À medida que as empresas adotam IA, arquiteturas nativas da nuvem e automação em escala, a identidade já não é apenas uma função de segurança de backend. Está a tornar-se a camada de controlo que determina como os sistemas confiam, autorizam e observam tanto humanos como máquinas. Esta mudança está a ser impulsionada por duas grandes alterações. Primeiro, os sistemas empresariais tornaram-se altamente distribuídos através de plataformas de computação nuvem, APIs e serviços. Segundo, o desenvolvimento assistido por IA e a automação estão a acelerar a rapidez com que os sistemas são construídos e implementados. Juntas, estas mudanças estão a redefinir como a confiança e o controlo devem ser implementados em ambientes modernos. Quando as saídas geradas por Agente de IA interagem com infraestruturas, APIs e fluxos de trabalho automatizados, o desafio já não é apenas se os sistemas funcionam, mas se podem ser confiados, controlados e auditados de forma fiável. Rishav Bhandari trabalhou em autenticação empresarial, entrega na nuvem e sistemas de automação em grande escala. A sua experiência abrange sistemas IAM em escala empresarial, engenharia de computação nuvem e entrega DevOps. Da sua perspetiva, a identidade já não é apenas sobre login e acesso. Está a tornar-se o alicerce para confiança, controlo e responsabilidade em sistemas empresariais modernos. As organizações que terão sucesso não serão as que adotarem IA mais rapidamente, mas as que construírem camadas de controlo mais fortes em torno dela.
Por favor, fale-nos sobre si e o seu percurso profissional.
Passei mais de oito anos na Infosys a trabalhar em sistemas empresariais em diferentes domínios. Comecei com gestão de identidade e acesso na Vodafone, a lidar com milhões de autenticações de utilizadores em escala. A partir daí, mudei para entrega na nuvem e transformação digital e, mais recentemente, para práticas de automação e desenvolvimento assistido por IA. O que percebi é que identidade, segurança da nuvem e governança de IA estão todos a convergir. Não se pode falar sobre segurança da nuvem sem falar sobre identidade. Não se pode falar sobre governança de IA sem compreender ambos. Essa convergência é o que torna este momento interessante para a tecnologia empresarial.
Trabalhou em identidade, entrega na nuvem e automação. Como é que essa combinação moldou o seu pensamento sobre arquitetura empresarial?
Forçou-me a ver estas três coisas como a mesma conversa. No início da minha carreira, pensei na identidade como infraestrutura que se configura e mantém. A nuvem era apenas sobre onde viviam os seus servidores. A automação era sobre fazer as coisas mais rapidamente. O que percebi é que são todas sobre confiança e controlo. Como confiar que um utilizador é quem afirma ser? Como confiar que um recurso de nuvem é legítimo? Como confiar que uma ação automatizada é autorizada? Essas são questões de identidade disfarçadas de forma diferente. Quando se vê desta forma, a sua arquitetura muda fundamentalmente.
Por que é que a identidade se tornou uma camada de controlo central em vez de apenas uma função de segurança de backend?
Duas coisas aconteceram. Primeiro, os sistemas tornaram-se distribuídos. Quando tudo estava num centro de dados, a segurança da rede era o seu limite. Agora com a nuvem, APIs e serviços através de redes que não controla, o limite da rede não funciona. A identidade torna-se o seu limite primário. Segundo, o âmbito da identidade expandiu-se dramaticamente. Já não são apenas utilizadores. São serviços a comunicar entre si, APIs, trabalhos agendados, infraestrutura-como-código e sistemas de IA. Todos precisam de autenticação e autorização. Devido a essa expansão, a identidade mudou de uma preocupação de backend para uma arquitetural que molda como se projeta e opera sistemas.
Como é que a identidade está a mudar à medida que as organizações adotam IA e automação em escala?
A identidade da máquina está a tornar-se tão importante quanto a identidade humana. Serviços, funções Lambda e sistemas de Agente de IA precisam todos de identidades. O desafio é a escala. Pode ter centenas de funcionários mas milhares de serviços e agentes. Gerir identidade a essa escala requer uma abordagem completamente diferente. A revogação também é diferente. Quando um humano sai, revoga-se o acesso. Quando um serviço falha, precisa de revogar o acesso em segundos, não em dias. E a responsabilidade é complicada. Com sistemas de IA, precisa de compreender se o sistema fez o que deveria ou se alguém o configurou mal ou abusou dele. Isso requer melhores trilhos de auditoria e governança.
Quais são os maiores riscos ao conectar IA, serviços de nuvem e controlos de acesso sem governança forte?
O maior risco são pontos cegos. Alguém implementa um sistema de IA para tomar decisões, mas ninguém compreende as implicações de segurança. O sistema obtém permissões amplas porque restringi-las parecia complicado. Depois algo corre mal. Vi sistemas de automação com acesso a bases de dados de produção que poderiam causar danos catastróficos se comprometidos. Falhas de conformidade são outro risco. Se não conseguir auditar o que um sistema de IA fez ou rastrear decisões, não está em conformidade. Há também dependência de fornecedor e falsa confiança, onde pensa que está seguro, mas os seus sistemas não foram projetados para IA em escala.
O que significa Zero Trust na prática com sistemas de IA e fluxos de trabalho automatizados?
Zero Trust significa não confiar em nada por defeito, independentemente de onde vem. Para humanos, significa verificar identidade todas as vezes. Para máquinas, significa credenciais de curta duração que expiram rapidamente, para que o compromisso seja limitado no tempo. Para sistemas de IA, significa ser deliberado sobre permissões. Acesso específico a recursos específicos para ações específicas, com a capacidade de revogar se o sistema fizer algo inesperado. Zero Trust também significa observabilidade. Não se pode aplicá-lo se não conseguir ver o que está a acontecer. O desafio com IA é definir como é o comportamento inesperado.
Onde é que as empresas normalmente erram em identidade, segurança da nuvem e governança?
Priorizam velocidade sobre controlo. Concedem permissões amplas para avançar rapidamente. Implementam IA com acesso a tudo porque restringir parecia complicado. Tratam a identidade como algo secundário, projetando arquitetura de nuvem sem pensar nisso, depois tentando adicioná-la. Outro erro é assumir que o fornecedor de nuvem lida com a segurança. Os fornecedores dão-lhe ferramentas, mas deve usá-las corretamente. As organizações também não investem em observabilidade até ocorrerem problemas. Compreendem retenção de logs, gestão de segredos e trilhos de auditoria apenas depois de algo falhar. O lado humano também importa. A governança não é apenas técnica. É sobre processos e fluxos de trabalho.
Como devem as organizações equilibrar segurança, velocidade operacional e experiência do usuário?
A perceção chave é que o atrito vem de mau design, não de segurança. Um sistema seguro bem projetado torna fazer a coisa certa o caminho de menor resistência. Se os logs de auditoria são penosos, as equipas evitam-nos. Se as permissões demoram dias, as equipas solicitam acesso amplo. Se a revogação é complicada, as equipas ignoram-na. Invista em automação. Automatize provisionamento, pedidos de permissão e registo de auditoria. Envolva as equipas cedo no design da sua estratégia. Compreenda as suas restrições e necessidades. Seja transparente sobre por que está a pedir certos controlos. As equipas estão mais dispostas a cumprir quando compreendem o porquê.
Que passos práticos podem os líderes tomar hoje para melhorar o controlo em ambientes de nuvem habilitados por IA?
Primeiro, faça inventário do que tem. Saiba que sistemas de IA existem, que acesso têm e o que fazem. Comece com risco zero de forma pragmática. Não implemente risco zero perfeito em todo o lado de uma vez. Comece com sistemas críticos. Invista em observabilidade através de logging, métricas e alertas. Implemente trilhos de auditoria fortes para poder rastrear o que aconteceu e porquê. Gerir segredos de forma segura e rotacioná-los regularmente. Envolva equipas de segurança e conformidade cedo em iniciativas de IA. Não pergunte se algo é seguro após a implementação. Finalmente, eduque as suas equipas continuamente. Segurança e governança não são configurar e esquecer.
Como vê a identidade, segurança da nuvem e governança de IA a evoluir?
A identidade e governança tornar-se-ão mais automatizadas e inteligentes. Machine learning detetará comportamento anómalo e compreenderá como é o normal. Haverá mais foco em observabilidade e compreensão do comportamento do sistema de IA, que neste momento permanece uma caixa preta. Os regulamentos em torno da IA aumentarão. À medida que a IA toma decisões importantes, os reguladores exigirão melhor governança e responsabilidade. As organizações com boa governança agora estarão à frente. Haverá também mais foco em identidade portátil, não bloqueada num fornecedor de nuvem. O que as organizações devem preparar-se agora é reconhecer que identidade e governança não são apenas problemas de segurança. São problemas de negócio. Afetam velocidade, fiabilidade e conformidade. As organizações que vencerão construirão camadas de controlo fortes em torno de IA e automação, não as que se movem mais rapidamente sem esses controlos.
