Segundo o Gartner, a disciplina de IAM pode ser definida como:

"Gestão de Identidade & Acessos é a disciplina que permite o indivíduo correto acesse o recurso correto, no tempo e pelos motivos certos."

Antes de analisarmos esta definição, é importante mencionar as diversas nomenclaturas pelas quais esta disciplina é denominada. É normal encontrarmos termos como: “Gestão de Identidade”; “Gerenciamento de Identidade”; “Gestão de Acesso”; “Identity Management”; “Identity and Access Management”; ou, “IAM”, simplesmente.

É interessante notar que esta definição aparentemente simples, toca em aspectos que podem se tornar muito complexos, se considerarmos que as organizações são dotadas de dezenas/centenas de colaboradores, parceiros de negócios, sistemas e milhares de clientes. Voltando definição, podemos destacar termos chaves nesta definição, sendo eles: Individuo; Recurso; Tempo certo; e Razão certa.

Indivíduo

Indivíduo é o sujeito central das ações, isto é, a Entidade que deseja fazer acesso a um determinado recurso. Em um contexto organizacional, este indivíduo pode ser um colaborador, um parceiro, um cliente ou, até mesmo, robôs etc. Indivíduos têm ciclos de vida em suas relações com a Organização, desde o instante em que é criado (quando é admitido, por exemplo) até sua remoção. Neste período ele pode ter promoções na carreira, bem como pode ter afastamentos por férias ou saúde, por exemplo. É fundamental que uma plataforma de Gestão de Identidade gerencie o ciclo de vida de Indivíduos, de tal modo que seus direitos de acessos reflitam o instante presente.

Recurso

A definição de Recurso, pode ser feita de forma geral como algo que um determinado Indivíduo deseja utilizar, ou seja, deseja fazer acesso. Um Recurso pode ser algo como uma Aplicação, um Conteúdo, um Servidor, um Acesso à Internet, uma Pasta ou até mesmo uma coisa (IoT), por exemplo uma catraca que dê acesso físico a organização. Assim como Indivíduos, Recursos também podem ter ciclo de vida, desde o instante em que passa a fazer parte da infraestrutura da corporação, apresentando do mesmo modo, períodos de indisponibilidade, por questões de manutenção ou de segurança.

Tempo certo

Em um mundo cada vez mais digital, mais conectado, mais móvel e que valoriza a experiência do usuário, Indivíduos precisam de acesso a Recursos de maneira mais rápida possível. Não é mais aceitável que um colaborador aguarde dias para poder acessar seu sistema principal de trabalho. Além disso, devido a cenários cada vez mais ágeis, é necessário conceder acessos a recursos corporativos de forma rápida, garantindo que a agilidade requerida não comprometa a segurança da organização. Por outro lado, há Recursos e Indivíduos que podem ter restrições de horários para seus acessos e, então, nestes casos, o acesso deve ser negado para horários indevidos.

Razão certa

Cada indivíduo deve ter acesso aos recursos necessários e em tempo hábil, e isto deve sempre ocorrer pela razão correta. A necessidade do acesso pode se dar pelo papel que ele exerce na organização ou por alguma tarefa específica que ele vá executar durante algum período. De forma geral, nenhum indivíduo deveria ter acesso a um recurso se não houver uma razão. Isto protege a organização, mas, também, protege o indivíduo.