desenvolver vs. comprar? um guia de gerenciamento de …€¦ · seja o website para desktop ou...

WHITE PAPER

Um guia de gerenciamento de identidade

e acesso do cliente (CIAM)

Desenvolver vs. comprar?

Entenda os prós e contras das opções de implementação, desde o desenvolvimento de software interno até soluções comerciais prontas para uso

1Desenvolver vs. comprar? Um guia de gerenciamento de identidade e acesso do cliente (CIAM)

Resumo executivo A identidade digital e os perfis dos clientes estão no centro da transformação digital de todas as empresas. Nos mercados atuais, as identidades dos clientes e os dados pessoais associados a eles estão entre os ativos mais importantes e valiosos de qualquer empresa. Eles são cruciais para o sucesso dos negócios.

O gerenciamento dessas identidades digitais, desde o primeiro registro e login até os estágios posteriores do relacionamento com o cliente, e a extração do valor comercial dos dados associados são tarefas complexas, geralmente chamadas de gerenciamento de identidade e acesso do cliente (CIAM).

Ao implementar os conceitos, processos e tecnologias necessários para coletar, gerenciar e utilizar a identidade digital e os dados do cliente, as empresas têm duas opções básicas: desenvolvimento interno ou compra de uma solução dedicada de um fornecedor especializado em CIAM (ou seja, desenvolver vs. comprar).

Este documento explora os prós e os contras do desenvolvimento de software interno em comparação com soluções comerciais prontas para uso. Diferentes opções são consideradas, como implementações locais, colocação e vários ambientes de nuvem.

As descobertas neste documento indicam que, na maioria dos cenários e para a maioria das empresas, é preferível “comprar” a “desenvolver”, e que as soluções prontas para uso baseadas em nuvem são uma opção melhor para os objetivos, as necessidades e os recursos da maioria das empresas. É o que acontece, particularmente, quando não apenas a implementação inicial está sendo considerada, mas também o nível de esforço necessário para operar e manter uma solução a longo prazo, com requisitos que mudam constantemente ditados pela tecnologia e pelos consumidores, mercados e reguladores.

Quem deve ler este documento?Tomadores de decisão em funções técnicas e não técnicas que precisam tomar decisões informadas sobre como implementar melhor o CIAM em sua organização.

2Desenvolver vs. comprar? Um guia de gerenciamento de identidade e acesso do cliente (CIAM) 2Desenvolver vs. comprar? Um guia de gerenciamento de identidade e acesso do cliente (CIAM)

CONSIDERAÇÕES SOBRE A IMPORTÂNCIA DE SOLUÇÕES DE IDENTIDADE

Como primeira etapa na exploração de opções de implementação para o gerenciamento de identidades, incluindo a opção de criá-lo internamente, é útil refletir sobre a importância geral da tarefa: Qual é a relevância para a empresa e quais danos comerciais podem surgir no caso de uma interrupção ou mau funcionamento do serviço?


Identidade do cliente como um pré-requisito comercial digital básicoO valor dos dados de perfil vinculados às identidades dos clientes cresceu drasticamente na última década e é um dos fatores de sucesso mais cruciais para as empresas atualmente. Os dados de perfil do cliente formam a base para analisar, compreender e prever o comportamento do consumidor e as jornadas do cliente, desde o primeiro contato até as decisões de compra e fidelidade à marca a longo prazo.

Tão importante quanto isso, os dados dos clientes também são o pré-requisito para qualquer forma de personalização, seja marketing personalizado básico ou personalização em tempo real. O segundo leva a segmentação do cliente a um nível mais sofisticado, não apenas tomando decisões antecipadas sobre a mensagem que um cliente verá na próxima vez que for contatado, mas também tomando decisões automatizadas e orientadas por dados durante uma interação ao vivo do cliente. A personalização em tempo real permite ajustes na experiência do usuário e no conteúdo para que se identifique com o indivíduo em um website, aplicação móvel, dispositivo de Internet das Coisas (IoT) ou outro canal.

Em um nível mais básico, as identidades digitais são um pré-requisito funcional fundamental para qualquer website de varejo on-line ou outra aplicação baseada em transações, no qual os clientes precisam fazer login e ser autenticados com segurança antes de receberem acesso a dados e serviços para se envolverem nos negócios com a empresa.

Em termos simples, se os clientes não puderem fazer login por causa de uma falha no sistema de gerenciamento de identidade, os negócios poderão estagnar, prejudicando a geração de receita. Ao mesmo tempo, as cargas de trabalho de suporte provavelmente aumentarão, e a reputação pode ser afetada devido aos desabafos de usuários frustrados nas redes sociais e nos fóruns de análise.

Aspectos da experiência do cliente: interface do usuário, desempenho e confiabilidade

Outro fator crucial que ajuda a determinar a importância do CIAM é a experiência do cliente nos processos e fluxos de registro, criação de conta, login e gerenciamento de preferências. Além dos aspectos reais da interface do usuário (como formulários da Web), o desempenho e a confiabilidade são fatores vitais aqui. A pesquisa revela que tempos de carga lentos e uma experiência de usuário lenta têm um impacto devastador sobre as taxas de conversão. Além disso, um estudo conduzido pela Dynatrace e pela T-Mobile mostrou que os visitantes que visualizam as páginas nos primeiros estágios da jornada da transação são mais sensíveis a problemas de desempenho do que quando visualizam páginas posteriormente.1

As identidades digitais são a chave para qualquer aplicação baseada em transações.

?


Os processos de registro, login e autenticação estão entre os primeiros pontos de engajamento na jornada do cliente. Esses estágios podem facilitar ou interromper a experiência do usuário. Por outro lado, quando o cliente vai mais a fundo em uma transação, ele se mostra mais paciente e comprometido em concluí-la. O tempo de carregamento da página também é um fator de classificação para os resultados de pesquisa do Google, seja o website para desktop ou para dispositivos móveis.2

Aspectos de suporte e satisfação do cliente É claro que os problemas de experiência do usuário podem ocorrer em qualquer estágio da jornada do cliente, mesmo após a criação bem-sucedida da conta. Senhas esquecidas ou problemas semelhantes de conta podem afetar a satisfação do cliente e, normalmente, resultar em abandono de conta, diminuição da fidelidade à marca e, por fim, perda de negócios. De acordo com a Chatbots Magazine, 91% dos clientes insatisfeitos não retornarão para uma nova compra ou serviço.3

Além disso, o suporte a problemas de experiência do usuário é caro para as empresas. As estatísticas do provedor de software de central de contato Aspect Software estimam que o custo de uma única interação telefônica com o atendimento ao cliente esteja em torno de US$ 35 a US$ 50. Até mesmo o suporte por bate-papo custa de US$ 8 a US$ 10 por sessão.4 A IBM estima que 265 bilhões de solicitações de atendimento ao cliente sejam feitas todos os anos, e o custo para as empresas é de US$ 1,3 trilhão.5

Uma experiência lenta de registro ou login pode ter um efeito devastador sobre as taxas de conversão.

US$ 35 a US$ 50é o custo estimado de uma interação

por telefone com o atendimento ao cliente

265 bilhõesde solicitações de suporte ao

cliente feitas todo ano

91%dos clientes insatisfeitos

não retornam

$

As empresas gastam US$ 1,3 trilhão por ano em solicitações de suporte ao cliente e ainda perdem clientes.


Um dos clientes da Akamai, uma grande empresa de varejo global, estimou o número médio de logins abandonados em cerca de 200.000 por mês, resultando em uma estimativa de vendas perdidas de aproximadamente US$ 45 por cliente por mês. Isso e os custos associados aos clientes que entram em contato com a linha direta de atendimento da empresa para recuperar suas contas foram os principais motivadores para esse cliente mudar de uma solução de identidade desenvolvida internamente para a solução CIAM da Akamai, o Identity Cloud.

A solução interna da empresa não oferecia uma funcionalidade de autoatendimento para os clientes recuperarem o acesso a suas contas por meio de métodos alternativos de autenticação, como login social, perguntas de segurança ou notificação por SMS. O esforço de desenvolvimento para implementar esses recursos na solução interna existente foi estimado como sendo maior e mais arriscado do que migrar para o Akamai Identity Cloud, uma solução comercial que oferece esses recursos prontos para uso.

ESTUDO DE CASO

$9M$45

O custo de falhas de login pode ser adicionado. E o custo para criar a funcionalidade de autoatendimento para recuperar credenciais pode ser maior do que o custo da implantação do Akamai Identity Cloud.


POR USUÁRIO POR MÊS

VENDAS PERDIDAS

ESTIMADAS

=2.000 USUÁRIOS

FALHA DE LOGIN

LOGIN


A capacidade de evoluir e inovar

O que faz uma experiência do cliente ser bem-sucedida está sujeito a mudanças constantes. À medida que o cenário digital cresce e novos grupos demográficos entram no público-alvo do comprador, o gerenciamento de identidade do cliente continua a ver uma evolução cada vez mais rápida.

Isso requer acompanhar as expectativas dos novos usuários (como login sem senha) e a constante mudança da topografia dos pontos de engajamento do cliente: Web, dispositivos móveis e IoT. O verdadeiro suporte omnicanal tornou-se uma necessidade para atender às expectativas dos consumidores modernos, permitindo que os clientes façam login a qualquer momento, de qualquer lugar e em qualquer dispositivo, e tenham acesso a fluxos de navegação e personalização iguais ou muito semelhantes.

A solução de gerenciamento de identidade deve ser capaz de acomodar novos requisitos e tendências que mudam rapidamente, que geralmente são difíceis de prever. Do contrário, ela expõe a empresa ao risco de ficar atrás da concorrência. Ao criar uma solução de identidade interna, é necessário garantir um financiamento, pessoal e conhecimento significativos muito além do estágio inicial de implementação.

Aspectos de conformidade e segurançaAs identidades do cliente são bens valiosos não apenas para as empresas, mas também para as pessoas que as possuem. Na medida em que mais áreas de nossas vidas entram no mundo digital, nossos dados pessoais confidenciais acabam nos nossos dados de perfil, variando de nome, endereço, telefone, sexo ou informações de pagamento a preferências pessoais, históricos de compras e de navegação e outros dados comportamentais. A necessidade das empresas de proteger os dados dos clientes armazenados on-line aumentou significativamente, e entidades reguladoras do mundo todo estão reagindo a isso.

A conformidade regulatória e a segurança são os principais fatores que contribuem enormemente para a complexidade e a importância do gerenciamento de identidade. Os dados do cliente contêm informações de identificação pessoal (PII), que estão sujeitas a uma ampla e crescente variedade de regulamentos e leis de privacidade.

Esses regulamentos variam entre regiões e jurisdições, mas as empresas globais devem garantir que seus websites digitais estejam em conformidade com todas as leis. Os exemplos incluem o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA), a Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) e outras regulamentações específicas do setor, como as leis de privacidade que restringem a divulgação de informações médicas nos Estados Unidos.

Os clientes querem a mesma experiência personalizada, seja efetuando login por desktop, dispositivos móveis ou até mesmo IoT.


Como os dados de identidade podem ser facilmente violados e explorados, eles se tornaram o principal alvo de ataques de hackers. O Estudo Custo da Violação de Dados de 2018, realizado pela IBM Security e pelo Ponemon Institute, descobriu que quase metade das organizações representadas naquela pesquisa (48%) identificou a causa raiz de uma violação de dados como um ataque malicioso ou criminoso, com um custo médio de aproximadamente US$ 157 por registro de identidade violado.6 Frequentemente, como as violações envolvem centenas de milhares (ou até milhões) de registros, o custo resultante pode prejudicar gravemente uma empresa, e isso ocorre antes do cálculo da perda de receita associada aos danos à reputação e à perda de confiança do cliente.

As empresas precisam aplicar as mais altas medidas de segurança, não apenas para se proteger, mas também para resguardar seus consumidores. Na pior das hipóteses, os clientes podem se tornar vítimas de roubo de identidade, com impacto potencialmente significativo em sua segurança financeira, profissional e pessoal, e todos têm o potencial de levar a acusações de responsabilidade e ações coletivas contra a empresa.

Os fatores descritos acima mostram que, na maioria dos casos e para a maioria das empresas, a importância geral do gerenciamento de identidade do cliente é extremamente alta.Os departamentos envolvidos na seleção e implementação de soluções de identidade são aconselhados a identificar e examinar cuidadosamente os fatores que determinam a importância em seu caso específico. Também devem informar os stakeholders e os tomadores de decisão de toda a organização sobre suas descobertas para garantir um entendimento e um acordo comuns. Isso ajudará a alocar os orçamentos, prioridades e recursos adequados necessários para uma implementação bem-sucedida do CIAM.


Selecionar uma solução de gerenciamento de identidade e acesso do cliente (CIAM) de nível empresarial

Experiência do usuário omnicanal: IU/UX (formulários da Web, interfaces, fluxos) para executar as tarefas acima, na Web, em dispositivos móveis, na IoT e em outros canais

Agregação e armazenamento de dados: todos os dados relacionados do cliente precisam ser armazenados de forma segura e em conformidade com as normas de privacidade e proteção de dados

Integração: com o cenário existente de sistemas CMS, CRM, ERP, automação de marketing, análise e gerenciamento de eventos e informações de segurança (SIEM)

Conformidade e prontidão para auditoria: a capacidade de fazer tudo o que foi mencionado acima e, ao mesmo tempo, manter a conformidade com as normas e/ou os padrões do setor e poder fornecer provas para auditorias

Escalabilidade e confiabilidade: execute, de forma confiável, todos os itens acima globalmente em grande escala e sem degradação do desempenho durante os horários de pico, com um SLA de 99,95% de tempo de atividade em vários canais e domínios e para milhões de usuários simultâneos

Registro, login e autenticação: incluindo autenticação multifator (na qual duas ou mais credenciais são solicitadas para maior segurança)

Login social: autenticação por meio do Facebook, Google, LinkedIn ou outros provedores de identidade de mídia social

Login único (SSO) e identidade federada: fornecendo acesso a vários locais e sistemas com um único login

Controle de acesso: a capacidade de implementar e aplicar políticas de acesso para controlar o que os clientes podem e não podem fazer em um website

Gerenciamento de preferências: a capacidade dos clientes de visualizar e editar determinadas preferências em sua conta

Gerenciamento de consentimento: a maioria das normas de privacidade exige que as empresas obtenham consentimento explícito dos clientes antes de obter dados pessoais. Os clientes devem estar habilitados para visualizar, modificar ou revogar o consentimento

FATORES INDISPENSÁVEIS



DESENVOLVER VS. COMPRAR?

Com o valor e a importância geral da identidade digital para a empresa, parece bem razoável que uma empresa busque o controle total e tenha o domínio completo de seu destino, desenvolvendo sua própria solução. No entanto, considerando as complexidades descritas neste documento, é totalmente possível, embora não seja imediatamente óbvio, que as empresas sobrecarreguem seus recursos e acabem com soluções de identidade do cliente aquém dos requisitos comerciais, regulatórios ou do cliente.



Os departamentos encarregados de implementar o gerenciamento de identidade podem se deparar com problemas inesperados. A pressão resultante pode se tornar uma carga pesada sobre a motivação, a produtividade e a capacidade de entrega da organização. Isso pode resultar em perda de prazos, atrasos no lançamento no mercado, estouro de orçamentos e outras consequências negativas.

Mesmo que a implementação técnica e a operação ocorram conforme o esperado, permanece a dúvida de saber se o desenvolvimento interno faz sentido econômico, considerando métricas de negócios, incluindo custo total de propriedade (TCO), retorno sobre o investimento ou gasto com capital. Além disso, as organizações devem garantir que não apenas consigam resolver os requisitos atuais de funcionalidade, segurança, disponibilidade e escalabilidade, mas também que possam desenvolver a solução para acompanhar os desenvolvimentos de mercado em constante mudança.

A terceirização de competências não essenciais, como CIAM, oferece vários benefícios.7

Economizar tempo

Reduzir os custos

Economizar capital

Estimular a inovação

Aumentar a velocidade

de uso

Melhorar a qualidade

Focar no principal

Motivos para terceirizar


Opções de desenvolvimento

78% dos executivos de negócios e de TI dizem que os requisitos do projeto “geralmente” ou “sempre”

estão fora de sincronia com a empresa.8

25% dos projetos de TI fracassam totalmente; 50% exigem retrabalho

de material; 20% a 25% não garantem retorno sobre

o investimento.9

52,7% dos projetos de software estão atrasados e acima do

orçamento; 31,1% são cancelados imediatamente.10

Se a decisão for desenvolver ou comprar a solução CIAM, a empresa deverá decidir onde hospedá-la. Abaixo estão as opções mais comuns, juntamente com os benefícios e desafios associados.

Data centers locais e/ou colocaçõesHospedar a solução CIAM no próprio data center da empresa envolve possuir e operar os recursos físicos de computação e armazenamento. Possuir toda a infraestrutura dá à empresa controle total da operação, até a escolha de quais modelos de servidor e comutadores de rede estão sendo implantados.

Os datacenters locais costumam ser usados em cenários em que os dados processados são considerados confidenciais demais para serem transferidos por redes públicas e/ou onde regulamentos proíbem a transferência de dados fora de uma rede privada. Os data centers locais também poderão ser a única opção quando o volume de dados for tão grande que a transferência de dados pelas redes públicas seria muito lenta.

Por último, mas não menos importante, as empresas terão que decidir se a criação e a execução de uma solução de identidade de cliente é o melhor uso de seus recursos internos.

Considerando tudo o que pode dar errado, muitos especialistas recomendam restringir projetos internos de TI a funções críticas essenciais para a empresa quando não existe uma alternativa adequada.


No entanto, quando se trata de CIAM, normalmente nenhuma das opções acima se aplica. Os websites digitais voltados para o cliente estão conectados à Internet, e os clientes fornecem seus dados usando redes públicas em primeiro lugar. Embora existam muitas normas rígidas de proteção de dados às quais as soluções CIAM precisam aderir, nenhuma delas proíbe o uso de redes públicas. A criptografia de dados em transferência e em repouso pode, junto com outros meios de segurança, fornecer segurança adequada. O volume de dados de identidade pode ser muito alto, mas pode (e deve) ser controlado pela Internet, pois é nela que estão os clientes e onde se envolvem com os sistemas da empresa.

O custo e o esforço de possuir e manter instalações de data center são significativos. Isso abrangeria o custo da instalação real do data center, incluindo o espaço físico, hardware (como servidores, roteadores, firewalls e balanceadores de carga), ar-condicionado, energia, linhas de eletricidade redundantes, no-breaks, conformidade com políticas de segurança de edifícios e muito mais. Os custos adicionais incluem a equipe necessária para executar a infraestrutura.

As empresas podem optar por uma abordagem de colocação, alugando peças ou todos esses recursos físicos de terceiros, que oferece um ponto de entrada de custo mais baixo. No entanto, ela exige uma definição exata de recursos, níveis de serviço e modelos operacionais e de segurança para garantir uma colaboração tranquila entre a empresa e a instalação de hospedagem. Isso aumenta a sobrecarga administrativa.

De acordo com as normas de proteção de dados, como o GDPR, as empresas são geralmente responsáveis por garantir que seus fornecedores lidem com os dados pessoais em total conformidade. Isso precisa ser considerado ao escolher provedores de colocação.11

Todos os esforços acima se multiplicarão se a empresa precisar de vários data centers em diferentes regiões. É provável que esse seja o caso ao atender públicos em diferentes regiões ou continentes, com a necessidade de garantir tempos de baixa latência para que o desempenho dos websites e serviços digitais não afete negativamente a experiência do usuário. Conforme discutido anteriormente, a insatisfação do cliente em experiências digitais não confiáveis ou lentas pode levar a altas taxas de rejeição e de queda, bem como ao aumento dos custos de suporte, e ainda pode prejudicar os negócios.

Outro motivo principal para ter mais de um data center ou colocação é o requisito de alta disponibilidade. Se um data center ficar inativo por algum motivo, a empresa precisará do recurso de fazer failover para outro data center como parte de um plano mais amplo de continuidade dos negócios e recuperação de desastres.

As soluções CIAM internas podem exigir custos incrementais do data center, que podem ser significativos.


Nuvem privadaUma nuvem privada é basicamente um data center no local ou uma colocação usando uma abordagem de computação em nuvem de pool compartilhado.

Os ambientes de nuvem têm vantagens em relação à infraestrutura mais tradicional. Eles permitem a configuração mais fácil e rápida de serviços e a rápida implantação de aplicações. Também funcionam melhor com paradigmas e tecnologias modernas de desenvolvimento de software, como desenvolvimento ágil, integração e entrega contínuas, DevOps e o uso de contêineres e microsserviços.

As nuvens oferecem determinados benefícios de economia de escala porque seu design permite que diferentes serviços compartilhem recursos. No entanto, a capacidade de compartilhar recursos dentro de uma empresa é bastante limitada. A infraestrutura de nuvem privada deve ser capaz de acomodar todos os picos potenciais de tráfego e carga de trabalho. Esses picos podem ser altos para os sistemas CIAM. Por exemplo, se uma empresa executa uma campanha de marketing grande e bem-sucedida, mas sazonal, o número de clientes que estão fazendo login, criando contas e interagindo em um website digital pode aumentar muitas vezes e atingir dezenas de milhões de usuários simultâneos. Ao mesmo tempo, a quantidade de dados operacionais relacionados ao sistema, como dados de registro e evento, também se multiplicará.

Os recursos de hardware para lidar com essas necessidades temporárias de aumento de armazenamento e potência de computação devem estar fisicamente disponíveis. Isso significa que eles precisam ser de propriedade ou alugados e pagos pela empresa, mesmo que fiquem ociosos durante o restante do ano e aumentem os gastos de CapEx e o TCO, enquanto esgotam o retorno do investimento.

A exigência de ter buffer suficiente para picos de tráfego é o motivo pelo qual os ambientes de nuvem geralmente são superprovisionados. O subprovisionamento é perigoso, pois pode levar a problemas graves na experiência do usuário, desde formulários de registro lentos até a inatividade total. Ironicamente, é mais provável que isso ocorra quando um serviço, produto ou campanha for muito bem-sucedido na condução de tráfego e vendas. É o pior momento para a TI atrapalhar o sucesso dos negócios.

Os custos e a complexidade de um CIAM interno se multiplicam quando você precisa de vários data centers para diferentes regiões.


Os tomadores de decisão precisam entender que isso exige tempo, esforço, experiência e conhecimento significativos para determinar o nível certo de aprovisionamento e, em geral, para arquitetar, implementar e operar um ambiente de nuvem privada de grande escala. Adiciona uma camada extra significativa de tecnologia complexa que introduzirá muitos outros pontos únicos de falha se não for projetado e operado corretamente.

Em vez de usar as próprias instalações de data center e hardware da empresa, uma opção popular para hospedar soluções CIAM é usar um fornecedor de nuvem pública, como Amazon Web Services (AWS), Microsoft Azure ou Google Cloud.

Nuvem públicaAs nuvens públicas eliminam a necessidade de possuir e operar data centers e plataformas de hardware, que são fornecidos como serviços através da rede. Essas ofertas de plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS) podem ser usadas para hospedar uma solução CIAM desenvolvida internamente. Se necessário, as nuvens públicas podem ser combinadas com partes de hospedagem da infraestrutura no local ou em uma colocação (nuvem híbrida).

Além de eliminar a sobrecarga de propriedade e operação de recursos de data center, as nuvens públicas oferecem grandes benefícios econômicos. Como a infraestrutura em nuvem não é só usada por uma empresa, mas compartilhada entre muitas (modelo multilocatário), os fornecedores de nuvem podem obter economias de escala a um nível que é simplesmente inatingível por uma nuvem privada local.

Além disso, a maioria dos fornecedores de nuvem pública oferece planos “pré-pagos”, logo os clientes são cobrados apenas pelos serviços que utilizam e que usam ativamente os recursos do sistema. Se uma aplicação implantada na nuvem pública ficar inativa devido ao baixo tráfego, ocorrerão poucas ou nenhuma cobrança. No entanto, os encargos aumentarão quando o tráfego crescer e a aplicação consumir ciclos de computação ou armazenamento nos servidores.

14

As soluções CIAM desenvolvidas internamente, executadas em serviços de nuvem pública, não herdarão automaticamente os próprios níveis de segurança, serviço e suporte do fornecedor de nuvem.

15Desenvolver vs. comprar? Um guia de gerenciamento de identidade e acesso do cliente (CIAM) 15

Calculando os custos de nuvem em comparação com a infraestrutura localA Microsoft e a Amazon fornecem calculadoras on-line que comparam o TCO em relação a configurações hospedadas no local e em suas respectivas nuvens públicas.12 No momento desta gravação, o Google oferece apenas uma calculadora de preços que não compara o TCO. Também há outras calculadoras semelhantes disponíveis na Web.

Tudo isso pode fornecer apenas estimativas aproximadas dos custos reais. Na realidade, os custos serão influenciados por uma variedade de fatores e precisam ser analisados caso a caso.

Risco de dependência de fornecedor de nuvemOs principais fornecedores de nuvem pública oferecem uma variedade cada vez maior de serviços. Isso faz com que seja tentador entrar em contato com um grande provedor de nuvem, seguindo um modelo semelhante que muitos CIOs escolheram durante a era de implantações de software de grandes empresas, como o Larry Dignan da ZDNet destaca.13 Depois que as empresas migrarem suas aplicações e seus dados para uma única plataforma de nuvem, poderá ser muito complicado e caro movê-los novamente. Isso pode até impedir que uma empresa mude para um fornecedor de nuvem que ofereça preços melhores ou tecnologia mais inovadora.

Uma estratégia de nuvem de vários fornecedores reduziria o risco de fidelização, mas requer esforços e recursos adicionais no projeto de uma solução CIAM e isso significa que as equipes devem conhecer e se manterem atualizadas sobre as tecnologias de diferentes fornecedores.

Aspectos de segurança, nível de serviço e suporteAs soluções da CIAM que usam uma das grandes nuvens públicas se beneficiam dos recursos significativos que esses fornecedores investem na tecnologia, infraestrutura e segurança de suas ofertas. Esses fornecedores oferecem 99,5% de disponibilidade para muitos de seus serviços e obtêm um grande número de certificações de segurança ou do setor.


Isso pode levar a uma falsa sensação de segurança e confiabilidade “herdada”. Qualquer projeto de software criado sobre um ambiente de nuvem pública não terá automaticamente os mesmos níveis de disponibilidade e segurança, e não será coberto pelas certificações que os fornecedores de nuvem obtiveram para seus serviços. Isso também se aplica às soluções CIAM, sejam elas desenvolvimentos internos ou produtos comerciais.

É necessário esforço, experiência e conhecimento significativos para atingir os mesmos (ou melhores) níveis de disponibilidade e segurança para a solução CIAM como as da infraestrutura de nuvem subjacente.

Como exemplo, o Akamai Identity Cloud mantém e é auditado ou avaliado quanto à certificação/conformidade com um grande número de programas de garantia para sua solução do Identity Cloud, incluindo ISO 27001:2013, ISO 27018:2014 (proteções PII na nuvem), SOC 2 Tipo II (todos os cinco Princípios de Confiança), HIPAA (armazenamento de dados de saúde), HITECH (transmissão de dados de saúde), Cloud Security Alliance (American Security Alliance), EUA – União Europeia. Estrutura de proteção de privacidade (revisada por TRUSTe) e programa de privacidade TRUSTe. Normalmente, não é viável nem economicamente razoável obter esse nível de segurança e conformidade certificadas e auditadas com uma solução interna.



Aproveitando o Software de código aberto/gratuito (FOSS): Conceitos básicos e erros comuns A maioria das organizações dependerá muito do uso de software de código aberto/gratuito (FOSS) ao criar sua própria solução CIAM. Quase todas as pilhas de infraestrutura e de aplicações atuais utilizam uma variedade de componentes baseados em FOSS governados por uma licença que permite que as empresas obtenham, compartilhem e modifiquem o código-fonte. Exemplos proeminentes incluem o sistema operacional Linux, o servidor Web Apache e o OpenSSL (um kit de ferramentas para criptografia segura de dados). O desenvolvimento do FOSS é geralmente associado a uma comunidade aberta de colaboradores e a um processo de avaliação baseado na comunidade que determina quais contribuições e modificações ao código se tornarão parte da árvore de origem principal.

É importante manter esses princípios básicos em mente ao avaliar se um componente FOSS específico é uma opção viável para um projeto interno de nível empresarial. As equipes de DevOps geralmente se concentram apenas na funcionalidade e na qualidade reais de um componente FOSS: Ele atende às nossas necessidades e funciona bem? Para esses critérios, muitos componentes FOSS serão aprovados na avaliação com excelência. Alguns dos projetos de software mais ricos em recursos, da mais alta qualidade e mais amplamente utilizados estão sendo desenvolvidos como FOSS.

No entanto, existem conceitos errôneos comuns sobre o FOSS que podem levar a suposições incorretas sobre o esforço e os custos associados ao uso de componentes FOSS como parte da aplicação ou da pilha de infraestrutura em um projeto comercial maior. Esses equívocos estão relacionados à natureza básica do software gratuito descrita acima.

“Software gratuito” não significa que não há custos Embora alguém geralmente possa baixar e usar o software gratuitamente, a execução de componentes FOSS ainda requer esforço e recursos que têm um custo. Na verdade, o termo “gratuito” nunca deveria significar sem custos, como Richard Stallman da Free Software Foundation explicou: “Software gratuito significa software que respeita a liberdade e a comunidade dos usuários. Em termos gerais, isso significa que os usuários têm a liberdade de executar, copiar, distribuir, estudar, alterar e melhorar o software. Portanto, software gratuito é uma questão de liberdade, não de preço. Para entender o conceito, você deve pensar em gratuito no sentido de liberdade de uso, não como em cerveja grátis.”14

As organizações precisam dedicar recursos consideráveis para testar e implantar cada nova atualização da comunidade FOSS e não há garantia de que a versão não alterará a funcionalidade e a compatibilidade nas quais você confia.

A CONSIDERAR



A comunidade não fará todo o desenvolvimento e a correção de bugs para vocêUm dos pontos fortes do modelo de desenvolvimento baseado na comunidade é que ele libera projetos de software de serem conduzidos pelo interesse de apenas um ou poucos indivíduos. A comunidade de desenvolvedores tem a liberdade de quebrar a compatibilidade entre versões, mudar radicalmente APIs, interfaces ou estruturas de dados e eliminar ou adicionar funcionalidades a qualquer momento, tudo sem ser retardada pelas necessidades de grandes usuários comerciais para quem tais mudanças podem ser difíceis de aceitar e caras para implementar.

Embora essa agilidade permita ciclos de inovação incrivelmente rápidos, ela pode se tornar problemática se a empresa que usa os componentes FOSS for realmente uma grande usuária comercial que precisa lançar recursos significativos e testar atualizações e novas versões de componentes que compõem a pilha de aplicações. Se a comunidade decidir introduzir uma grande alteração de código que quebra a compatibilidade com outras partes da aplicação, o custo e o esforço para retrabalhar (potencialmente rearquitetar) a pilha poderão ser significativos. Se tal alteração for introduzida como parte de uma correção de segurança importante, a empresa pode nem mesmo ter a opção de esperar para implementar a atualização, a menos que aceite o risco de deixar websites e dados de clientes vulneráveis enquanto isso.

Embora seja aceitável não atualizar para cada nova versão de um componente FOSS, ignorar patches de código fornecidos pela comunidade e atualizações de versão por muito tempo quase sempre leva a um ponto em que a segurança urgente e/ou outras correções de bugs não podem ser aplicadas à versão antiga.

Conformidade com licençasNo momento da redação deste texto, 83 diferentes licenças de código aberto haviam sido aprovadas pela Open Source Initiative, e havia literalmente centenas de outras licenças não aprovadas pela organização. 15 Empresas que usam componentes FOSS devem garantir a conformidade com essas licenças e entender as obrigações e, especialmente, se redistribuem o software livre, possíveis implicações em sua própria propriedade intelectual.

Projetos de software livre podem mudar de direção ou até mesmo deixarem de existirProjetos de código aberto podem mudar por vários motivos. A comunidade pode decidir levar o projeto para uma nova direção, pois as necessidades e os requisitos que inicialmente motivaram o desenvolvimento mudaram. A discordância na direção, na tecnologia ou no licenciamento dentro da comunidade às vezes leva a uma divisão, resultando na criação de um novo projeto e de uma ramificação no código-fonte. Um exemplo específico para o software de gerenciamento de identidades são os projetos OpenDS e OpenSSO, que foram originalmente criados pela Sun Microsystems, depois se tornaram a base para uma oferta comercial da ForgeRock e, após uma mudança de licença, passaram por uma divisão da comunidade.16



Opções de compra

Soluções tradicionais de IAM

Há dois tipos de soluções de identidade comercial dedicadas:

• Gerenciamento de identidade e acesso (IAM) tradicional

• Gerenciamento de identidade e acesso do cliente (CIAM)

É um conceito errado comum de que a tecnologia necessária para o CIAM é a mesma para o IAM tradicional. As soluções tradicionais de IAM, também chamadas de IAM de empresas, funcionários ou força de trabalho, são os sistemas de TI que garantem que apenas a força de trabalho ou os parceiros de negócios conhecidos de uma empresa possam acessar a rede corporativa e seus recursos.

O IAM tradicional é normalmente bem estabelecido, levando algumas empresas a assumirem a suposição equivocada de “como já temos essa tecnologia internamente, não pode ser tão difícil estendê-la aos nossos clientes”. Na raiz dessa abordagem estão as diferenças drasticamente subestimadas entre o IAM da força de trabalho e o IAM do cliente, bem como a complexidade do gerenciamento das identidades dos clientes para as propriedades digitais voltadas para o público de uma empresa. O CIAM tem requisitos diferentes, e muito mais desafiadores, do que o IAM da força de trabalho. Como resultado, a reutilização das soluções de IAM da força de trabalho pode ser uma abordagem problemática.

Como o IAM tradicional foi projetado para facilitar o acesso dos funcionários aos sistemas internos, ele não consegue fornecer insights sobre quem é um usuário. De fato, a identidade é assumida, e não é possível rastrear os dados avançados, como as ações que um usuário realiza e o que influencia sua jornada e comportamento na esfera digital. Mas as empresas exigem esses tipos de dados para entender seus clientes e competir no mercado digital.

De uma perspectiva de segurança, essa suposição de identidade representa um risco. Os usuários do sistema IAM são funcionários conhecidos da empresa e o acesso é normalmente determinado pela equipe de RH ou TI. Por outro lado, aplicações ou programas que empregam soluções CIAM, nas quais os usuários desconhecidos se registram na Internet, não podem e não devem assumir a identidade. Agentes mal-intencionados podem criar contas fraudulentas com relativa facilidade, e até mesmo usuários sem intenções maliciosas podem usar dados falsos para se registrar. O sistema de gerenciamento de identidade deve ser capaz de considerar essa diferença.

As soluções IAM do cliente têm funções e requisitos fundamentalmente diferentes das soluções IAM da força de trabalho.


Outra diferença crucial entre os sistemas IAM tradicional e CIAM é a capacidade de dimensionar. Até em muitas das maiores corporações, sistemas de IAM de força de trabalho podem ser responsáveis por administrar até dezenas de milhares de identidades de funcionários. Mas marcas de alto volume precisam lidar com dezenas, ou até centenas, de milhões de contas de clientes simultaneamente.

Soluções IAM para o clienteAs plataformas de CIAM dedicadas, como o Akamai Identity Cloud, são arquitetadas desde o início para lidar com identidades de clientes em grande escala e fornecer às empresas o valor máximo dos dados de perfil do cliente.

As soluções CIAM também permitem experiências do cliente perfeitas e simples, de modo que tarefas como login, autenticação ou gerenciamento de preferências não impeçam a atividade e levem os consumidores à concorrência. As tecnologias de CIAM também atendem à necessidade crítica de proteger dados pessoais em redes públicas, além de permitir que empresas globais obedeçam a diversas regulamentações

de privacidade e que mudam com frequência.

No localAssim como as opções de “desenvolvimento”, as soluções comerciais de CIAM estão disponíveis e podem ser executadas em um hardware próprio da empresa em data centers locais. Essa opção elimina a necessidade de desenvolver a funcionalidade CIAM real, mas os custos e esforços associados à propriedade e à operação do hardware e das instalações, conforme discutido acima, permanecem. Também não resolve os problemas de continuidade dos negócios/recuperação de desastre, confiabilidade e possíveis problemas de desempenho e latência que surgem da falta de data centers físicos suficientes para failover e distribuição de tráfego.

CIAM hospedado (pseudo nuvem)A escolha de uma solução comercial de CIAM baseada em nuvem permite que as empresas eliminem esses esforços e reduzam ainda mais a complexidade. As empresas devem analisar de perto exatamente o que significa quando um fornecedor se alega ser baseado em nuvem e oferecer identidade como serviço (IDaaS), um termo frequentemente usado em conjunto com essas ofertas.

As equipes de engenharia criaram o Akamai Identity Cloud do zero para lidar com identidades de clientes em grande escala e garantir que as empresas pudessem obter o valor máximo dos dados de perfil do cliente.


Muitas soluções CIAM têm suas raízes no IAM tradicional. A arquitetura original dessas soluções é muitas vezes a de uma aplicação monolítica tradicional que as empresas precisam instalar e operar no próprio hardware local.

Para colocar essas soluções em nuvem, muitos fornecedores simplesmente escolhem hospedá-las em um servidor na nuvem. Embora esse conceito tenha uma vantagem (permite que o software seja executado no local, bem como em nuvens privadas e públicas), isso também significa que a arquitetura inerente da solução CIAM não é capaz de aproveitar ao máximo um ambiente de nuvem moderno. Essa abordagem não terá a quantidade suficiente de recursos como o dimensionamento elástico para acomodar picos de tráfego ou failover rápido entre instâncias e regiões.

Essas soluções de “pseudo nuvem” também não podem utilizar plenamente os benefícios econômicos dos recursos compartilhados em uma nuvem. Sua arquitetura não foi projetada para ser executada em um ambiente multilocatário altamente modular e distribuído. Normalmente, duplicam muitos componentes funcionais que seriam compartilhados em software originalmente arquitetados para a nuvem.

CIAM baseado em nuvem (nativo da nuvem)As soluções CIAM que foram projetadas e arquitetadas para serem executadas em uma nuvem moderna são muito mais adequadas para aproveitar ao máximo o modelo de recursos compartilhados do ambiente e as economias de escala. Não podem ser implantadas com frequência no local em um ambiente de nuvem privada.

Este modelo “nativo da nuvem” elimina a necessidade de as empresas fornecerem recursos de hardware e data center ou se preocuparem com a escolha de um provedor de nuvem. Ele também permite um alto nível de eficiência e otimização.

A arquitetura é importanteMesmo para soluções nativas da nuvem, o fornecedor deve explicar os detalhes de sua arquitetura; como ela alcança escalabilidade, confiabilidade e segurança; qual disponibilidade é oferecida como parte de seu SLA (Acordo de Nível de Serviço); e qual disponibilidade real foi alcançada nos últimos 12 a 36 meses.

Considere este exemplo: em 2016, na Austrália, um enorme sistema de tempestades que ia de Brisbane à costa sul de NSW levou a um fim de semana de inundações generalizadas e erosão costeira. Os datacenters que hospedam os servidores regionais de um fornecedor de nuvem pública foram afetados e, como resultado, muitos de seus serviços na nuvem diminuíram e impactaram os clientes.

Uma solução CIAM hospedada não é igual a uma solução em nuvem. Pode não ser dimensionada para acomodar picos de tráfego ou permitir um failover rápido entre instâncias e regiões.

vs


Um cliente da Akamai na Austrália, uma das maiores marcas B2C da região, usa esse fornecedor de nuvem pública para executar a maioria de seus websites voltados para o cliente, e a interrupção afetou seus sistemas. Enquanto o fornecedor de nuvem se recuperou após cerca de seis horas, o cliente teve seus próprios websites totalmente restaurados após vários dias.

O Akamai Identity Cloud está entre os serviços que não foram substancialmente impactados pela tempestade. O que permitiu que a Akamai se recuperasse rapidamente e sem perda de dados foi sua arquitetura nativa de nuvem que foi criada com o máximo de disponibilidade global em mente.

O Identity Cloud iniciou automaticamente um failover para outras regiões geográficas para assumir o controle e redirecionar o tráfego de forma adequada. Ele não apenas mudou para uma região de backup, mas também declarou outras regiões que ainda funcionam como fallbacks adicionais em caso de falha do sistema de backup. Os dados de identidade dos clientes do cliente já estavam disponíveis nas regiões de failover como parte do procedimento normal de backup de dados da Akamai.

O Akamai Identity Cloud foi projetado para manter a funcionalidade e ainda cumprir os SLAs de desempenho, mesmo no caso de falhas catastróficas que reduzem os data centers e a energia em várias regiões ao mesmo tempo. Cenários de failover e backups de dados entre regiões são testados regularmente, e sua funcionalidade é confirmada por um auditor independente.

Como resultado do incidente da tempestade australiana, o cliente solicitou à Akamai orientação na reprojeção de seus sistemas para evitar a ocorrência de futuros incidentes semelhantes.

A importância da diversidade geográficaQuando uma enorme tempestade derrubou os data centers de um fornecedor de nuvem pública no sul da Austrália, o Akamai Identity Cloud rapidamente começou a funcionar, sem perda de dados.


ConclusãoAs soluções CIAM comerciais têm algumas vantagens significativas em relação aos departamentos internos de TI que tentam criar uma solução por conta própria. Da disponibilidade e escala globais aos SLAs garantidos e certificações de segurança: a competência, os recursos, a pesquisa e o desenvolvimento contínuos que vêm com o uso de fornecedores terceirizados significam que sua equipe de TI pode concentrar esforços em outras iniciativas de negócios importantes.

As soluções CIAM projetadas para utilizar os recursos de uma nuvem moderna para compartilhar recursos, fornecer escala elástica e permitir failover de várias regiões e recuperação de desastres oferecem IDaaS com uma variedade de recursos e em níveis de segurança que são frequentemente difíceis de combinar com desenvolvimentos internos. Ao mesmo tempo, eles eliminam a necessidade de possuir e operar hardware e instalações de data center.

Embora o gerenciamento de identidades feito pela própria pessoa possa parecer factível, existe um risco substancial de subestimar o esforço, o subfinanciamento e a falta de recursos internos e expertise de longo prazo para apoiar, manter e evoluir a solução a fim de atender às mudanças nas exigências do mercado e às expectativas do consumidor. Os fornecedores comerciais de CIAM estão em melhor posição para acompanhar as mudanças ditadas pela tecnologia, consumidores, mercados e reguladores, simplesmente porque os fornecedores precisam evoluir seus serviços para manter suas ofertas competitivas e relevantes.

Na maioria dos casos, a opção “comprar” é mais recomendável do que a alternativa de “desenvolver”, enquanto as soluções de gerenciamento de identidade prontas para uso e nativas da nuvem são a melhor opção para os objetivos, as necessidades e os recursos da maioria das empresas. Dito isso, as empresas devem avaliar suas opções com base em sua situação individual para determinar qual é o melhor caminho para o caso em particular.

Para obter mais informações, visite akamai.com/ciam ou leia nossa “Lista de verificação do comprador: 10 principais considerações na seleção de uma solução CIAM”.


https://www.akamai.com/us/en/solutions/security/customer-identity-and-access-management.jsp

https://www.akamai.com/us/en/multimedia/documents/brochure/buyers-checklist-top-10-considerations-in-selecting-a-ciam-solution.pdf




FONTES

1) https://www.dynatrace.com/news/blog/how-fast-is-fast-enough-tmobile/

2) Google: Usando a velocidade da página na classificação da pesquisa para dispositivos móveis. Janeiro de 2018.

3) https://chatbotsmagazine.com/how-with-the-help-of-chatbots-customer-service-costs-could-be-reduced-up-to-30-b9266a369945

4) https://blogs.aspect.com/web-chat-faq-average-costs-vs-handle-time-and-efficiency/

5) https://www.ibm.com/blogs/watson/2017/10/how-chatbots-reduce-customer-service-costs-by-30-percent/

6) https://www.ibm.com/security/data-breach

7) Gonzalez et al. “Motivos e riscos de terceirização de sistemas de informação.” 2010

8) https://www.wrike.com/blog/complete-collection-project-management-statistics-2015/

9) Melhorando os resultados do projeto de TI gerenciando sistematicamente e aumentando o risco. Relatório IDC de Dana Wiklund e Joseph C.

Pucciarelli.

10) The Standish Group: CHAOS Report, 2016.

11) GDPR, Art. 22: “Qualquer processamento de dados pessoais no contexto das atividades de um estabelecimento de um controlador ou de um

processador no sindicato deve ser realizado de acordo com este Regulamento, independentemente de o próprio processamento ocorrer dentro

do sindicato.”

12) Microsoft: Calculadora do custo total de propriedade (TCO); AWS: Calculadora do custo total de propriedade (TCO)

13) https://www.zdnet.com/article/enterprises-learning-to-love-cloud-lock-in-too-is-it-different-this-time/

14) Fundação do software gratuito: O que é software gratuito? A definição de software gratuito, https://www.gnu.org/philosophy/free-sw.en.html

15) Iniciativa de código aberto: Licenças por nome, https://opensource.org/licenses/alphabetical

16) http://www.timeforafork.com/

A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A plataforma de borda inteligente da Akamai cerca tudo, da empresa à nuvem, para que os clientes e seus negócios possam ser rápidos, inteligentes e protegidos. As principais marcas mundiais contam com a Akamai para ajudá-las a alcançar a vantagem competitiva por meio de soluções ágeis que estendem a potência de suas arquiteturas multinuvem. A Akamai mantém as decisões, aplicações e experiências mais próximas dos usuários, e os ataques e ameaças cada vez mais distantes. O portfólio de soluções de segurança de borda, desempenho na Web e em dispositivos móveis, acesso corporativo e entrega de vídeo da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, sete dias por semana, durante todo o ano. Para saber por que as principais marcas mundiais confiam na Akamai, visite akamai.com, blogs.akamai.com ou @Akamai no Twitter. Encontre nossas informações de contato globais em akamai.com/locations. Publicado em 05/19.

https://www.dynatrace.com/news/blog/how-fast-is-fast-enough-tmobile/

https://chatbotsmagazine.com/how-with-the-help-of-chatbots-customer-service-costs-could-be-reduced-up-to-30-b9266a369945

https://blogs.aspect.com/web-chat-faq-average-costs-vs-handle-time-and-efficiency/

https://www.ibm.com/blogs/watson/2017/10/how-chatbots-reduce-customer-service-costs-by-30-percent/

https://www.ibm.com/security/data-breach

https://www.wrike.com/blog/complete-collection-project-management-statistics-2015/

https://www.zdnet.com/article/enterprises-learning-to-love-cloud-lock-in-too-is-it-different-this-time/

https://www.gnu.org/philosophy/free-sw.en.html

https://opensource.org/licenses/alphabetical

http://www.timeforafork.com/

https://www.akamai.com

https://blogs.akamai.com

https://twitter.com/akamai

https://www.akamai.com/us/en/locations.jsp

desenvolver vs. comprar? um guia de gerenciamento de …€¦ · seja o website para desktop ou...

Documents