Crise de identidade

As grandes empresas esto cada vez mais preocupadas em

criar senhas fortes e garantir a autenticidade dos usurios,
para ganhar segurana e produtiviade. Isso possvel com o
gerenciamento de identidade. Pronto para encarar?
Por Franoise Terzian / ILUSTRAES ESTDIO MOL

NO FIM DOS ANOS 60, O AMERICANO

FRANK WILLIAM ABAGNALE JR. ROUBOU
MAIS DE 2,5 MILHES DE DLARES
USANDO IDENTIDADES FALSAS DE PILOTO
DA PANAM, MDICO E ADVOGADO.
ABAGNALE BURLOU COM INTELIGNCIA E
AUDCIA OS SISTEMAS DE SEGURANA DOS
BANCOS E APROVEITOU A BUROCRACIA
DAS ORGANIZAES E A INGENUIDADE DAS
VTIMAS PARA SE TRANSFORMAR NO
MAIOR FALSRIO DA HISTRIA DOS
ESTADOS UNIDOS

Se mesmo mostrando o rosto Abagnale

conseguiu essa proeza, imagine o que faria no mundo digital. Hoje qualquer
funcionrio demitido e mal-intencionado, se continuar com seu perfil na rede
corporativa, pode obter informaes e vend-las para a concorrncia. Da mesma
forma, um hacker pode, neste momento, estar se passando por uma secretria
para acessar aplicaes crticas de negcios. Diante de um cenrio que exige
ateno redobrada do CIO e do CSO (Chief Security Officer) sobre quem est
conectado rede e o que acessa, o tema gesto de identidade surge como
imperativo ao negcio das mdias e grandes companhias. " cada vez mais
importante ter meios para evitar o roubo de identidades e garantir a autenticidade
do usurio", diz Antnio Gesteira, gerente-executivo da consultoria Pricewaterhouse
Coopers.

De acordo com Osmar Koga, gerente de tecnologia da BMC Software, o conceito de

gesto de identidade visa garantir que a pessoa certa tenha acesso aos dados
certos na hora em que precisa, mas sem conseguir ver uma aplicao ou um dado
restrito. Com o volume cada vez maior de usurios e de softwares de negcios, a
complexidade aumentou, com sistemas de ERP, BI, CRM e muitas aplicaes
espalhadas pelo ambiente distribudo. Nesse contexto, qual a funo de um
programa de gesto de identidade? Cuidar do ciclo de vida do funcionrio e das
empresas parceiras dentro da cadeia de valor. A falta de um
programa de gerenciamento da identidade, alm de colocar a segurana em risco,
afeta tambm a produtividade, j que muitas empresas levam em mdia duas
semanas para montar o perfil de um novo funcionrio e dar acesso a todos os
programas de que ele precisa. "Sem gesto de identidade, as empresas correm o
risco de ter as pessoas livres para acessar aplicaes restritas e causar falhas de
segurana e fraude interna", afirma Leonardo Scudere, diretor de segurana da
Computer Associates para a Amrica Latina.

Para escapar desses riscos, companhias com mais 3 mil usurios de rede so fortes
candidatas implantao de um projeto desse tipo. O Gartner estima que os
fornecedores de tecnologia de gerenciamento vendero 60% mais no prximo ano.
Segurana

Buscando reduzir fraudes e gastos, muitas empresas j tm optado pela gesto de

identidade. Uma grande operadora de telecom que atua no pas partiu para um
projeto de gerenciamento aps descobrir fraudes causadas por terceiros que davam
manuteno s suas centrais telefnicas. Mesmo terminado o trabalho, os
prestadores de servio continuavam a ter acesso a e-mails e aos sistemas da
operadora. Como se no bastasse, ex-funcionrios se mantinham na rede, o que
gerava a cobrana indevida de licenas.

O instituto Forrester estima que o mercado mundial de ferramentas para gesto de

identidade alcanar 6,2 bilhes de dlares em 2007. H mais de 100 fornecedores,
que vendem solues nicas ou casadas de autenticao, controle de acesso e
provisionamento (processo de criar, manter e excluir o usurio). Ricardo Jos
Fernandes, presidente da Novell do Brasil, explica esse boom ao dizer que a gesto
de identidade est calcada em dois temas imprescindveis para todo CIO:
segurana e produtividade. "O mercado est bem aquecido", afirma Fernandes,
com os CIOs procurando solues.

Mas preciso saber que no se trata de uma empreitada simples, barata ou rpida.
"No subestime um projeto dessa natureza, pois envolve toda a organizao",
afirma Vera Marques, diretora de TI da Basf para a Amrica do Sul. Para no errar,
antes de comear o projeto, o CIO deve envolver o CSO, o CEO, os profissionais da
rea de auditoria e compliance, alm da diretoria de RH, pea fundamental nesse
tipo de projeto. Veja, nas prximas pginas, o que no pode faltar na gesto de
identidade.

COMPORTAMENTO MAPEADO

O medo de ter informaes confidenciais vistas por terceiros ou de sofrer a invaso

de um hacker levou muitas empresas a se preocupar de forma nica com a
excluso de usurios do seu ambiente de TI. Isso fazia todo sentido at a
disseminao da internet e do conceito de colaborao. Diante da necessidade atual
de incluir profissionais terceirizados, fornecedores e clientes nos sistemas internos,
projetos de gesto de identidade se tornaram necessrios.

"As empresas se esqueceram da extranet e dos parceiros de negcios que precisam

ser integrados ao ambiente de TI", afirma Antnio Gesteira, da Pricewaterhouse
Coopers. Mas como permitir a entrada de estranhos empresa e de temporrios
sem comprometer a segurana? E como gerenciar com eficcia um volume to
grande de acessos de fora e de dentro?

Segundo Gesteira, um projeto de gesto de identidade bem estruturado deve se

basear em quatro pilares: autenticao, diretrio, controle de acesso e
administrao de usurios. Reforar a autenticao algo to obrigatrio que os
bancos esto investindo no uso de smart cards e tokens.

da unio de vrias tecnologias que se faz uma boa gesto de identidade. Rubens
Caparica, diretor de consultoria em segurana da Unisys, destaca desde os
mecanismos de senha, chave pblica, token e biometria at os sistemas de controle
e administrao de usurios. "Com tecnologias bem combinadas, d para saber o
comportamento de cada usurio", afirma Caparica. S que para obter esse tipo de
benefcio, o CIO precisa enfrentar o desafio da integrao entre o ERP e os sistemas
legados e tambm repensar o fluxo de informao dos processos de negcios.
Ter um diretrio bem definido e organizado outro item importante, j que o ideal
para a TI armazenar as vrias identidades de uma empresa num repositrio nico
de dados, de forma a facilitar seu controle. Antes disso, porm, o primeiro desafio
da equipe identificar os usurios ativos, limpar o perfil de quem j saiu, reduzir o
nmero de identidades e exportar tudo para uma base nica de usurios. Mapear
todos os perfis de acesso, o que significa definir quem so os usurios e o que eles
podem acessar, outra medida imprescindvel para realizar o controle de
identidade.

Os especialistas apontam ainda para a importncia de se criar uma camada

unificada de controle de acesso. Como, ao longo dos anos, as empresas
acumularam muitas aplicaes, vrias solues acabam por solicitar uma
autenticao especfica s para elas. Nesse caso, a camada de controle de acesso
visa prover a mesma autenticao a todos os aplicativos. "Dessa forma d para
controlar e auditar melhor o processo", afirma Gesteira.

No quesito administrao de usurios, um desafio eterno equipe de TI ser o

gerenciamento gil do ciclo de vida de cada funcionrio dentro da rede, o que inclui
desde sua adio at o momento do desligamento, de forma a atender rapidamente
ao workflow. Um erro muito cometido pelas empresas deixar um funcionrio que
mudou de cargo ou de rea acumular diferentes identidades e ter acesso a mais
aplicativos do que deveria. preciso haver um equilbrio: acesso a mais significa
perigo, gastos emenos produtividade.

Regras claras

Maurcio Gaudncio, gerente de desenvolvimento de segurana da Cisco, diz que o

gerenciamento de identidade no um problema exclusivo da TI, mas de
governana corporativa. " preciso reunir RH, TI e help desk e colocar todos
andando no mesmo passo. E ainda cuidar para que no existam vcuos que
acabem por abrir brechas de segurana e falta de produtividade", afirma
Gaudncio.

De acordo com Leonardo Scudere, da Computer Associates, a melhor forma de

fazer isso com a criao de regras e processos bem estruturados. preciso ainda
revisitar freqentemente os perfis mapeados, assim como a cadeia de valor e as
polticas da empresa. Somente a combinao de pilares como autenticao,
controle de acesso e administrao de usurios, somados reviso de processos e
conscientizao dos funcionrios, pode levar implantao de um eficiente sistema
de gesto de identidade. "Se o CIO implantar um projetos em se preocupar com
todos esses pilares, vai acabar automatizando o caos na empresa", diz Gesteira.

CONSCIENTIZAR IMPORTANTE

A tecnologia importante, mas no suficiente nem deve caminhar sozinha num

projeto de gesto de identidade. Para no perder dinheiro e tempo, o CIO deve
estar ciente que, do planejamento fase de produo, usurios e diretores de
outras reas devem ser envolvidos. Segundo Osmar Koga, da BMC Software, o
fator humano continua sendo determinante. "Investir na conscientizao dos
funcionrios e fazer uso de polticas de segurana so fatores imprescindveis", diz
Koga.

Treinar os usurios para lidar com a interface das ferramentas e os administradores

de segurana para operar o sistema de gerenciamento o primeiro passo de um
bom projeto. O segundo explicar sua importncia e envolver as pessoas. O
terceiro passo consiste em conscientizar os profissionais para questes que devem
ser abortadas em nome dos novos hbitos, como a segurana que precisa ser
reforada e o envolvimento com as polticas de RH. Por isso tudo, o Change
Management (Gerenciamento da Mudana) deve tambm fazer parte do projeto em
todas as fases.

Qual a senha?

Segundo Koga, um bom projeto precisa descer a detalhes, como prever casos como
o de um usurio que est em frias para o RH, mas que continua trabalhando. "ATI
deve tirar o acesso rede no perodo de frias, para no permitir que exera suas
atividades. Isso evita processos trabalhistas", diz Koga. Por trs de um projeto de
gerenciamento de identidade est uma poltica de segurana, alm da mudana
cultural e de hbitos do usurio. O trabalho de conscientizao deve ser constante.
Segundo Ricardo Fernandes, da Novell, a grande dificuldade demonstrar ao
usurio que a camada de segurana vem para trazer mais elementos e obstculos a
invasores e no para dificultar sua rotina de trabalho. "Ele nem sempre entende a
poltica de senha nica e senha forte, porque isso uma quebra de paradigma",
afirma Fernandes. Hoje, segundo o Gartner, 45% das chamadas ao helpdesk esto
relacionadas gesto de senha, por causa do no funcionamento, da necessidade
de troca e do esquecimento do usurio. "O usurio deve gerenciar a prpria senha,
o que facilita sua vida e a do help desk", diz
Fernandes.

SUCESSO NA BASF

A dificuldade em manter atualizados os registros de acesso de seus 4 500 usurios,

entre colaboradores e funcionrios, foi um dos principais motivadores do projeto de
gesto de identidade da indstria qumica Basf. Em 2003, Vera Marques, diretora
de TI da Basf para a Amrica do Sul, percebeu a necessidade de racionalizao dos
acessos para aplicaes-chave, como o sistema de ERP SAP. "Buscvamos o
controle completo dos nveis de acesso nessa ferramenta", afirma Vera. Alguns
processos eram realizados manualmente, o que provocava dificuldades de
identificar com preciso algumas movimentaes internas, como no caso de
admisses e transferncias. A metodologia de controle de acesso ao SAP R3
tambm propiciava mais acessos do que o necessrio, provocando problemas de
segregao de funo.

Na hora de arregaar as mangas, Vera olhou para dentro e para fora da Basf, para
entender como outros mercados estavam lidando com o problema. Assim, a
empresa iniciou a busca por parceiros que atendessem a trs aspectos:
conhecimento e excelncia em auditoria, em funo da questo da segregao de
funes; conhecimento em processosde negcios e TI para auxiliar no redesenho
dos processos e das funes; e escolha de uma ferramenta de automatizao de
workflow e gerenciamento de identidade. Vera contratou, ento, a Pricewaterhouse
Coopers e a Novell.

Toda a empresa foi envolvida. No total, foram mais de 2 400 planos de testes, nove
meses de preparao e muita comunicao, com mudana sensvel nos
procedimentos. Dos muitos desafios enfrentados, Vera destaca a formalizao da
matriz de segregao de funes da empresa; o plano de testes, no qual os
usurios puderam seguir um fluxo e garantir a continuidade dos seus acessos; o
rollout do novo modelo de gesto de acessos; e o plano de comunicao e
gerenciamento da mudana.

Aps um ano e meio de planejamento e implementao, a Basf est na fase final da

primeira fase do projeto. A empresa est na etapa de operao assistida, perodo
em que o projeto encontra-se em produo, mas ainda sob superviso, etapa que
deve ser finalizada em maio. Entre os vrios benefcios j registrados, um dos mais
interessantes aconteceu aps o rollout, em novembro. A Basf reduziu
aproximadamente 45% do nmero de usurios com problemas de segregao de
funo.

PEPSICO REFORA A SEGURANA

A empresa PepsiCo, detentora das marcas Pepsi-Cola, Gatorade, Elma Chips e

Quaker, precisava fortalecer sua segurana e dar um fim ao gerenciamento manual
de identidade de seus cerca de 1 300 usurios. Quando um novo funcionrio era
admitido, demitido ou transferido, o processo de criao ou eliminao do perfil na
rede era feito na mo, o que causava demora e tinha tudo para ocasionar
problemas de segurana e produtividade.

Preocupada em proteger seus dados, a empresa comeou em 2003 um projeto de

estruturao da rea de segurana, cujo objetivo era garantir confidencialidade,
integridade e disponibilidade dos sistemas. "Comeamos justamente por um projeto
de gerenciamento de identidade", diz Domingos Bruno, diretor de TI da Pepsico.

Resistncia

Embora o software eTrust, da Computer Associates, tenha sido adotado com a

finalidade de auxiliar no gerenciamento de identidade, Bruno afirma que um projeto
desse tipo vai muito alm da TI. Trata-se de uma deciso que envolve processos e
pessoas, dois itens imprescindveis para o sucesso. Segundo Bruno, o projeto foi
caro, difcil de vender para a empresa e demorado. A TI levou um ano para mapear
os perfis, construir interfaces e fazer a soluo falar com as outras aplicaes,
como o ERP e o banco de dados. A integrao e a implantao foram ardilosas.

Outro desafio vivido pelo departamento de TI foi a resistncia cultural dos usurios.
"Tivemos de fazer um trabalho de conscientizao forte para implantar senhas
difceis de serem quebradas", diz Bruno. Antes, a empresa fazia uso de seis
caracteres. Agora, so no mnimo oito. Alm disso, as ltimas 13 senhas no
podem ser repetidas e necessrio efetuar trocas freqentemente.

Apesar dos percalos, o projeto teve como aspecto positivo um bom ROI (Return on
Investment). Alm disso, as chamadas para o help desk caram 10%. Bruno diz que
houve ainda uma simplificao do processo de administrao de aprovao de
usurios. Antes feito por e-mail, o processo agora automtico, o que facilita as
atividades de auditoria, que agora encontra um ambiente mais organizado e claro.

HSBC FAZ PROJETO MUNDIAL

Com mais de 30 mil usurios, o banco HSBC sentia a necessidade de controlar

melhor o acesso rede corporativa, alm de acelerar os processos de adio e
desligamento de funcionrios. Precisava, tambm, adequar-se normas como
Sarbanes-Oxley e Basilia 2. Com isso resolveu partir para um projeto de gesto de
identidade no incio de 2004. Em busca de agilidade e uniformidade num cenrio no
qual o atendimento era demorado, manual e trabalhoso, Kleber Melo, diretor de IT
security do HSBC, diz que foi aberto um estudo global com definio de
necessidades, metas e avaliao de ferramentas.

Mundialmente, as necessidades do HSBC eram as mesmas. Um time virtual foi

ento composto de representantes de todas as regies. Sua misso era identificar
padres e ter ganho de escala. Diante das trs principais fornecedoras do mercado
- IBM, Computer Associates e BMC Software-, o Brasil escolheu a soluo da CA e
partiu para o planejamento e a implantao. Esta ltima fase foi a mais complicada
e demorada.

Customizao

Com durao de um ano e meio, a implantao foi rdua por causa da necessidade
de adequao dos sistemas corporativos e de sua integrao com a base de RH. "A
soluo de gesto de identidade no to plug and play quanto se pensa", afirma
Melo. Para faz-la acontecer, preciso realizar a interao com todos os sistemas
do ambiente de TI, o que exige customizao. E customizao leva tempo e exige
definio de escopo, alm de um planejamento detalhado. H oito meses em
produo, a gesto de identidade ajudou o HSBC, entre outras coisas, a diminuir
erros e retrabalho e trouxe a vantagem de gerar agilidade no atendimento.

MISSO ESPINHOSA NA CONTAX

Uma das maiores empregadoras do pas, com 38 mil funcionrios, 15 contact

centers e um faturamento na casa dos 800 milhes de reais, a Contax
Participaes, empresa do grupo Telemar especializada na elaborao,
implementao e operao de contact centers, vivia at pouco tempo num cenrio
composto de alto volume de solicitaes devido ao crescimento da empresa;
turnover alto por causa da dinmica do setor; grande nmero de aplicaes
compondo o perfil do operador; e perfis de usurios no mapeados. A empresa
sofria ainda com solicitaes feitas incorretamente, pedidos encaminhados para
reas indevidas, ausncia de controle sobre os processos e demora nas respostas
das solicitaes. Eram tantos os problemas que j traziam impactos no negcio,
como perda de produtividade e riscos para a segurana.

Jackson Valle, diretor de tecnologia e servios da Contax, afirma que todo esse
cenrio, combinado necessidade de administrao do acesso dos usurios, levou
deciso de implantar o projeto de gerenciamento de identidade. Segundo Sylvio
Cavalcanti, gerente de segurana da informao da Contax, somente a automao
do processo daria a agilidade e o controle necessrios.

Iniciado em maro de 2005, o projeto teve cinco etapas, sendo que a primeira
comeou com a definio de um processo corporativo para controle de toda a
movimentao de pessoas, seguida pela fase de customizao da ferramenta e-
Trust, da CA.

Em maro, a Contax concluiu o projeto piloto num grande cliente e ainda neste ano
Cavalcanti diz que ser iniciada a migrao em outros dois clientes. A Contax
tambm planeja implantar o agente de integrao com o Microsoft Active Directory
(AD), com o intuito de automatizar 100% do processo de concesso de acesso
rede e s aplicaes que usam o AD para autenticao.

Embora o gerenciamento traga benefcios, como o aumento da segurana e do

controle, Cavalcanti lembra que alcanar uma gesto eficaz uma misso
espinhosa. "A elaborao e a implantao de processos e a customizao da
ferramenta so os principais desafios", afirma.