Vamos ser sinceros: implantação de IGA nascendo em TI, sem alinhamento de cultura corporativa, tem chance de dar certo?
Posso dizer que vai dar certo, claro. Afinal, já compraram a ferramenta. kkkk. Mas a que custo é outra conversa.
Antes de defender essa opinião, vamos olhar como funciona o dia a dia real das pessoas dentro da empresa.
Entre 10% e 15% dos colaboradores esquecem a senha de alguma aplicação por dia. Um colaborador novo, dependendo da área, chega a pedir mais de 10 acessos só para começar a trabalhar. Aprovações passam por gestores que, na correria, aprovam sem questionar. Esses mesmos gestores recebem revisões de acesso de mais de cinco sistemas por bimestre. Em muitas empresas, nem recebem, porque o processo simplesmente não existe. Quando alguém pede acesso a algo novo, o template padrão é “copia o perfil do fulano”. E ainda há colaboradores júnior e pleno com permissão de aprovação de gestor, por motivos que ninguém mais lembra.
Agora entra um projeto de least privilege. Para funcionar, tudo isso que descrevi precisa deixar de existir.
E aí está o ponto que poucos querem encarar: a ferramenta de IGA não conserta nada disso sozinha. Se você joga ferramenta sobre processo quebrado, o que sai do outro lado é caos automatizado, em escala, e mais rápido. O projeto vira teatro de governança: parece controlado, mas a fundação continua podre.
Cinco passos para evoluir o projeto de IGA com chance real de sucesso:
- Desenhe a arquitetura dos seus processos. Desenhe de verdade, no papel ou na ferramenta. Só com um diagrama estruturado os gargalos aparecem e a ineficiência fica visível. Texto em documento esconde problema; desenho expõe.
- Não escreva política antes de testar na prática. Normativo escrito no vácuo é lista de desejos. Política nasce do conflito com a realidade do negócio, não do contrário. Piloto primeiro, política depois.
- Separe o que é automatizado do que ficou manual. Sempre vai existir escopo manual. Aceite isso. Mapear essa fronteira é mais importante que fingir que tudo está automatizado.
- Formalize o manual e dê roadmap para ele. O que ficou manual hoje precisa ter dono, prazo e horizonte de automação. Sem isso, manual vira permanente, e permanente vira dívida.
- Defina KPIs mínimos desde o início. Sem indicador, você não enxerga o ambiente. Tempo médio de provisionamento, percentual de revisões concluídas, contas órfãs detectadas, acessos removidos por revisão. Comece simples, evolua depois.
Com esses cinco pontos, você já enxerga onde atacar e qual o tamanho do seu risco. E, falando em risco, conhecer suas fontes de identidade é o que dimensiona ele. Saber de onde vem cada identidade dentro da empresa é o que diferencia “achismo” de avaliação real.
Provocação final, séria. Já pensou em medir, de forma controlada e dentro de um programa formal de conscientização, quantos aprovadores de fato leem o que estão aprovando no seu ITSM? O resultado costuma ser desconfortável, e é exatamente o tipo de evidência que muda a conversa com a liderança sobre cultura de identidade.
IGA não é projeto de TI. É projeto de cultura, que usa TI como vetor.
