CIAM - Principais preocupações no controle de acesso de clientes em sua estratégia digital
O gerenciamento de identidade e acesso do cliente (CIAM) permite que as organizações capturem e gerenciem com segurança a identidade do cliente e os dados de perfil, além de controlar o acesso do cliente a aplicativos e serviços.
Na nossa 8ª edição das Security Lives, sobre o impacto do CIAM - Customer Identity & Access Management, no contexto atual de canais digitais e como ficam questões como controle de acesso, fraudes e LGPD, contamos com um time de peso para o debate:
Dárcio Takara - Especialista em CyberSecurity – Sec4You
Rogério Iwashita Head of Information Security – Quod
Spencer Bybee Account Executive Latin America – ForgeRock
Contamos também a presença de Alfredo dos Santos, advisor de API e HIP da Digibee, como apresentador do encontro.
Qual a diferença entre CIAM e IAM?
De acordo com Dárcio Takara, resumidamente, CIAM e IAM podem ser diferenciados pelo público que os utilizam.
Quando falamos de CIAM, devemos entender que ele é voltado para o gerenciamento de identidade e acesso ao cliente/usuário. “O CIAM aborda a implementação de controles, segurança e ajuda também o setor de compliance, auditoria e garante processos bem definidos, em portais e aplicativos que são consumidos pelos usuários”, Dárcio relata.
O CIAM fornece para as empresas uma gama de combinações de recursos como registro de cliente, gerenciamento de conta de autoatendimento, consentimento e gerenciamento de preferências, login único e autenticação multifator, gerenciamento de acesso, serviços de diretório, além de governança de acesso a dados.
Todos estes serviços, proporcionam para o usuário uma experiência que vai além do encantamento já que, atualmente, o cliente se importa muito com questões de segurança e prevenção de fraudes. O CIAM permite que as empresas possam proporcionar uma experiência única e segura.
Já o IAM tem o objetivo de auxiliar o gerenciamento de acesso de identidade. Sua estrutura facilita a gestão dos usuários que utilizam a rede corporativa, ou seja, ele é voltado para dentro da empresa.
“O IAM tem como premissa atender os funcionários e colaboradores da empresa no dia a dia. A grande diferença do IAM tradicional para o CIAM é que ele [IAM] está preparado para atender um público menor”, diz Dárcio.
Desta forma, o IAM aborda um cenário menor, o volume de usuários e perfis é pequeno para ser administrado. Em contrapartida, o CIAM compensa o usuário externo, que em números é muito maior e expressivo.
Spencer Bybee destaca que, a disparidade dos usuários, influencia na forma que a empresa fala sobre seus sistemas.
“Por exemplo, podemos alterar a senha do funcionário e exigir que ocorra a troca cinco vezes por ano, para preservar a segurança do IAM. Mas, não podemos fazer isso quando falamos de clientes, já que devemos prezar por uma relação que possua o mínimo de fricção”, Bybee explica.
Para isso, usamos o CIAM, que permite preservar a segurança do cliente e prevenir fraudes, atrelada a uma plataforma que entrega uma experiência de qualidade. No caso do IAM, podemos compreendê-lo como um sistema de monitoramento e acompanhamento do funcionário.
COVID-19 e a aceleração das estratégias digitais
Quando os números de mortos por COVID-19 começaram a aumentar, diversos países pelo mundo optaram por realizar a quarentena. Restaurantes, bares e empresas foram forçados a fechar as portas por um bem maior e coletivo.
Dessa forma, as empresas precisaram mandar seus funcionários para casa, e, para que o trabalho não parasse, muitas deram início a um serviço remoto.
Entretanto, sabemos que alguns serviços, principalmente públicos, dependem do atendimento presencial, isso porque não contam com um suporte seguro e qualificado para prestação de serviços online.
Por isso, a pandemia forçou aquelas empresas que não possuíam um sistema estável e seguro à procurarem respaldo na tecnologia, e, principalmente, realizarem o trabalho sem riscos de fraude, falsificações, em um ambiente seguro.
Rogério Iwashita cita um exemplo “Agora, as pessoas fazem compras no supermercado pelo aplicativo. Isso fez com que esses apps precisassem criar um acesso através de uma conta para identificar quem está comprando”.
Ou seja, a criação de perfis e contas dentro dos aplicativos se tornou praticamente obrigatória, já que é necessária uma identificação do cliente, que faz quase tudo pelo mobile. Assim, o uso de um CIAM adequado, se tornou necessário neste momento de pandemia, já que a demanda pela autenticação e prevenção de fraude se tornou uma exigência.
De acordo com Spencer Bybee, empresas que tinha projetos para desenvolver e utilizar o sistema de CIAM daqui há dois anos, tiveram que adiantar suas estratégias digitais para manter-se no mercado.
Já no mercado financeiro, as maiores mudanças ocorreram através de parcerias com outros serviços, que podem auxiliar na validação e verificação de documentos, como por exemplo o faceID, biometria, dentre outros.
Entretanto, as parcerias não ocorreram só no mercado financeiro. Segundo Takara, alguns serviços de assinatura, aplicativos, precisaram adaptar estratégias como, por exemplo, os serviços de assinaturas de academias. Com os locais fechados, esses aplicativos passaram a mover esforços para encontrar outras formas de se manterem firmes.
“Eles tiveram que pensar em algumas parcerias para que o serviço continuasse funcionando. E precisaram do CIAM para validar os perfis. Afinal, quando as academias estavam abertas, não precisavam de muito para confirmar”, Dárcio comenta.
Spencer ainda volta a frisar a necessidade de abraçar o CIAM de uma forma que não cause fricção com o cliente. O processo deve ser cauteloso e ser incluído aos poucos, já que não é aconselhável incluir diversos passos para validar a identidade do cliente de uma vez, visto que dessa forma pode ocorrer um estresse e o usuário desistir.
O que é Onboarding?
Quando falamos de onboarding relacionado ao CIAM, estamos mencionando a validação documental,ou seja, a certificação de que os documentos são reais.
Rogério, exemplifica o onboarding da seguinte forma, “Hoje temos muitas fintechs em funcionamento e minha experiência, como usuário, foi notar que existem diversos passos de validação. Elas podem ser morosas, isso quer dizer que pode existir um time por trás do aplicativo para validação dos documentos".
Entretanto, já existem maneiras de realizar essa validação por meios automáticos, sem a necessidade de um backoff, “Você tira uma foto para enviar ao aplicativo e ele verifica a veracidade dos traços da pessoa. Também são interligados com sistemas para validar as informações”, diz Rogério.
A arquitetura do CIAM facilita este processo de veracidade, porque está conectada com diversos sistemas que oferecem essa segurança, além de informações importantes.
É possível que, durante a criação de uma conta em um banco digital, você precise realizar algumas “provas de vida” como piscar, falar algumas frases e mandar diversas fotos. Tudo isso, é validado pelo CIAM e um sistema automático.
Spencer comenta que, a escolha do processo de validação e integração, depende única e exclusivamente da vontade da empresa em realizar uma parceria. É dela a liberdade para escolher aquilo que fica adequado ao seu investimento, ao nível de fricção que quer evitar e avaliação ao grau da segurança que seu negócio precisa.
Podemos utilizar o CIAM em empresas de pequeno porte?
O CIAM permite que as empresas tenham a capacidade de gerenciar milhares de usuários e facilitar a administração dos clientes.
Mas, quando falamos de empresas de pequeno porte, o CIAM pode servir para outras coisas, principalmente ajudar no conhecimento do usuário.
Spencer diz que devemos entender o quão pequena a empresa é para enxergar a necessidade da implementação do CIAM. Por exemplo, se você atende somente cinco clientes, não será necessário a implementação do sistema, visto que é possível verificar as informações por telefone, chamadas de vídeo e até mesmo presencial.
Assim, empresas que pensam em potencial de crescimento, devem estar cientes da necessidade de implementar o CIAM na sua plataforma, não só para garantir a segurança e veracidade das informações, mas porque o CIAM pode ser usado como um investigador.
Rogério complementa dizendo que, quando falamos em CIAM como investigador, é porque ele permite investigar o histórico e comportamento do usuário “Quando se tem informações desse porte, é possível que essas empresas analisem estes dados e procurem ofertar serviços adequados para o cliente”.
Qual os meios de autenticação dos usuários?
Autenticação, antigamente, era conhecida como: o que você tem, o que você é e o que você sabe.
Nos dias atuais, aplicamos da mesma forma: o que você tem é um token no celular que te permite acessar os dados bancários e realizar transferências; o que você sabe refere-se à senha; e, o que você é, pode ser relacionado à biometria e reconhecimento facial.
Com outras ferramentas como Big Data, é possível explorar ainda mais os meios de autenticação, como por exemplo, o comportamento do usuário, “Com essas ferramentas, é possível identificar que tal pessoa não acessa seu banco no período da manhã. Isso pode ser identificado como um comportamento atípico então, pode levantar uma bandeira vermelha e reduzir a quantidade de informações que ele teria acesso", exemplifica Rogério.
“Com as diversas possibilidades de verificação, podemos imaginar um mundo em que não precisaremos de senha e que, somente pela biometria facial, será possível ter acesso a todos os aplicativos e serviços que utilizamos”, diz Rogério.
CIAM sem causar impactos negativos no negócio
Já falamos que a experiência do usuário é essencial, já que o cliente moderno deseja realizar todas as tarefas pelo celular e evita desgastes. Para que isso ocorra, normalmente, as plataformas oferecem algo objetivo e simples.
Entretanto, é necessário pensar na segurança e é, neste ponto, que o CIAM entra. O sistema é uma forma de prevenção de fraude também, e existem duas formas de identificar essa entrada.
Pelo onboarding, que é a primeira etapa, é possível mapear algumas características e evitar o problema, logo no início. O setor financeiro e as fintecths fazem essas validações de uma forma tradicional, pedindo a foto do documento aberto, outra em que a pessoa se posiciona ao lado da sua carteira de identificação.
“Essas etapas são necessárias para mostrar que você é você, e que você existe. Mesmo que essas etapas sejam maçantes para o cliente, nós podemos enxergar na balança o peso delas e o que elas proporcionam de segurança”, diz Iwhashita.
Esse processo de onboarding é necessário, mas Iwhasita revela que muitas vezes o usuário desiste do processo por conta dessas etapas.
É complicado olhar para processos de segurança que podem complicar de alguma forma a experiência do usuário, assim, é necessário achar um balanço. Entretanto, encontrá-lo não é tão simples, mas, caso ocorra, é imprescindível que a empresa entenda que seus processos irão mudar e se adequar a cultura imposta.
Assim, uma vez que a plataforma de CIAM se integra facilmente com terceiros, as empresas devem experimentar as melhores ofertas do mercado. Muitas vezes, um CIAM se adequa em uma fase de validação, enquanto a empresa continua buscando outro para os demais processos.
Novamente, é necessário pensar no nível de fricção que podem proporcionar ao usuário, que não o faça desistir dos serviços e promova segurança para os mesmos.
LGPD e como ele se relaciona com o CIAM
Quando falamos de LGPD - Lei Geral de Proteção de dados, podemos enxergar que o panorama atual do mundo evidencia o surgimento de novas tendências globais, como mudanças significativas em sistemas jurídicos, cujo foco está em traçar diretrizes claras rumo à privacidade e segurança.
A LGPD entrou em vigor no dia 20 de setembro deste ano e as empresas tiveram 18 meses para se encaixar na regulamentação. A lei tem como premissa, modificar a forma e operações das organizações no que se diz respeito à coleta, armazenamento, tratamento e compartilhamento de dados pessoais. O CIAM irá ajudar a identificar a pessoa por trás dos dados. Ou seja, se a empresa não tem o sistema do CIAM muito bem implementado, qualquer pessoa pode provocar uma fraude e ter acesso às informações pessoais de todos os níveis, relevantes ou não.
Dessa forma, quando atrelamos a LGPD e o CIAM, as empresas podem ofertar serviços de uma forma mais ampla e garantir a segurança dos usuários, já que sem o CIAM o titular pode ser qualquer pessoa, e pode ocorrer fraudes e vazamentos de dados, o que infringiria a lei.
“O CIAM oferece potencial de features, que irá atender o direito do titular do dado de uma forma mais próxima”, diz Rogério.
Spencer comenta sobre a necessidade das normas de consentimento em relação a LGPD, Open Banking e outros, “O CIAM permite que você possa gerenciar o consentimento, já que a plataforma oferece o suporte para conhecer os seus usuários e adequar as normas de forma segura e apresentável. Desta forma, entrega -se na mão do cliente o controle das suas informações pessoais”.
Por isso, o CIAM oferece segurança e prevenção às fraudes e, quando atrelamos ele a uma lei, a necessidade de encontrar o melhor serviço se torna urgente.
Cabe as empresas analisarem as melhores propostas de parcerias que podem ofertar o CIAM adequado para seu serviço, sempre prezando pela experiência do usuário e, principalmente, à segurança oferecida.
Seguindo essa receita básica, os aplicativos e serviços poderão ofertar propostas exclusivas para os clientes e manter-se no mercado sem preocupações maiores.
Este artigo foi escrito por Alfredo Santos e publicado originalmente em Prensa.li.