19-07-2012
O gerenciamento seguro das identidades digitais: a plataforma AlmavivA. By Claudio De Paoli
O uso da Internet mudou, de maneira extraordinária, não só os nossos hábitos, mas também os cenários de risco ligados à segurança de pessoas e organizações públicas e privadas. Os desafios da Segurança Informática estão fortemente ligados à evolução das tecnologias do mercado da TIC. O Web 2.0 e a difusão das redes sociais disponibilizaram uma grande quantidade de informações pessoais passíveis de ser desfrutadas para se desferirem ataques de furto de identidades e perpetrar fraudes e outras atividades ilícitas. Além disso, o advento das tecnologias de Cloud Computing levanta uma série de outras questões: a garantia sobre a confidencialidade dos dados, a segurança dos processos de gerenciamento e proteção das identidades e dos privilégios de acesso aos serviços e aos recursos informativos, a conformidade com as normas vigentes no nosso país e a certeza da continuidade operacional dos serviços. É necessário conseguir adaptar com eficácia as competências e a organização da segurança a essa contínua mutação. Como?
Sobre isto falamos com a AlmavivA, há anos no centro dos principais projetos de Identidade Digital em âmbito de administração pública central e local: recapitulamos a situação com Claudio De Paoli, responsável pela Segurança TIC da AlmavivA.
O gerenciamento seguro das identidades digitais e do controle dos acessos aos serviços representa hoje um dos principais desafios na administração pública, para consentir também a satisfação dos objetivos que o Governo se impôs em termos de inovação digital.
É necessário desenvolver e tornar operativas plataformas de segurança se queremos potencializar as aplicações de e-Government para melhorar os serviços fornecidos aos cidadãos e às empresas, mirando a realizar uma administração realmente aberta e transparente. Também sob a ótica de se promover a difusão de arquiteturas de Cloud Computing como previsto na Agenda Digital, com adequadas características de segurança. O desafio será conjugar a eficiência dos serviços e a usabilidade das plataformas para as administrações, com a garantia da segurança e da privacidade das identidades digitais e dos dados dos cidadãos usuários. Neste contexto específico, as principais exigências que hoje emergem para as infraestruturas de segurança no âmbito do gerenciamento das identidades digitais e dos acessos aos serviços on-line na administração pública, referem-se à necessidade de se ativarem arquiteturas federadas aptas a proteger as identidades, por exemplo, contra as novas e sofisticadas técnicas de ataque do crime cibernético, e que também sejam, ao mesmo tempo, capazes de garantir a separação dos papéis dos operadores dos sistemas informativos em contextos especiais e para aplicações críticas.
A AlmavivA esteve sempre em posição de vanguarda quanto à segurança TICT…
O Grupo AlmavivA afunda suas raízes no patrimônio informativo realizado pelo Estado - da contabilidade à agricultura, da saúde à fiscalidade, dos bens culturais à previdência, até a defesa e a segurança - e esteve sempre ao lado das administrações em seu processo de transformação. E, no decorrer do tempo, realizamos sistemas de Gerenciamento de Identidades e de Acesso importantes para o país. Em particular, no âmbito do Sistema Público de Conectividade (SPC) do CNIPA (a atual Agenzia Italia Digitale) foram realizados vários sistemas IAM federados padronizados. É graças à evolução de tais sistemas e às melhores experiências acumuladas no curso do tempo que hoje podemos apresentar uma plataforma consolidada.
A plataforma de Gerenciamento de Identidades e de Acesso foi realizada pela AlmavivA justamente para a segurança dos acessos dos usuários e dos operadores aos serviços Web da administração pública. Sendo composta por dois subsistemas complementares e integrados (Access Manager e Identity Manager), caracteriza-se, no âmbito dos sistemas de segurança dos acessos, por sua focalização nos requisitos e nas exigências de gerenciamento das identidade digitais das administrações públicas que pretendam expor serviços na rede também de natureza econômica e com a elaboração de dados pessoais e sensíveis, como no caso dos sistemas de saúde. A este propósito, reveste-se de particular importância a conformidade nativa oferecida pelo produto aos requisitos ditados quer pelos padrões e pelas boas práticas técnicas de setor (arquitetura SOA, SAML, XACML, RBAC, HL7 Pass) quer pelas normas italianas: a privacidade, as disposições para se favorecer o acesso dos indivíduos com defeitos físicos aos instrumentos informáticos (conhecidas como Lei Stanca), além das regras técnicas do Sistema Público de Conectividade (SPC) e do Gerenciamento Federado das Identidades Digitais previsto pelo Código de Administração Digital.
Outras características?
A independência em relação aos fornecedores do mercado, a integração de baixo impacto, a modularidade, a adaptabilidade e a escalabilidade… Mas, sobretudo, a robustez, os desempenhos e a alta confiabilidade, para se satisfazerem também as exigências cada vez mais prementes, por parte dos clientes, em termos de continuidade operacional. Pense na administração pública, em seus grandes números, na importância de alguns dos serviços fornecidos, na relação de confiança que deve necessariamente existir entre o cidadão e a administração na elaboração de seus dados pessoais.
Além disso, a nossa solução se adapta facilmente aos modelos de distribuição de serviço que melhor satisfazem as exigências específicas dos clientes em âmbito de administração pública central e local, tais como o insourcing, o outsourcing e o Cloud.
Estamos vivendo um período de revisão de despesas…
Do ponto de vista econômico, devemos ressaltar a escolha da AlmavivA de ir encontro às necessidades de controle das despesas por parte das administrações: adotamos um modelo de concessão de licença, do tipo enterprise, independente do número de usuários em caso de comitentes com ampla clientela na internet.
DA ALMAVIVA À DIGITPA, A SOLUÇÃO PARA O GERENCIAMENTO DAS IDENTIDADES DIGITAIS
A AlmavivA realizou para a DigitPa (atual Agenzia Italia digitale) a solução para o gerenciamento das funções de Identificação , Autenticação e Autorização (IAA) dos acessos dos usuários aos sistemas das administrações, conforme as prescrições do CAD e as regras técnicas do SPC.
O Sistema Público de Conectividade (SPC) é um conjunto de infraestruturas tecnológicas e de regras técnicas que tem por escopo “federar” as infraestruturas de TIC da administração pública, para realizar serviços integrados através de regras e serviços compartilhados. Em 2007, em agrupamento temporário de empresas com a HP, a AlmavivA venceu o concurso relativo aos serviços SPC de Cooperação e Segurança Aplicativa. Um dos objetivos era a realização de uma solução de IAA.
O serviço realizado pela AlmavivA, que também utiliza plataformas de mercado, consente que os usuários acedam, através de um sistema seguro e com suas próprias credenciais, às aplicações Web das administrações. O serviço é realizado e gerenciado pelo CED AlmavivA, o qual possui elevadas características de segurança e continuidade operacional. As administrações públicas que adotaram, até agora, o serviço IAA realizado pela AlmavivA são o Ministério da Justiça, a AVCP (Autoridade de Vigilância dos Contratos Públicos) e a Prefeitura de Roma. Foram também realizadas, para a AVCP e o INPDAP (Instituto Nacional de Previdência dos Funcionário da Administração Pública), interfaces para os serviços da Agência de Receitas, em conformidade com o padrão SPC de segurança e federação .
“Serviços deste tipo podem melhorar a percepção de qualidade e confiança nos serviços das administrações públicas, evitando duplicações de informações, fontes de ineficiência e de insegurança. O serviço, que se baseia em padrões já consolidados, absorveu as regras técnicas do SPC emitidas após a adjudicação do concurso, constituindo um investimento integrável em futuros cenários de utilização”, foi o que comentou Francesco Tortorelli, Responsável pela Seção de Interoperabilidade Evoluída e Cooperação Aplicativa da DigitPa.
