Por Fernanda K. Ângelo

Ao que tudo indica, ou pelo menos ao que sugerem ações de empresas como Oracle e previsões de institutos de pesquisas especializados, as ferramentas de gerenciamento de identidade e acesso - IAM (Identity and Access Management, na sigla em inglês) - devem ser a "menina dos olhos" do mercado de TI no futuro próximo.

É que esses aplicativos farão parte da maioria - senão de todos - os projetos de adequação às leis e normas de regulamentação e melhores práticas nas grandes empresas. "Essa onda de governança corporativa exige mais controle sobre quem acessa o que e quando", afirma André Portella, diretor da integradora Commit, que trabalha com soluções de gerenciamento de identidade da Oracle e IBM. "A segurança é um dos principais motivos que levam as empresas que precisam atender à Sarbanes-Oxley e outras compliances a se preocuparem muito com isso", reforça Marcio Butuem, gerente sênior de consultoria de vendas da Oracle Brasil.

Para se ter uma idéia do quanto as regulamentações existentes influenciarão a decisão de compra de  ferramentas de gestão de identidade, o Gartner estima que o segmento venderá 60% mais em 2007, exatamente pelos esforços das companhias em atender a essas normas. "Só quando a necessidade se torna premente é que as empresas começam a se mexer", diz Butuem, acrescentando que é este o momento pelo qual passa o setor de TI, pressionado por exigências de regras de conformidade.

Jorge Ribkin Junior, diretor de contas corporativas da Citrix no Brasil, concorda e acrescenta que o crescente número de empresas brasileiras de capital aberto também deve estimular a demanda por soluções de gestão de identidade - que envolvem a segurança de dados da organização. O número cada vez maior de profissionais trabalhando remotamente também aumenta a procura por ferramentas de controle de acesso.

Motivos de sobra

Se segurança, leis e guias de melhores práticas como SarbOx, ITIL, Basiléia 2 e Cobit, entre outros, terão papel significativo sobre o mercado, a economia que essas soluções de controle de acesso podem gerar não fica atrás como impulsionador da adoção. Também segundo o Gartner, em dois anos os aplicativos IAM poderão gerar economia de até 21% em desenvolvimento e segurança - número que deve chegar a 30% em 2008. Outra previsão da empresa de pesquisas é que, em 2010, nada menos que 70% dos custos de help desk provenientes de alteração de senhas serão limados dos orçamentos de TI.

Grande parte da dificuldade de gerenciar o acesso de usuários aos documentos e aplicativos de uma corporação está, principalmente, na heterogeneidade de seus sistemas. O usuário precisa ter uma senha para entrar, por exemplo, no ERP da companhia, outra para verificar seus e-mails, uma terceira para gravar arquivos na rede e por aí vai. Memorizar essa infinidade de senhas é difícil, daí as constantes solicitações para sua recriação e troca.

A alta rotatividade de funcionários também acarreta grande demanda pelo cancelamento de códigos secretos pela equipe de suporte. Isso tudo custa caro. "Custa muito manter uma equipe apenas para correr atrás de cadastrar e descadastrar usuários", justifica o executivo da Oracle. Além disso, o gerenciamento de acesso é descentralizado na maioria das empresas - quando um profissional deixa a empresa, o RH se encarrega de cancelar seu acesso a um determinado programa, o pessoal de TI remove seu usuário do servidor de e-mails e, normalmente, alguma de suas senhas continua ativa. "É preciso centralizar parte da autenticação e privilégios de acesso", defende Portella, da Commit. "A descentralização representa uma brecha na segurança dos sistemas de informação de uma empresa", afirma.

Ferramentas que permitam ao próprio usuário administrar suas senhas, o que o mercado vem chamando de self-service, e aquelas que permitem um cadastro único - também conhecido como "single sign-on"- para o acesso aos diferentes sistemas facilitam consideravelmente esse controle. É a soluções deste tipo que empresas como CA, Citrix, IBM, Novell e Oracle, entre outras, têm dedicado atenção e, claro, dinheiro.

Em sua incessante maratona de aquisições, a empresa de Larry Ellison, ainda insatisfeita com seu portfólio de soluções para o segmento, absorveu, no fim de novembro, as desenvolvedoras de software Thor Technologies e OctetString, ambas com ferramentas dedicadas à gestão de identidade. Segundo Butuem, a compra da Thor, até então dona da tecnologia Xcellerate, suprirá uma das maiores dificuldades na gestão de acesso: a integração entre os diversos sistemas. "É uma ferramenta capaz de conversar em diferentes línguas. É uma fábrica de adaptadores para as mais diversas plataformas", explica o gerente. Já a tecnologia da OctetString permitirá a virtualização de diretórios, tarefa que facilitará a conexão de aplicativos a múltiplas identidades.

"Mesmo antes das compras de novembro, a Oracle não era particularmente fraca no mercado de gerenciamento de identidade", opina David Bradshaw, analista da consultoria norte-americana Ovum. Segundo ele, as aquisições deixam claro o interesse da companhia em aumentar seu portfólio e base de usuários nesse segmento. Butuem lembra que, até 2004, a Oracle tinha soluções de controle de acesso, mas essas eram voltadas para plataformas homogêneas, baseadas em sua própria tecnologia. "No ano passado, no entanto, comprou a Oblix, e vinha em um processo de abertura de seus produtos", conta o analista.

Os fornecedores confirmam a crescente procura do mercado por essas soluções. Commit e Oracle têm aproximadamente dez clientes avaliando a implantação de ferramentas. Isso significa que pode-se  esperar já para o ano que vem um aquecimento sensível no setor. No entanto, apesar de um certo frenesi em torno dessas ferramentas, os especialistas alertam que sua adoção não é tão simples como pode parecer. "A decisão precisa ser corporativa e não apenas departamental. Especialmente porque demanda um investimento pesado", aconselha Butuem. "Antes de eleger a melhor ferramenta, a empresa precisa investir no levantamento de perfis que serão criados, na maneira como ela será aplicada e só então na aplicação em si", alerta o executivo da Oracle.

Antes de aderir à solução de IAM

Dicas e sugestões ajudam a definir o perfil e a gerenciar usuários remotos. Confira:

- Usuários remotos devem ser identificados como individuais, redes remotas ou ambos;

- Determine como os usuários de dispositivos móveis ou em outros escritórios serão conectados à rede da empresa;

- Defina como será dado o suporte e qual software será utilizado para dar acesso aos usuários remotos;

- Estabeleça políticas de backup para usuários remotos, e

- Configure regras de segurança e autenticação para os usuários remotos com firewalls e VPNs.