Últimas notícias

Fique informado

O indivíduo é o novo perímetro

14 de abril de 2021

Spotlight

O que é PKI? Definição e guia para infraestrutura de chaves públicas.

A infraestrutura de chave pública – PKI, em português ICP – gerencia a identidade e a segurança nas comunicações da Internet para proteger pessoas, dispositivos e dados.

13 de maio de 2021

GlobalSign anuncia mudanças no comprimento da chave de assinatura de código

Os clientes TSA devem migrar para os novos URLs até 1º de junho de 2021.

12 de maio de 2021

Entrevista com Daniela Costa – VP da Arcserve LATAM – sobre Proteção de dados e soluções de backup

Daniela Costa, VP Arcserve Latam, fala sobre o porque as corporações precisam repensar suas estratégias de backup.

7 de maio de 2021

Viviane Bertol explica o que é AR Eletrônica e fala sobre os novos procedimentos de validação da ICP-Brasil

Drª Viviane Bertol, fala sobre os novos procedimentos da ICP-Brasil, panorama mundial de eIDs e sobre LGPD.

8 de abril de 2021

O que o futuro da segurança na Internet mantém em 2019 segundo especialistas da Sectigo – Ouça

Especialistas em identificação digital e criptografia da Sectigo se reúnem para traçar as principais questões sobre segurança na internet em 2019

21 de janeiro de 2019

A explosão mundial da Biometria – Ouça

Nunca se falou tanto em reconhecimento biométrico automatizado de indivíduos com base em suas características biológicas e comportamentais. Por Regina Tupinambá

19 de fevereiro de 2019

A identidade é o novo perímetro

Por Sergio Leal A Nuvem é o novo paradigma para

6 de agosto de 2016

As pessoas, individualmente, passaram a ser o perímetro de segurança que as organizações devem proteger

Por Regina Tupinambá

Regina Tupinambá sócia fundadora do Portal Crypto ID

Organizações independente de suas atividades, portes e segmentos de mercado precisaram se adaptar aos novos hábitos das pessoas relacionados aos seus dispositivos de comunicação.

Os dispositivos móveis que vêm sendo desenvolvidos visam dar aos usuários sempre mais conforto e autonomia através de mobilidade, disponibilidade e rapidez. Desta forma, as pessoas passaram a utilizar seus dispositivos em todos os lugares e isso incluí o local de trabalho.

A princípio, os dispositivos pessoais, eram usados para lidar com os assuntos pessoais, mas aos poucos os assuntos corporativos e pessoais foram se misturando nos vários dispositivos acessados por uma mesma pessoa. Foi então que as empresas assumiram o uso dos dispositivos pessoais no local de trabalho surgindo o BYOD – Bring Your Own Device, em português: traga seu próprio dispositivo.

A Pandemia mundial só veio intensificar o que, de fato, já vinha acontecendo: a alteração dos limites do perímetro de TI

Aos dispositivos pessoais sendo utilizados para assuntos corporativos soma-se o uso de inúmeras plataformas, armazenamento de arquivos em nuvem e o aumento da comunicação sendo feita de forma remota por ocasião da necessidade do distanciamento social.

Essa congruência fez com que o velho e antigo conceito de perímetro de TI fosse então definitivamente destruído.

Nessas circunstâncias, as pessoas, individualmente, passaram a ser o perímetro que as organizações devem proteger e aí é que surgem as credenciais de acesso como recursos necessários para identificação, autenticação e monitoramento dos acessos aos ativos eletrônicos da empresa.

A credencial digital ou eletrônica é a chave que viabiliza acessos seguros e controlados possibilitando às organizações a determinação do que cada chave é capaz de abrir dando aos seus portadores “alçadas e poderes” individualizados e permitido a rastreabilidade dos acessos e o que efetivamente foi feito durante esse acesso.

As chaves de acesso podem identificar pessoas, empresas, máquinas e softwares e então estabelecem a confiança entre as partes: M2M, P2P, M2P e P2M, respectivamente: máquina a máquina, pessoa a pessoa, máquina a pessoa e pessoa a máquina.

A credencial digital torna-se indispensável para a gestão dos acessos e a troca confiável das informações corporativas.

Como eleger a chave de acesso a ser utilizada?

Diversas tecnologias, em particular ou combinada com outras, podem garantir a identificação no meio eletrônico de forma que a confiança entre as partes seja estabelecida.

O que define o tipo de tecnologia de identificação digital a ser utilizada é o grau de criticidade exigido em cada circunstância.

São muitas variáveis a serem consideradas e sempre o bom senso vai prevalecer em relação ao uso da tecnologia de identificação digital. Os riscos que envolvem os acessos serão os grandes balizadores da força da credencial eletrônica a ser utilizada.

Em um centro de operações de uma usina nuclear a credencial de acesso precisa ser muito mais robusta que a chave utilizada para acesso a uma academia de esportes.

Uma credencial forte deve garantir algumas evidências como autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade que possibilite a rastreabilidade dos acessos.

Existem diversas alternativas tecnológicas para chaves de acesso e a seguir não relaciono todas, mas algumas apenas.

Certificação digital

Certificados digitais não são todos iguais. Existem diferenças entre os certificados digitais de acordo com as regras de validação de identidade utilizadas para atrelar a chave criptográfica a seu titular. Tecnicamente todos certificados digitais seguem o padrão X.509, mas podemos resumir e dizer o que difere um certificado do outro são os OIDs e a hierarquia de confiança a que pertence. OID (Object Identifier) é uma extensão das informações contidas em certificados X. 509 que é composto de diversos campos. Por seus requisitos técnicos, regulatórios e processuais o certificado digital é a credencial de autenticação mais robusta disponível mundialmente.

O certificado digital é a única tecnologia que a mesma chave – identidade eletrônica, eID – identifica o titular e faz a criptografia dos dados.

A certificação digital é baseada em cálculos matemáticos e trabalha com um par de chaves único para cada titular. O par de chaves é formado por uma chave pública e outra chave privada que só combinadas entre si funcionam. Nem mesmo a Autoridade Certificadora que emitiu o certificado possui a chave privada e seu acesso é restrito ao titular.

Certificado de atributos

Esse é um certificado que diferente do certificado digital porque não possui a chave pública e, por tanto, tem sua aplicação de uso bem diferente dos certificados digitais. É na verdade um recurso fantástico que deveria ser mais entendido e utilizado pelas empresas. Temos no Crypto ID muitos artigos sobre esse tipo de tecnologia e vale a pena conferir.

Biometria

Os dados biométricos podem se apresentar de diversas formas.  Por exemplo, a biometria das digitais, a espacial que pode ser o formato das mãos ou orelhas, as auditivas, olfativas, químico e até mesmo a de DNA que é a identificação de um indivíduo usando a análise de segmentos do DNA Leia o artigo que escrevi sobre isso em 2019 que é bem completo –  A explosão mundial da Biometria.

Dados Biográficos

A combinação de um conjunto de informações podem identificar um pessoa gerando a chave de autenticação. Um bom exemplo disso foi o que nós brasileiros experimentamos ao emitir o e-Título nessas ultimas eleições.

Existem ainda muitos outros recursos de tecnologia que relacionam uma determinada chave de acesso a seu titular.  

Muito importante ressaltar que nome/senha não é um recurso seguro para ser considerado como uma chave de acesso. Login/senha é uma forma de autenticação totalmente ultrapassada e expõe seus usuários e as empresas a riscos desnecessários nos dias de hoje. Assim como não é nada seguro quando o “segredo” é armazenado em um banco de dados custodiado por uma das partes envolvidas.

Os diversos tipos de chaves de autenticação já seria o tema para outro um artigo. Aqui tive a intensão de colocar o quanto as chaves de acessos são importantes para a proteção do perímetro da tecnologia da informação e destacar que escolha dessa chave requer estudo em relação a tecnologia e a correta avaliação dos riscos envolvidos.

Identidade Digital

O Crypto ID reúne as principais notícias e artigos sobre as diversas  tecnologias que identificam no meio eletrônico pessoas, empresas, equipamentos, aplicações e softwares.

Confira a coluna Identidade Digital.

Entenda o Universo dos Certificados de Atributo

Em tempo de mobilidade extrema e home office, como controlar o perímetro de segurança da empresa? Ouça

A identidade é o novo perímetro

Gartner divulga as 10 principais tendências tecnológicas para Governos em 2021