HID logo

Abordagens para o gerenciamento de acesso e identidade em governos locais, funcionários e cidadãos

O gerenciamento de acesso e identidade (IAM) é referência para departamentos de TI em governos, municipalidades e outras áreas locais. Os funcionários públicos precisam de acesso devidamente autorizado a informações relevantes, de modo que as agências regionais, estaduais e federais, possam desempenhar suas funções. Ao mesmo tempo, a necessidade de equilibrar a facilidade de acesso aos dados e a confidencialidade das informações sobre indivíduos, organizações e outras partes é fundamental.

A HID Global participou recentemente de uma mesa redonda interativa com CIOs do Texas e de Nova York. A discussão deles focou nos melhores métodos para abordar o IAM, com o suporte de políticas relevantes, treinamentos e compliance Temos a satisfação de compartilhar a seguir algumas dessas principais reflexões.

Image removed.

A definição de gerenciamento de acesso e identidade

O gerenciamento de acesso e identidade possibilita que:

  • A pessoa certa.
  • Acesse os dados certos.
  • No momento certo.
  • Pelos motivos certos.

Isso talvez seja ainda mais verdadeiro para organizações governamentais, já que muitos governos superam as demais organizações, exceto as maiores empresas corporativas.

O IAM para governos já percorreu um longo caminho

Os processos de credenciamento de funcionários e gerenciamento de acesso de identidade em governos locais evoluíram significativamente nos últimos anos. Felizmente, a época em que funcionários acessavam registros de outras áreas e agências porque eles "simplesmente precisavam procurar algo" é coisa do passado e, atualmente, os diretores de segurança da informação e diretores de informação incorporam políticas fortes em todas as suas organizações. Os departamentos de TI das agências governamentais estão potencializando as sofisticadas plataformas de IAM para gerenciar a autorização e o acesso a sistemas e dados confidenciais. Isso é positivo, pois os métodos usados para implementar o IAM variam muito.

Cada estado e agência local tem uma abordagem única em relação ao IAM

Um dos principais desafios para governos federais, estaduais e locais é definir como todas as suas diferentes agências e outras organizações abordarão o IAM. Por exemplo, Todd Kimball, diretor executivo adjunto do Departamento de Recursos de Informações e diretor de Informação do estado do Texas declarou: "Nós temos um estado muito federado, mas cada agência é autônoma. Como CIO do estado, sou responsável pela direção de tecnologia, visão, educação, liderança e suas políticas. Definimos a direção estratégica para o estado, com um total de aproximadamente 355 mil funcionários. Algo que temos como certo no Texas, é que 'cada modelo é único'! Na perspectiva do gerenciamento de acesso e identidade, cada organização pode adotar suas próprias decisões em termos de soluções e tecnologias a utilizar, para lidar com o credenciamento e o IAM dos funcionários do estado".

Esta abordagem funciona para o estado do Texas, embora eles estejam trabalhando no desenvolvimento de um novo portal e de um assistente digital para os cidadãos. Parte desse desenvolvimento também incluirá uma opção para o credenciamento de funcionários do estado, para auxiliar no gerenciamento das identidades dos funcionários.

Também há propostas para uma maior padronização do IAM

Algumas organizações desejam mais equilíbrio e padronização para o IAM dos funcionários do governo. Doug Robinson, diretor executivo da Associação Nacional dos Diretores de Informação do Estado, prefere a abordagem citada no relatório de Gerenciamento de Identidade, Credencial e Acesso Federal (FICAM), que recomenda um roteiro federado e um modelo estrutural dentro dos estados, mas com padrões e atributos em comum.

Doug entende que a praticidade e a autonomia serão vencedoras. "Temos de reconhecer que eles estão todos em governos diferentes. Alguns utilizarão uma solução de gerenciamento de acesso e identidade de nível corporativo, altamente centralizada, enquanto outros acabarão adotando soluções específicas, agência por agência. Em última análise, creio que devemos buscar uma arquitetura federada visando a interoperabilidade".

Isso é algo que o estado de Nova York levou em consideração. Rajeev Rao, diretor de tecnologias do Escritório de Serviços de Tecnologia da Informação do estado de Nova York, complementa: "A visão do governador era de consolidação da TI. Iniciamos esse processo de consolidação dos serviços principais. Concentramos todas as nossas agências, cerca de 46 delas, em um único data center e começamos a identificar os serviços principais que deveriam ser padronizados. Um deles era o gerenciamento de identidades. Concluímos agora a consolidação de todo o conjunto em um único repositório de identidades, com uma política unificada, governada de cima para baixo".

Política e compliance devem conduzir o IAM dos governos locais, estaduais e federais

Uma coisa é certa — seja qual for a abordagem dos governos, o IAM deve ser orientado por políticas de governo estaduais e locais fortes, atendendo a rigorosos padrões de compliance. Conforme declarou Jerry Cox, diretor de desenvolvimento de negócios da HID Global: "O gerenciamento de acesso e identidade ainda está relacionado com a garantia de saber quem está acessando seus sistemas. O que mudou foram as plataformas, não as ideias. É, de fato, uma discussão sobre as políticas — o credenciamento e o acesso de identidades estão relacionados com a política que dá suporte a uma estratégia e uma abordagem sólidas". Jerry afirma também que: "Isso é orientado pelos requisitos de compliance dos negócios. Os novos padrões que orientam a forma como uma agência deve operar precisam se adequar ao compliance. A consolidação possibilita que isso ocorra mais rapidamente".

O sistema adequado para gerenciamento de acesso e identidade

As economias de escala precisam contribuir com as escolhas dos governos para que as plataformas de IAM adequadas atendam às necessidades das agências. A interoperabilidade é fundamental. Portanto, faz muito sentido centralizar os padrões, abordagens e tecnologias em uma única plataforma de IAM, possibilitando que cada agência se integre a plataforma da maneira mais adequada para ela. Dessa forma, temos o melhor dos dois mundos: a confiança em uma abordagem consolidada e integrada, com o nível adequado de autonomia para envolver os funcionários de todas as agências.

Qual é a abordagem adequada para as necessidades de IAM de seu governo local?

As diferentes perspectivas dos vários governos, federais, estaduais e locais, estão criando uma tensão entre as agências e as funções centrais de TI. De fato, o IAM está, neste momento, na lista das dez maiores preocupações dos CIOs dos governos. Assim sendo, ainda resta uma lacuna entre o "saber" e o "fazer" quando se trata de IAM. O consenso parece ser de que uma abordagem federada funcionará melhor ― onde agências podem tomar suas próprias decisões a respeito do IAM ― equilibrada com uma estrutura de políticas fortes, interoperabilidade e um conjunto de base de padrões e compliance.

Assista à mesa redonda da Federal News Network em três partes: parte um, parte dois e parte três.

Receba as mais recentes postagens sobre gerenciamento de acesso e identidade diretamente em sua caixa de entrada de e-mail.

No segmento de negócios governamentais, Yves Massard é o responsável pelo esforço de marketing de produtos para gerenciamento de acesso e identidade (IAM) da HID Global. Em sua atuação na HID, Yves contribuiu na criação do Cartão de Acesso Comum do Departamento de Defesa dos EUA, do CMS ActivID™ — o sistema líder do mercado para gerenciamento de credenciais com Verificação de Identidade Pessoal (PIV)— e do ActivClient™, middleware líder de mercado. Yves possui mestrado em Ciência da Computação pelo Institut National des Sciences Appliquées de Rennes e um MBA do Saint Mary’s College, na Califórnia.

Referências e experiência incluem:

  • Todd Kimball, diretor executivo adjunto do Departamento de Recursos de Informação e diretor de Informação do estado do Texas.
  • Rajeev Rao, diretor de tecnologias do Escritório de Serviços de Tecnologia da Informação do estado de Nova York.
  • Doug Robinson, diretor executivo da Associação Nacional dos Diretores de Informação do Estado.
  • Jerry Cox, diretor de desenvolvimento de negócios da HID Global.