As pessoas, individualmente, passaram a ser o perímetro de segurança que as organizações devem proteger
Por Regina Tupinambá
Organizações independente de suas atividades, portes e segmentos de mercado precisaram se adaptar aos novos hábitos das pessoas relacionados aos seus dispositivos de comunicação.
Os dispositivos móveis que vêm sendo desenvolvidos visam dar aos usuários sempre mais conforto e autonomia através de mobilidade, disponibilidade e rapidez. Desta forma, as pessoas passaram a utilizar seus dispositivos em todos os lugares e isso incluí o local de trabalho.
A princípio, os dispositivos pessoais, eram usados para lidar com os assuntos pessoais, mas aos poucos os assuntos corporativos e pessoais foram se misturando nos vários dispositivos acessados por uma mesma pessoa. Foi então que as empresas assumiram o uso dos dispositivos pessoais no local de trabalho surgindo o BYOD – Bring Your Own Device, em português: traga seu próprio dispositivo.
A Pandemia mundial só veio intensificar o que, de fato, já vinha acontecendo: a alteração dos limites do perímetro de TI
Aos dispositivos pessoais sendo utilizados para assuntos corporativos soma-se o uso de inúmeras plataformas, armazenamento de arquivos em nuvem e o aumento da comunicação sendo feita de forma remota por ocasião da necessidade do distanciamento social.
Essa congruência fez com que o velho e antigo conceito de perímetro de TI fosse então definitivamente destruído.
Nessas circunstâncias, as pessoas, individualmente, passaram a ser o perímetro que as organizações devem proteger e aí é que surgem as credenciais de acesso como recursos necessários para identificação, autenticação e monitoramento dos acessos aos ativos eletrônicos da empresa.
A credencial digital ou eletrônica é a chave que viabiliza acessos seguros e controlados possibilitando às organizações a determinação do que cada chave é capaz de abrir dando aos seus portadores “alçadas e poderes” individualizados e permitido a rastreabilidade dos acessos e o que efetivamente foi feito durante esse acesso.
As chaves de acesso podem identificar pessoas, empresas, máquinas e softwares e então estabelecem a confiança entre as partes: M2M, P2P, M2P e P2M, respectivamente: máquina a máquina, pessoa a pessoa, máquina a pessoa e pessoa a máquina.
A credencial digital torna-se indispensável para a gestão dos acessos e a troca confiável das informações corporativas.
Como eleger a chave de acesso a ser utilizada?
Diversas tecnologias, em particular ou combinada com outras, podem garantir a identificação no meio eletrônico de forma que a confiança entre as partes seja estabelecida.
O que define o tipo de tecnologia de identificação digital a ser utilizada é o grau de criticidade exigido em cada circunstância.
São muitas variáveis a serem consideradas e sempre o bom senso vai prevalecer em relação ao uso da tecnologia de identificação digital. Os riscos que envolvem os acessos serão os grandes balizadores da força da credencial eletrônica a ser utilizada.
Em um centro de operações de uma usina nuclear a credencial de acesso precisa ser muito mais robusta que a chave utilizada para acesso a uma academia de esportes.
Uma credencial forte deve garantir algumas evidências como autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade que possibilite a rastreabilidade dos acessos.
Existem diversas alternativas tecnológicas para chaves de acesso e a seguir não relaciono todas, mas algumas apenas.
Certificação digital
Certificados digitais não são todos iguais. Existem diferenças entre os certificados digitais de acordo com as regras de validação de identidade utilizadas para atrelar a chave criptográfica a seu titular. Tecnicamente todos certificados digitais seguem o padrão X.509, mas podemos resumir e dizer o que difere um certificado do outro são os OIDs e a hierarquia de confiança a que pertence. OID (Object Identifier) é uma extensão das informações contidas em certificados X. 509 que é composto de diversos campos. Por seus requisitos técnicos, regulatórios e processuais o certificado digital é a credencial de autenticação mais robusta disponível mundialmente.
O certificado digital é a única tecnologia que a mesma chave – identidade eletrônica, eID – identifica o titular e faz a criptografia dos dados.
A certificação digital é baseada em cálculos matemáticos e trabalha com um par de chaves único para cada titular. O par de chaves é formado por uma chave pública e outra chave privada que só combinadas entre si funcionam. Nem mesmo a Autoridade Certificadora que emitiu o certificado possui a chave privada e seu acesso é restrito ao titular.
Certificado de atributos
Esse é um certificado que diferente do certificado digital porque não possui a chave pública e, por tanto, tem sua aplicação de uso bem diferente dos certificados digitais. É na verdade um recurso fantástico que deveria ser mais entendido e utilizado pelas empresas. Temos no Crypto ID muitos artigos sobre esse tipo de tecnologia e vale a pena conferir.
Biometria
Os dados biométricos podem se apresentar de diversas formas. Por exemplo, a biometria das digitais, a espacial que pode ser o formato das mãos ou orelhas, as auditivas, olfativas, químico e até mesmo a de DNA que é a identificação de um indivíduo usando a análise de segmentos do DNA – Leia o artigo que escrevi sobre isso em 2019 que é bem completo – A explosão mundial da Biometria.
Dados Biográficos
A combinação de um conjunto de informações podem identificar um pessoa gerando a chave de autenticação. Um bom exemplo disso foi o que nós brasileiros experimentamos ao emitir o e-Título nessas ultimas eleições.
Existem ainda muitos outros recursos de tecnologia que relacionam uma determinada chave de acesso a seu titular.
Muito importante ressaltar que nome/senha não é um recurso seguro para ser considerado como uma chave de acesso. Login/senha é uma forma de autenticação totalmente ultrapassada e expõe seus usuários e as empresas a riscos desnecessários nos dias de hoje. Assim como não é nada seguro quando o “segredo” é armazenado em um banco de dados custodiado por uma das partes envolvidas.
Os diversos tipos de chaves de autenticação já seria o tema para outro um artigo. Aqui tive a intensão de colocar o quanto as chaves de acessos são importantes para a proteção do perímetro da tecnologia da informação e destacar que escolha dessa chave requer estudo em relação a tecnologia e a correta avaliação dos riscos envolvidos.
IDENTIDADE DIGITAL
O Crypto ID reúne as principais notícias e artigos sobre as diversas tecnologias que identificam no meio eletrônico pessoas, empresas, equipamentos, aplicações e softwares.
Confira a coluna Identidade Digital.
Entenda o Universo dos Certificados de Atributo
A identidade é o novo perímetro
Gartner divulga as 10 principais tendências tecnológicas para Governos em 2021