Em empresas e organizações governamentais em todo o mundo, as
equipes de segurança cibernética precisam reforçar suas defesas. De
acordo com o Relatório de violação de dados de 2021 do Identity Theft
Resource Center, as organizações relataram mais violações de dados
em 2021 (1.862) do que nunca. Combinado com a crescente audácia
dos ataques de ransomware e a ameaça de ataques de organizações
patrocinadas pelo Estado ,corporações e governos têm boas razões
para se preocupar com a segurança de sua infraestrutura e ativos
sensíveis.
Ironicamente, muitos líderes de segurança corporativa já têm a
solução para seus problemas na palma da mão. Smartphones
populares como o iPhone 13 da Apple usam atributos biométricos
como Face ID e digitalização de impressões digitais para confirmar a
identidade do usuário. Esses dispositivos de consumo — amplamente
adotados em todos os cantos do globo — apontam para o futuro da
segurança cibernética corporativa. Relatório de acesso à infraestrutura
de 2021 da Teleport descobriu que 70% das empresas ainda usam
senhas para conceder acesso à sua infraestrutura — o método de
segurança mais comum implantado pelos entrevistados. Se
ferramentas biométricas como o Face ID da Apple podem ser
comparadas a uma chave que só pode ser usada por seu dono, o acesso
baseado em senha é como deixar a chave debaixo do capacho e depois
esquecê-la até chegar em casa e descobrir que sua TV foi roubado.
O problema com senhas
Em um nível fundamental, as arquiteturas baseadas em senha exigem
que cada usuário mantenha um segredo. Cada usuário recebe (ou
escolhe) um conjunto de credenciais e a segurança do sistema
depende da diligência de cada usuário em manter um bom
comportamento com essas credenciais. Se eles compartilharem sua
senha com outra pessoa, armazenarem sua senha em um local
vulnerável, como um aplicativo Notes não criptografado, ou até
mesmo escolherem uma senha comum que possa ser facilmente
adivinhada, eles efetivamente forneceram aos mal-intencionados uma
abertura para acessar o sistema e, em seguida, pivô para áreas mais
valiosas. O que sabemos agora sobre o comportamento humano é que
não é realista esperar que cada pessoa que usa um sistema mantenha
uma boa higiene de senha. Senhas e outras formas de segredos não
são dimensionáveis. À medida que as organizações crescem, a
probabilidade de um humano cometer um erro inevitavelmente
aumenta a níveis inaceitáveis. Um relatório recente compilado pela
empresa de segurança de e-mail Tessian e pelo professor da
Universidade de Stanford, Jeff Hancock, descobriu que “43% das
pessoas cometeram erros no trabalho que comprometeram a
segurança cibernética”. Se você estiver em um escritório agora, dê
uma olhada: quase metade das pessoas na sala provavelmente
cometerá o tipo de erro simples que pode levar a uma violação
perigosa.
Novamente, a ironia aqui é que todos os colegas de trabalho que
podem deixar seus sistemas vulneráveis provavelmente têm uma
solução de segurança cibernética mais forte no bolso ou na mesa.
Temos a solução para acesso seguro à infraestrutura, então por que
não a usamos?
Uma melhor definição de identidade
Para alinhar a segurança cibernética corporativa com o estado da arte
em dispositivos de consumo, precisamos reconsiderar a maneira como
definimos “identidade” no gerenciamento de acesso. Embora as
gerações anteriores possam ter considerado credenciais ou
pseudônimos como uma forma de identidade, a realidade é que eram
apenas segredos. Nome do seu email não são sua identidade. A
verdadeira identidade consiste nos atributos físicos que me tornam
quem eu sou – minhas impressões digitais, meus globos oculares,
minha estrutura facial – e isso não pode ser perdido ou roubado.
Em um ambiente corporativo, o gerenciamento seguro de identidade e
acesso deve seguir estas três etapas:
● Primeiro, a organização deve abandonar os segredos e, em vez disso,
usar traços biométricos para estabelecer a identidade de cada usuário.
Quando o acesso é protegido por dois fatores físicos, como leitura de
impressão digital e reconhecimento facial, torna-se quase impossível
que a identidade de um usuário seja perdida, roubada ou mesmo
compartilhada.
● Em segundo lugar, a organização deve emitir uma identidade para
as várias máquinas e aplicativos que podem acessar sua
infraestrutura. De que adianta ter uma identidade segura para um
usuário humano se seu laptop ou telefone pode simplesmente acessar
a rede sem precisar provar sua identidade? Os dispositivos modernos
são construídos com um Trusted Platform Module (TPM), um chip
que está em conformidade com os padrões internacionais de
segurança cibernética e pode proteger o hardware com chaves
criptográficas. Ao conectar a identidade de cada dispositivo ao seu
TPM individual, uma organização pode validar se esse dispositivo
deve ou não acessar sua infraestrutura.
● Finalmente, cada identidade humana deve estar vinculada à
identidade de seu dispositivo ou dispositivos. Cada vez que um
usuário deseja acessar parte da arquitetura da empresa, ele será
forçado a validar sua própria identidade, bem como a identidade de
seu dispositivo, criando um protocolo de acesso combinado que é
quase impossível de hackear ou roubar.
Esse processo de três etapas finalmente realiza a promessa de
arquiteturas de confiança zero. Os usuários devem provar
constantemente sua identidade para acessar sistemas ou informações
confidenciais, e essa identidade é definida por meio de atributos
físicos inalienáveis. Em nosso novo mundo de forças de trabalho
distribuídas e computação em nuvem, devemos reconhecer a
necessidade de uma solução real de confiança zero. Estabelecer uma
identidade biométrica para cada humano, máquina e aplicativo cria
uma solução hermética e escalável para o futuro do trabalho e da
computação.