CIAM: construir versus comprar

Início » Cibersegurança » CIAM: construir versus comprar

Read Time:6 Minute, 12 Second

Por Maarten Stultjens | VP Global Enablement IAM da Thales

O desenvolvimento de uma plataforma CIAM (Customer Identity and Access Management) não é apenas sobre conhecimento técnico. Requer a integração de diversos componentes, garantindo flexibilidade na configuração e criando documentação extensiva. Além disso, uma plataforma CIAM à prova de futuro deve se adaptar às jornadas dos clientes em evolução. Essa complexidade levanta a pergunta: sua organização pode se comprometer com o esforço de longo prazo necessário para uma solução CIAM Faça Você Mesmo (DIY)?

O que está em risco ao adotar a abordagem DIY

Quando você começa a desenvolver uma estratégia de CIAM, a abordagem Faça Você Mesmo pode parecer interessante – mas há riscos que você precisa estar atento. Os riscos envolvidos podem variar desde identificar a complexidade funcional atual e futura até o tempo necessário para colocá-la no mercado. Neste artigo, identifico e expando 5 riscos principais:

Complexidade Funcional (agora e no futuro)
O CIAM evoluiu muito além dos simples formulários de registro e logins com Nome de Usuário/Senha. Também evoluiu além dos clientes, considerando parceiros e terceiros? Os desafios atuais envolvem:

Integração sem atrito: Equilibrar segurança com um processo de registro suave é crucial.
Logins omnicanal: Clientes esperam acesso contínuo de qualquer dispositivo ou plataforma com uma aparência e sensação familiar.
Conformidade com a privacidade de dados: O que começou com o GDPR e o CCPA, regulamentos de privacidade de dados estão surgindo em diversos lugares e exigem proteção e conformidade robustas.
Validação de dados: Correlacionar a conta do usuário com dados internos e um registro de terceiros garante precisão.
Provedores de identidade BYOI e terceiros: Integração com IDs governamentais, IDs bancários ou logins sociais é cada vez mais comum.
Tipos diversos de usuários: Gerenciar o acesso para consumidores, usuários empresariais, parceiros e convidados requer flexibilidade.
Delegação de acesso: Conceder acesso controlado a grupos específicos de clientes ou parceiros exige modelos de delegação com convites e elevações ou autorizações por você ou terceiros.
Tecnologias emergentes: O que dizer sobre identidade auto-soberana e o papel da blockchain no futuro do CIAM é importante.

A pergunta: seu CIAM pode acompanhar?

Essas complexidades exigem uma solução CIAM robusta. Sua organização possui a experiência para navegar nela juntamente com a conformidade com regulamentos globais de privacidade de dados? Sua infraestrutura de TI pode lidar com a agilidade necessária para atender às demandas de negócios em evolução?

Complexidade de Integração: Navegando no Labirinto dos Padrões
Por mais de uma década, a Security Assertion Markup Language (SAML) tem sido o padrão para logins. Mas com a explosão de dispositivos e processos, o cenário está mudando:

Padrões em evolução: OpenID Connect é agora essencial para o acesso do cliente. FIDO é o novo padrão de autenticação, e SCIM é crucial para troca de dados.
PKI e UMA: Padrões como PKI fizeram um retorno. Enquanto alguns podem não, como UMA.
Caos de versionamento: À medida que os padrões amadurecem, eles introduzem desafios de versionamento.

O desafio: escolhendo sabiamente

Seleção de padrões: Você pode escolher com confiança os padrões certos para suas necessidades?
Agilidade das ferramentas: Sua solução CIAM oferece suporte contínuo para esses padrões em evolução? Sem essa flexibilidade, sua infraestrutura pode ter dificuldades para se adaptar no futuro.

Especialização necessária
Construir sua própria plataforma CIAM pode parecer viável com uma equipe de TI qualificada. Mas a especialização em padrões como SAML é apenas uma parte do quebra-cabeça. Veja por que o desenvolvimento interno pode ser desafiador:

Além das funcionalidades: Um CIAM robusto requer configurabilidade, integrações contínuas e documentação abrangente – não apenas funcionalidades básicas.
Preparação para o futuro: Um ciclo de vida de 5-10 anos exige uma plataforma construída para adaptabilidade, não apenas para as necessidades atuais.
Alocação de recursos: Mesmo com a especialização adequada, dedicar recursos internos ao desenvolvimento a longo prazo do CIAM pode ser difícil devido a demandas concorrentes de projetos.
Construção de equipe: Manter uma equipe dedicada ao desenvolvimento de CIAM requer um compromisso de longo prazo, possivelmente com a necessidade de especialização externa em um mercado competitivo. Você conseguirá encontrá-los neste mercado de trabalho difícil e quais são os custos envolvidos?

A pergunta: o desenvolvimento interno é certo para você?

Considere cuidadosamente as limitações de recursos e o compromisso de longo prazo necessários antes de embarcar no desenvolvimento interno do CIAM. Avaliar esses desafios pode ajudá-lo a tomar uma decisão informada.

Sempre ativo: mantendo seu Fort Knox Digital
Um sistema robusto de CIAM atua como a porta de entrada digital da sua empresa. Veja o que é necessário para mantê-lo seguro e operacional:

Infraestrutura: Você possui o ambiente de data center adequado, expertise em áreas como DevOps e segurança, e suporte?
Resiliência, escalabilidade e segurança: O sistema deve estar constantemente acessível (sempre ativo) e lidar com aumentos no tráfego (escalabilidade). Deve ser resiliente contra ataques cibernéticos.
Certificações de conformidade: Certificações de terceiros (ISO27001, ISAE 3000) podem ser necessárias.
Agilidade na implementação: Atualizações frequentes e mudanças de configuração requerem um robusto processo DevOps com tempo de inatividade mínimo.
Monitoramento 24/7: Monitoramento contínuo com várias ferramentas (probes) é essencial para detectar e resolver incidentes críticos (P1/P2) imediatamente.

Pergunte a si mesmo: você está equipado?

Sua organização possui a infraestrutura (data center), expertise (DevOps, segurança) e suporte para esse papel exigente? Você pode investir tempo e recursos para obter e manter certificações de conformidade? Avaliar esses fatores ajudará a determinar se você tem as capacidades para gerenciar um sistema CIAM de forma eficaz.

Tempo para valor: além dos obstáculos iniciais
Embora os projetos de Gestão de Identidade e Acesso (IAM) sejam complexos, o CIAM adiciona uma camada adicional devido às suas funcionalidades específicas. Veja por que alcançar um rápido tempo para valor pode ser desafiador:

Complexidade do projeto: Projetos de CIAM envolvem vários stakeholders e tomada de decisão complexa, levando a longas fases de planejamento (meses ou anos) para construções personalizadas.
Dependência de infraestrutura: O CIAM frequentemente atua como um bloco de construção crítico para outras iniciativas, criando pressão para uma entrega oportuna.

O poder das soluções pré-construídas:

Melhores práticas e configuração: Aproveitar soluções pré-construídas com melhores práticas e opções configuráveis acelera os cronogramas do projeto.
Especialização do fornecedor: Utilizar templates e experiência do fornecedor traduz-se em eficiência operacional e estabilidade comprovada. Construir do zero não garante escalabilidade ou confiabilidade.

A pergunta: velocidade vs. risco?

Você não tem o luxo de grandes falhas diante de seus clientes. Sua organização pode se dar ao luxo de uma construção personalizada com um prazo de 6 meses ou mais e resultados potencialmente incertos? Soluções pré-construídas com custos previsíveis e suporte dedicado do fornecedor oferecem um caminho mais rápido para o valor (potencialmente em 8 semanas) com risco minimizado de falhas maiores.

Para resumir

Construir sua própria solução CIAM pode ser um empreendimento demorado e caro, mesmo com especialização interna. O risco de atrasos e possíveis deficiências é significativo.

Por isso, um número crescente de empresas em diversos setores está optando por soluções CIAM comerciais e prontas para uso. Essas opções pré-construídas oferecem várias vantagens:

Tempo reduzido para valor: Menos planejamento e desenvolvimento levam a uma implementação mais rápida.
Custos reduzidos: Evita o custo contínuo de desenvolvimento e manutenção interna.
Risco mitigado: Beneficie-se de tecnologia comprovada e especialização do fornecedor para minimizar vulnerabilidades de segurança.

Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.

POSTS RELACIONADOS

Como mensagens de phishing conseguem atravessar filtros de e-mail

Por David Balaban Phishing é uma técnica maliciosa transmitida por e-mail que visa obter credenciais sensíveis dos usuários ou espalhar

Ler mais

13/09/2024

Garantindo a resiliência: o papel vital da gestão de chaves corporativas na recuperação de desastres

Por Jeff Miller | Diretor de Vendas GSI & OEM da Thales Na era acelerada em que cada segundo conta,

Ler mais

11/09/2024

Zero Trust: O paradoxo que ajuda os CISOs a viabilizar seus negócios

Por Steve Riley À medida que refletimos sobre a primeira metade de 2024, parece que duas características definidoras até agora

CIAM: construir versus comprar

POSTS RELACIONADOS

Como mensagens de phishing conseguem atravessar filtros de e-mail

Garantindo a resiliência: o papel vital da gestão de chaves corporativas na recuperação de desastres

Zero Trust: O paradoxo que ajuda os CISOs a viabilizar seus negócios

Categorias

Posts Recentes

Como mensagens de phishing conseguem atravessar filtros de e-mail

Garantindo a resiliência: o papel vital da gestão de chaves corporativas na recuperação de desastres

Zero Trust: O paradoxo que ajuda os CISOs a viabilizar seus negócios

Protegendo Redes: Avaliando Firewalls de Hardware

Explorando a IA: Regulamentações e Mitigação de Ameaças 20 de agosto de 2024

A ascensão da Gestão de Identidade e Acesso (IAM): Revelando os catalisadores

Feito por VP DIGITAL