O Crypto ID entrevistou Sérgio Muniz, Diretor Executivo da Thales para a América Latina sobre as soluções de Gerenciamento de Acesso à Identidade do Cliente. Nosso entrevistado explicou como o CIAM mitiga os riscos de ataques cibernéticos seguidos de roubo de identidades, roubou de dados e ransomwares. Adicionalmente as soluções CIAM contribuem para a experiência do Cliente.
O roubo de identidade é um crime que vem crescendo nos últimos anos, principalmente no ambiente online.
De acordo com um estudo publicado pela NortonLifeLock em 2023, descobriu que 71% dos brasileiros estão preocupados com o roubo de identidade. O estudo também revelou que 60% dos brasileiros já foram vítimas de um incidente de segurança cibernética.
Também o estudo da EY Future Consumer Index (FCI), aponta que 71% dos consumidores brasileiros que compram online têm muito medo de fraudes e roubos de identidade online e por isso muitas vezes não concluem suas transações.
O roubo de identidade é um crime sério que pode ter um impacto negativo na vida das vítimas e nos negócios das empresas.
Empresas que investem em recursos tecnológicos como o CIAM protegem seus clientes e reduzem seus prejuízos com fraudes abandono de transações e com possíveis sanções em função da LGPD – Lei Geral de Proteção de Dados.
Um estudo da Javelin Strategy & Research, publicado em 2023, estimou que o custo global do roubo de identidade em 2022 foi de US$ 68,9 bilhões. O estudo também revelou que 2,2 milhões de brasileiros foram vítimas de roubo de identidade em 2022, o que representou um aumento de 10% em relação ao ano anterior.
Para se protegerem do roubo de identidade dos clientes, as empresas devem investir em recursos tecnológicos que ajudem a garantir a segurança dos dados dos clientes. Um desses recursos pode ser o controle de identidade e acesso dos clientes. O CIAM – Customer Identity and Access Management gerencia a identidade e o acesso dos clientes.
O CIAM oferece uma série de benefícios como sigilo, segurança e rastreabilidade
Os dados dos clientes sejam em trânsito ou em repouso, ainda podem ser criptografados, garantindo total sigilo. Adicionalmente, o CIAM permite rastrear as atividades dos clientes, o que pode ajudar a identificar atividades suspeitas.
Além dos cuidados com as informações o CIAM melhora a experiência do cliente, oferecendo uma interface simples e intuitiva para o gerenciamento de identidades.
Como o CIAM pode ajudar a combater o roubo de identidade?
O CIAM no combate ao roubo de identidade gera mais segurança e confiança junto aos clientes de várias maneiras quando:
Requer autenticação multifatorial (MFA): a MFA é uma medida de segurança que exige mais de um fator de autenticação, como um token, um código enviado por SMS, certificados digitais, biometria facial ou uma impressão digital.
Utiliza análise de comportamento: o CIAM analisa o comportamento dos clientes para identificar atividades fora do padrão.
Oferece ferramentas de educação para os clientes: o CIAM oferece recursos para que as empresas orientem seus clientes sobre como devem proteger seus dados, pessoais.
A Thales, por exemplo, uma empresa global de tecnologia que fornece soluções de segurança para empresas e governos oferece uma variedade de soluções de CIAM. Para falar sobre CIAM o Crypto ID entrevistou Sérgio Muniz, Diretor Executivo da Thales para a América Latina
A entrevista foi conduzida por Susana Taboas e Regina Tupinambá
Crypto ID: Quais são os principais segmentos de mercado que estão adotando soluções de CIAM e por quê?
Sérgio Muniz: Atualmente todos os segmentos de mercado que estão interagindo digitalmente com seus consumidores, ou mesmo com outras empresas num ecossistema de distribuição ou cadeia de fornecedores, estarão buscando uma solução de CIAM para expandir o controle, possivelmente já implantado na gestão de acesso e identidade corporativa (atualmente em produção para seus funcionários e eventualmente alguns terceiros) até o outro extremo, que são os clientes, passando por diversos outros perfis de identidades acessando suas aplicações e sistemas, sejam de domínio público (aplicações para clientes, portais de distribuidores/pontos de venda, ferramenta de venda/CRM para brokers/agentes de venda ou extranet pra fornecedores) ou de acesso restrito, como aplicações corporativas de uso interno para funcionários.
Crypto ID: Você sente que o crescente número de casos de Ransomwares direcionados às empresas que prestam serviços à população – extremamente críticos se interrompidos – está sendo refletido na adoção de controle de identidade e acesso?
Sérgio Muniz: Com certeza. Os segmentos críticos para a sociedade, tais como hospitais, empresas de energia e entidades governamentais, estão cada vez mais preocupados com os ataques e buscando formas de mitigá-los inicialmente cuidando dos acessos corporativos, mas em seguida buscam planejar o controle dos diferentes perfis de acesso de domínio mais amplo, para um público mais diverso como clientes, terceiros e profissionais temporários, sempre priorizando uma jornada digital amigável e com a segurança adequada para cada cenário de risco através dos diferentes mecanismos de autenticação e criptografia com seus respectivos controles de acesso.
Crypto ID: E as indústrias como um todo tem adotado soluções de controle de acesso?
Sérgio Muniz: Sim. Os últimos anos foram determinantes para essa evolução do mercado e entendemos que o nosso trabalho de evangelização, no Brasil e na América Latina, somado a um contexto favorável aos questionamentos sobre vulnerabilidades e risco, ajudaram bastante. Este contexto está baseado em três pilares:
– Aplicações e sistemas na nuvem, trazendo vulnerabilidades novas, ainda desconhecidas para os times que cuidam da segurança digital corporativa.
– Tendência de trabalho remoto onde a presença física nem sempre será relevante e os acessos a sistemas internos se darão de qualquer lugar do mundo.
– Aumento exponencial dos ataques em qualquer indústria, buscando fraudar não apenas uma transação financeira, mas paralisar uma operação ou filtrar e roubar dados que podem ser comercializados com ganhos extremamente relevantes, para em ambos os casos cobrar um resgate ou extorquir o controlador deste dado.
Crypto ID: Empresas principalmente na área de saúde, finanças, seguros e varejo precisam estabelecer uma relação de confiança, caso contrário seus clientes não concluem as transações. Quais são as principais características do CIAM que geram mais segurança e confiança para os clientes?
Sérgio Muniz: Um ponto importante e bastante alinhado com a nossa lei geral de proteção de dados é exigir o mínimo de informação possível para cada passo dessas transações digitais até que elas sejam concluídas. Eventualmente muitas empresas no varejo ou até mesmo os bancos, as seguradoras e hospitais pedem muita informação além do que efetivamengte necessitam para realizar uma transação com um determinado cliente e isso gera potencialmente dois grandes ofensores:
– Jornada mais invasiva para o cliente, o que pode levar a uma desistência da compra ou busca pela informação, e num extremo perda do cliente;
– Mais investimentos nos mecanismos de proteção destes dados como criptografia de dados sensíveis e controles dos acessos aos mesmos. Quanto maior o volume de dados armazenado, mais complexo e mais caro serão as ferramentas de controle.
Sérgio Muniz: Peça apenas os dados estritamente necessários e para fortalecer ainda mais a confiança do mercado na sua marca, seja claro na solicitação de consentimento do dado, investindo em paralelo na proteção dele. O simples fato de uma seguradora informar ao cliente que os dados do seu automóvel serão utilizados única e exclusivamente para uma cotação de seguro e não para empresas anunciantes de serviços ou acessórios daquele veículo (se não for do interesse dele) já traz naturalmente uma sensação de cuidado e tranquilidade, gerando uma prova do uso devido de um dado sensível, e por outro lado uma expectativa de que a sua informação como cliente estará protegida pela mesma empresa de seguro. É um tema de percepção e credibilidade que devem ser respaldados pelos mecanismos de controle.
Crypto ID: Como as soluções de CIAM da Thales utilizam a análise de comportamento para identificar atividades fora do padrão?
Sérgio Muniz: Os conceitos de análise de risco e comportamento cresceram muito nos últimos anos. Existem diversos recursos que podem ser integrados a uma solução de CIAM, como por exemplo a biometria comportamental, também disponibilizada pela Thales, entretanto uma solução de CIAM vai requerer um mínimo de análise para identificar potenciais ataques de bots/máquinas e mesmo de inteligência artificial, e não necessariamente interromper abruptamente a interação com estes recursos fraudulentos (porque eles vão tentar novamente de outras formas e infinitas vezes). Se por outro lado, simulamos a entrega da informação que está sendo solicitada ou fraudada, buscando rastrear de forma mais eficiente as características do atacante (origem, IP, tipo de ataque…) podemos gerar uma ação mais efetiva a essa tentativa de ataque. Este é um dos cenários que estamos explorando atualmente em nossa lista de melhorias da nossa oferta, mas sempre tento lembrar ao mercado que o nosso momento na América Latina requer prioritariamente a adoção dos recursos mais básicos e eficazes para mitigação de riscos de ataques, tornando as experiências digitais mais robustas e mais agradáveis, algo paradoxal há alguns anos, mas perfeitamente possível atualmente.
Crypto ID: Como as empresas lidam com a autenticação multifatorial (MFA) e quais opções de identificação digital estão disponíveis para os usuários em suas soluções?
Sérgio Muniz: O mercado evoluiu bastante em relação à necessidade (eu diria quase uma obrigatoriedade) do uso do MFA para os acessos corporativos e o uso do token (“o que eu tenho em meu poder”) combinado com a biometria (“quem eu sou”) pode perfeitamente substituir o uso da senha (“o que eu sei”) e ainda assim melhorar a robustez e a experiência no processo de autenticação. E isso se reflete no CIAM, com portais e aplicações de domínio menos restrito e eventualmente público, onde as autenticações podem ser muito mais amigáveis dependendo do caso de uso, como por exemplo com o uso de “social login” (o famoso login das redes sociais, como Facebook, Google ou Apple) para uma primeira abordagem com um consumidor, e que seria, e continua sendo, proibitivo para um acesso corporativo de um funcionário, mesmo que seja para a sua aplicação de e-mail. Atualmente são infinitos “sabores” (ou formatos possíveis) para uma autenticação adequada a cada cenário.
Crypto ID: Você poderia nos dar um exemplo de como o CIAM da Thales melhorou a experiência do cliente para uma empresa?
Sérgio Muniz: Um dos melhores exemplos está em nossa inteligência de delegação que vai um pouco além do CIAM, e vem sendo reiterada pelo Gartner, Kuppinger Cole e outras respeitadas instituições em seus reportes sobre gestão de acesso de acesso e identidades. Eles qualificam a delegação como uma funcionalidade Business-to-Business que permite às seguradoras por exemplo delegarem acessos e permissões ao seu ecossistema de brokers em seus diferentes perfis de identidades (vendedores acessando ferramentas de cotações e pedidos ou financeiros acessando o controle de recebíveis) e além disso proporcionam também a um cliente, titular de um seguro, delegar a seus dependentes (esposo/a, filhos/as…) acessos específicos para suas atividades (marcação de consultas, agendamento de testes laboratoriais etc). Definitivamente a indústria de seguros vem se beneficiando há alguns anos destas funcionalidades e temos muitos clientes seguradoras na Europa. Entretanto diversas empresas na América Latina, do mercado de seguros ou não, estão bastante interessadas em nossa oferta porque este conceito de delegação familiar ou delegação e atribuições de responsabilidades se faz necessário em diferentes indústrias, especialmente no momento de transformação digital e indústria 4.0.
Crypto ID: Se tratando de orientação aos clientes, você poderia falar mais sobre as ferramentas de educação?
Sérgio Muniz: Cada vez mais é importante conscientizar os usuários, clientes ou funcionários, sobre o risco de um phishing, de uma tentativa de autenticação a algum sistema não autorizado, da importância de não compartilhar credenciais e diversas outras atitudes que nos levam a vulnerabilidades importantes. As ferramentas de educação precisam continuar estimulando o aprendizado dos funcionários com simulações e jogos principalmente com o advento e os riscos da inteligência artificial. Uma estratégia de segurança cibernética efetiva precisa necessariamente incluir as pessoas (educação e treinamento) como parte integrante de seu plano. E quiz, gaming, vídeos e uso de redes sociais definitivamente são recursos mais lúdicos para engajar as pessoas.
Crypto ID: Para terminar como as soluções da Plataforma de Identidade da Thales OneWelcome ajudam as empresas a cumprirem com a LGPD – Lei Geral de Proteção de Dados?
Sérgio Muniz: Como respondemos anteriormente, um grande diferencial da nossa plataforma de Identidade Thales OneWelcome é a gestão de consentimento e a delegação de responsabilidades e atribuições que permite um fluxo de acessos totalmente aderente a nossa Lei Geral de proteção e dados no Brasil no que tange as identidades e seus respectivos dados. E quando falamos da força de trabalho, em um domínio mais restrito com a gestão de acesso corporativa o nosso Safenet Trusted Access vem auxiliando desafios importantes do mercado para dar o acesso devido aos dados pelas pessoas corretas da forma adequanda e no momento certo, o que é uma das premissas da LGDP em seu conceito de minimização. Temos vários exemplos no mercado brasileiro, inclusive já explorados em em entrevista conjunta com a Crypto ID. O caso de CIAM com a plataforma de Identidade Thales OneWelcome será bem similar muito em breve.
Acompanhe o Crypto ID para conhecer as melhores soluções sobre IAM – Gerenciamento de Identidade e Acesso e CIAM – Gerenciamento de Acesso à Identidade do Cliente. Acesse nossa coluna aqui!
Varejistas confiam na tecnologia CIAM para converter visitantes sazonais em compradores regulares
Thales discute soberania digital e criptografia quântica em palestra no Mind The Sec, em São Paulo
Sobre a Thales
A Thales (Euronext Paris: HO) é líder global em tecnologias avançadas especializadas em três domínios de negócios: Defesa e Segurança, Aeronáutica e Espaço e Segurança Cibernética e Identidade Digital. Ela desenvolve produtos e soluções que ajudam a tornar o mundo mais seguro, mais verde e mais inclusivo. O Grupo investe perto de € 4 bilhões por ano em Pesquisa e Desenvolvimento, particularmente em áreas-chave de inovação, como IA, segurança cibernética, tecnologias quânticas, tecnologias de nuvem e 6G. A Thales tem perto de 81.000 funcionários em 68 países. Em 2023, o Grupo gerou vendas de € 18,4 bilhões.
Leia outros artigos da Thales aqui no Crypto ID!
O Crypto ID reúne as principais notícias e artigos sobre as diversas tecnologias que identificam, no meio eletrônico, pessoas, empresas, equipamentos, aplicações e softwares. São artigos do Brasil e do Mundo, afinal, identidade digital é parte do nosso nome! Confira a coluna Identidade Civil e Digital.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!