Ao longo do meu trabalho com foco em identidade, o que mais identifico de dificuldade é o entendimento da alta gestão de que um projeto de identidade leva tempo e muda a cultura de uma empresa.
Trazendo como exemplo, hoje em algumas empresas o conceito de perfil espelho ainda é uma realidade. E quais os riscos de se ter perfil espelho? Quando um usuário herda cegamente os acessos de outro, ele pode receber permissões que nunca precisará, acumulando privilégios excessivos que violam o princípio do menor privilégio. Isso abre brechas para movimentação lateral em caso de comprometimento, dificulta auditorias, e quando alguém sai da empresa, ninguém sabe ao certo o que aquele perfil tinha acesso porque ninguém desenhou aquilo, simplesmente copiou.
Tendo dito isso, entende-se que ao se aplicar um RBAC os gestores precisam se engajar no processo e conhecer os acessos necessários do seu time. Da mesma forma que os sistemas precisam dar uma descrição clara do acesso, não deixando de lado o processo de revisão que deixa de ser simplesmente receber e aprovar, e passa a ser criticar acessos indevidos ao ambiente.
Percebe a complexidade? Agora, e quando a empresa tem mais de 100 sistemas? O conhecimento se expande.
Por isso todo projeto de identidade é, sim, uma mudança de cultura. Todo mundo precisa de acesso para alguma coisa. E para fechar bem esse raciocínio, em cyber sempre falávamos do CID, confidencialidade, integridade e disponibilidade. Agora, quando o assunto é identidade, precisamos explicar para os gestores o que é identidade, acesso e credencial.
São três coisas distintas. Identidade é quem você é dentro do sistema, o seu registro, o que te representa digitalmente. Acesso é o que você tem permissão de fazer, quais recursos, quais sistemas, quais ações estão liberadas para você. Credencial é o que você usa para provar que é você, senha, token, certificado. Parece simples, mas na prática muita gente confunde os três e isso gera decisões equivocadas dentro dos projetos.
E para fechar, por que não trazer também o que é autenticação e autorização?
Autenticação é o processo de confirmar que você é quem diz ser. O sistema te pergunta “quem é você?” e você responde com a sua credencial. Autorização é o que vem depois: já que confirmamos quem você é, agora o sistema define o que você pode fazer. Um erro muito comum é tratar os dois como a mesma coisa, quando na verdade são etapas distintas e igualmente críticas.
Percebem a mudança de cultura?
