
O problema é que o IAM corporativo tradicional não mapeia muito bem esse mundo mais complexo.
Como explica Haider Iqbal, Diretor de Marketing de Produto da gigante tecnológica e aeroespacial Thales Group, as ferramentas IAM estão focadas em gerenciar e controlar o acesso dos funcionários aos recursos corporativos. Esses recursos geralmente são decididamente legados. Pense em sistemas ERP ou CRM monolíticos. Abri-los para pessoas e entidades externas geralmente torna a integração em nível de tecnologia um desafio, já que os desenvolvedores que dependem de APIs REST se deparam com a realidade de sistemas IAM internos e locais.
Embora o IAM tenha evoluído para corresponder à dinâmica da força de trabalho corporativa, grande parte dele permanece hierárquico e linear e não foi projetado com a mudança em mente. Sim, uma empresa típica pode esperar uma certa quantidade de rotatividade de pessoal todos os meses, com o desligamento do acesso dos funcionários aos sistemas e a integração de novos funcionários, mas isso será apenas uma fração da força de trabalho total. O crescimento raramente mostra picos exponenciais devido a um lançamento em um novo território ou a um novo produto, serviço ou lançamento de aplicativo que se torna viral.
É um novo mundo voltado para o cliente
E não é assim que funciona o novo mundo voltado para o cliente. Basta considerar a indústria de seguros. Uma seguradora pode trabalhar com corretores que podem ser o intermediário inicial com o cliente. Mas o relacionamento passará a ser entre o usuário final e a companhia de seguros. Uma única política pode envolver vários membros da família. Eles vão querer acessar suas apólices, verificar a cobertura, fazer reclamações. E eles podem querer discutir produtos ou serviços adicionais. Novamente, parte disso envolverá intermediários ou outras autoridades delegadas, bem como a empresa e o cliente.
Como explica Iqbal, muitas organizações de seguros terão sistemas que datam de décadas atrás em seu núcleo. “Eles nunca foram construídos para o mundo digital”, diz ele. “Eles foram feitos apenas para consumo interno.” Apoiar o tipo de relacionamento que descrevemos significa expor esses sistemas a vários clientes e entidades de negócios, por meio de canais da web, aplicativos móveis e sistemas sociais. E isso significa manter tudo isso 24 horas por dia, 7 dias por semana. Não deixe os sistemas off-line para backup no meio da noite.
Portanto, as seguradoras precisam superar esses obstáculos para oferecer o tipo de experiência baseada em dados que os consumidores – e intermediários, fornecedores, contratados e outros – esperam e ficarão felizes em encontrar em uma organização desafiadora.
É por isso que o IAM se torna central para o desafio mais amplo de transformação digital que as empresas enfrentam. Como enfatiza Iqbal. “Não é apenas abordar um segurança problema, na verdade está abordando um o negócio problema para muitas organizações.”
Não apenas para consumidores e clientes
É por esta razão que “CIAM” surgiu pela primeira vez. O c significa consumidor ou cliente, mas talvez seja um nome impróprio. Porque o gerenciamento de acesso à identidade do consumidor (CIAM), bem feito, permite que as empresas abram sistemas relevantes com segurança para toda a gama de consumidores, fornecedores, parceiros e outras partes não funcionários.
Quanto ao que distingue o CIAM do IAM tradicional, um recurso importante é a capacidade de escalar. Iqbal destaca que existem poucas organizações comerciais com mais de meio milhão de funcionários no mundo, e apenas algumas centenas com mais de 100.000. Mas quando você começa a falar sobre clientes ou consumidores, pode estar falando de dezenas de milhões de identidades em potencial, até perto de um bilhão em alguns casos.
“É realmente difícil imaginar que um sistema IAM convencional, construído para um máximo de 100.000 usuários, possa ser dimensionado para gerenciar milhões ou dezenas de milhões de identidades”, diz ele.
Isso também significa que as soluções CIAM e as equipes que as implantam devem ser extremamente flexíveis em relação aos sistemas subjacentes que gerenciam. Os sistemas tradicionais seriam basicamente conceder acesso a aplicativos e serviços conhecidos e amplamente usados, como Office 365, Salesforce ou SAP.
Mas, como explica Iqbal, “no espaço CIAM, você poderia estar falando com aplicativos que nem mesmo têm um nome dentro da organização, certo? Porque uma equipe de desenvolvedores realmente construiu um sistema de programa de fidelidade interno que eles querem integrar, ao mostrar pontos de fidelidade no aplicativo da web ou no aplicativo móvel, por exemplo.”
Isso torna APIs flexíveis e webhooks essenciais. Igualmente importante é que um fornecedor de CIAM possa sentar-se com um cliente para realmente conversar sobre quais sistemas e objetivos de negócios precisam ser cobertos, não simplesmente impor um modelo que cubra amplamente uma empresa de um determinado tamanho, em um determinado setor, com um portfólio presumido de aplicativos.
Compartilhar e compartilhar da mesma forma nem sempre é a resposta
O gerenciamento de dados e a privacidade também se tornam mais um desafio neste novo mundo. Gerenciar as responsabilidades de uma organização em torno das informações sobre seus funcionários é bastante bem compreendido. Os funcionários assumirão que seus dados pessoais serão protegidos e não compartilhados fora da empresa.
As coisas se tornam muito mais complexas quando se trata de consumidores, clientes e outros parceiros. O compartilhamento e o agrupamento de dados podem fornecer informações que melhoram o atendimento ao cliente e estimulam o desenvolvimento de novos produtos ou fluxos de trabalho. Mas os clientes serão particularmente sensíveis à possibilidade de os dados serem compartilhados entre diferentes domínios e organizações e sua capacidade de controlar isso.
“Imagine se estou falando com um varejista que vende roupas, por exemplo. Estou disposto a compartilhar minha altura, cintura ou minhas preferências esportivas. É bom para mim fazer isso”, diz Iqbal. Mas se esses dados puderem ser compartilhados além do varejista, digamos com uma seguradora, ele continua, “talvez eu não me sinta confortável em compartilhá-los, porque isso pode afetar meu prêmio com base no meu IMC ou no risco do esporte que pratico .”
Essa sensibilidade é particularmente importante para a Thales, que é uma empresa européia e que recentemente assumiu outro fornecedor europeu de CIAM na OneWelcome. Isso significa que ambas as organizações são bem versadas na abordagem baseada em GDPR da UE para gerenciamento de dados pessoais.
Portanto, o OneWelcome oferece integração com plataformas de marketing e análise, bem como integração com IDs sociais e perfis e auditoria de clientes. Ele também oferece recursos como validação de dados, correspondência de link de identidade e gerenciamento de delegação, para cobrir casos como o exemplo de seguro que discutimos.
Sensível às regras europeias
Além do logon único, os principais recursos para os usuários incluem foco em dispositivos móveis e autenticação móvel e amplo gerenciamento de preferências, incluindo o direito de ser esquecido exigido pelo GDPR. Iqbal disse que esse foco no gerenciamento de privacidade e consentimento é um fator chave na adoção do CIAM na Europa, e a Thales o oferecerá globalmente, sabendo que o GDPR é o padrão ouro para muitos regulamentos emergentes de privacidade de dados.
“Acho que o pedigree de ser um fornecedor europeu traz automaticamente a noção de alguém que entende a importância da privacidade e do gerenciamento de consentimento”, diz ele.
Em contraste com a abordagem hierárquica tradicional do IAM corporativo, Iqbal diz que a Thales e a OneWelcome veem o CIAM como o coração das múltiplas jornadas digitais de um cliente. “Sua função principal é a de orquestrador”, explica.
Uma empresa pode estar usando vários sistemas para suas operações de marketing, como plataformas de CRM, MDM e sistemas de análise, e eles lidarão com grandes quantidades de dados.
“Mas, para contextualizá-lo para um determinado usuário ou grupos de usuários, você também precisa ter o contexto de identidade”, continua ele.
Isso trará benefícios para os negócios em termos de segurança e em termos de garantir que os clientes se envolvam com ele e permaneçam por perto. Qual é, talvez, o benefício final que o CIAM pode oferecer.
Porque, como diz Iqbal, as necessidades dos clientes e parceiros são muito diferentes das dos funcionários. E suas respectivas opções para mudar de fornecedores quando essas necessidades não são atendidas também são muito diferentes.
Afinal, um funcionário com dificuldades para acessar um sistema ERP ligará para o suporte ou tentará novamente mais tarde, mas dificilmente sairá da empresa para nunca mais voltar. Mas um cliente atingido por uma experiência infeliz simplesmente seguirá em frente e não voltará.
Patrocinado pela Thales.
.
