Por Maarten Stultjens | VP Global Enablement IAM da Thales
O desenvolvimento de uma plataforma CIAM (Customer Identity and Access Management) não é apenas sobre conhecimento técnico. Requer a integração de diversos componentes, garantindo flexibilidade na configuração e criando documentação extensiva. Além disso, uma plataforma CIAM à prova de futuro deve se adaptar às jornadas dos clientes em evolução. Essa complexidade levanta a pergunta: sua organização pode se comprometer com o esforço de longo prazo necessário para uma solução CIAM Faça Você Mesmo (DIY)?
O que está em risco ao adotar a abordagem DIY
Quando você começa a desenvolver uma estratégia de CIAM, a abordagem Faça Você Mesmo pode parecer interessante – mas há riscos que você precisa estar atento. Os riscos envolvidos podem variar desde identificar a complexidade funcional atual e futura até o tempo necessário para colocá-la no mercado. Neste artigo, identifico e expando 5 riscos principais:
- Complexidade Funcional (agora e no futuro)
O CIAM evoluiu muito além dos simples formulários de registro e logins com Nome de Usuário/Senha. Também evoluiu além dos clientes, considerando parceiros e terceiros? Os desafios atuais envolvem:
- Integração sem atrito: Equilibrar segurança com um processo de registro suave é crucial.
- Logins omnicanal: Clientes esperam acesso contínuo de qualquer dispositivo ou plataforma com uma aparência e sensação familiar.
- Conformidade com a privacidade de dados: O que começou com o GDPR e o CCPA, regulamentos de privacidade de dados estão surgindo em diversos lugares e exigem proteção e conformidade robustas.
- Validação de dados: Correlacionar a conta do usuário com dados internos e um registro de terceiros garante precisão.
- Provedores de identidade BYOI e terceiros: Integração com IDs governamentais, IDs bancários ou logins sociais é cada vez mais comum.
- Tipos diversos de usuários: Gerenciar o acesso para consumidores, usuários empresariais, parceiros e convidados requer flexibilidade.
- Delegação de acesso: Conceder acesso controlado a grupos específicos de clientes ou parceiros exige modelos de delegação com convites e elevações ou autorizações por você ou terceiros.
- Tecnologias emergentes: O que dizer sobre identidade auto-soberana e o papel da blockchain no futuro do CIAM é importante.
A pergunta: seu CIAM pode acompanhar?
Essas complexidades exigem uma solução CIAM robusta. Sua organização possui a experiência para navegar nela juntamente com a conformidade com regulamentos globais de privacidade de dados? Sua infraestrutura de TI pode lidar com a agilidade necessária para atender às demandas de negócios em evolução?
- Complexidade de Integração: Navegando no Labirinto dos Padrões
Por mais de uma década, a Security Assertion Markup Language (SAML) tem sido o padrão para logins. Mas com a explosão de dispositivos e processos, o cenário está mudando:
- Padrões em evolução: OpenID Connect é agora essencial para o acesso do cliente. FIDO é o novo padrão de autenticação, e SCIM é crucial para troca de dados.
- PKI e UMA: Padrões como PKI fizeram um retorno. Enquanto alguns podem não, como UMA.
- Caos de versionamento: À medida que os padrões amadurecem, eles introduzem desafios de versionamento.
O desafio: escolhendo sabiamente
- Seleção de padrões: Você pode escolher com confiança os padrões certos para suas necessidades?
- Agilidade das ferramentas: Sua solução CIAM oferece suporte contínuo para esses padrões em evolução? Sem essa flexibilidade, sua infraestrutura pode ter dificuldades para se adaptar no futuro.
- Especialização necessária
Construir sua própria plataforma CIAM pode parecer viável com uma equipe de TI qualificada. Mas a especialização em padrões como SAML é apenas uma parte do quebra-cabeça. Veja por que o desenvolvimento interno pode ser desafiador:
- Além das funcionalidades: Um CIAM robusto requer configurabilidade, integrações contínuas e documentação abrangente – não apenas funcionalidades básicas.
- Preparação para o futuro: Um ciclo de vida de 5-10 anos exige uma plataforma construída para adaptabilidade, não apenas para as necessidades atuais.
- Alocação de recursos: Mesmo com a especialização adequada, dedicar recursos internos ao desenvolvimento a longo prazo do CIAM pode ser difícil devido a demandas concorrentes de projetos.
- Construção de equipe: Manter uma equipe dedicada ao desenvolvimento de CIAM requer um compromisso de longo prazo, possivelmente com a necessidade de especialização externa em um mercado competitivo. Você conseguirá encontrá-los neste mercado de trabalho difícil e quais são os custos envolvidos?
A pergunta: o desenvolvimento interno é certo para você?
Considere cuidadosamente as limitações de recursos e o compromisso de longo prazo necessários antes de embarcar no desenvolvimento interno do CIAM. Avaliar esses desafios pode ajudá-lo a tomar uma decisão informada.
- Sempre ativo: mantendo seu Fort Knox Digital
Um sistema robusto de CIAM atua como a porta de entrada digital da sua empresa. Veja o que é necessário para mantê-lo seguro e operacional:
- Infraestrutura: Você possui o ambiente de data center adequado, expertise em áreas como DevOps e segurança, e suporte?
- Resiliência, escalabilidade e segurança: O sistema deve estar constantemente acessível (sempre ativo) e lidar com aumentos no tráfego (escalabilidade). Deve ser resiliente contra ataques cibernéticos.
- Certificações de conformidade: Certificações de terceiros (ISO27001, ISAE 3000) podem ser necessárias.
- Agilidade na implementação: Atualizações frequentes e mudanças de configuração requerem um robusto processo DevOps com tempo de inatividade mínimo.
- Monitoramento 24/7: Monitoramento contínuo com várias ferramentas (probes) é essencial para detectar e resolver incidentes críticos (P1/P2) imediatamente.
Pergunte a si mesmo: você está equipado?
Sua organização possui a infraestrutura (data center), expertise (DevOps, segurança) e suporte para esse papel exigente? Você pode investir tempo e recursos para obter e manter certificações de conformidade? Avaliar esses fatores ajudará a determinar se você tem as capacidades para gerenciar um sistema CIAM de forma eficaz.
- Tempo para valor: além dos obstáculos iniciais
Embora os projetos de Gestão de Identidade e Acesso (IAM) sejam complexos, o CIAM adiciona uma camada adicional devido às suas funcionalidades específicas. Veja por que alcançar um rápido tempo para valor pode ser desafiador:
- Complexidade do projeto: Projetos de CIAM envolvem vários stakeholders e tomada de decisão complexa, levando a longas fases de planejamento (meses ou anos) para construções personalizadas.
- Dependência de infraestrutura: O CIAM frequentemente atua como um bloco de construção crítico para outras iniciativas, criando pressão para uma entrega oportuna.
O poder das soluções pré-construídas:
- Melhores práticas e configuração: Aproveitar soluções pré-construídas com melhores práticas e opções configuráveis acelera os cronogramas do projeto.
- Especialização do fornecedor: Utilizar templates e experiência do fornecedor traduz-se em eficiência operacional e estabilidade comprovada. Construir do zero não garante escalabilidade ou confiabilidade.
A pergunta: velocidade vs. risco?
Você não tem o luxo de grandes falhas diante de seus clientes. Sua organização pode se dar ao luxo de uma construção personalizada com um prazo de 6 meses ou mais e resultados potencialmente incertos? Soluções pré-construídas com custos previsíveis e suporte dedicado do fornecedor oferecem um caminho mais rápido para o valor (potencialmente em 8 semanas) com risco minimizado de falhas maiores.
Para resumir
Construir sua própria solução CIAM pode ser um empreendimento demorado e caro, mesmo com especialização interna. O risco de atrasos e possíveis deficiências é significativo.
Por isso, um número crescente de empresas em diversos setores está optando por soluções CIAM comerciais e prontas para uso. Essas opções pré-construídas oferecem várias vantagens:
- Tempo reduzido para valor: Menos planejamento e desenvolvimento levam a uma implementação mais rápida.
- Custos reduzidos: Evita o custo contínuo de desenvolvimento e manutenção interna.
- Risco mitigado: Beneficie-se de tecnologia comprovada e especialização do fornecedor para minimizar vulnerabilidades de segurança.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.