Inteligência e tecnologia são essenciais para garantir a segurança de acessos corporativos

Inteligência e tecnologia são essenciais para garantir a segurança de acessos corporativos

Na medida que o mundo vai se tornando mais digital, as empresas também precisam evoluir suas estruturas para responder aos novos desafios, principalmente em termos de segurança e acessos. Ao mesmo tempo, o momento atual repleto de contingências e novas exigências regulatórias decorrentes da LGPD requerem medidas complementares para mitigar riscos e garantir a privacidade de dados, enquanto cresce a demanda por melhor usabilidade e facilidade de acesso. 

Encontrar o equilíbrio entre os dois extremos é um desafio possível, segundo Sérgio Muniz, VP de Vendas para Identity and Access Management LATAM da Thales, que compartilhou algumas percepções sobre aspectos da transformação digital, tendências do momento e boas práticas para mitigar vulnerabilidades.

  1. A era de transformação digital está fazendo com que muitas empresas migrem seus sistemas internos/ legados, ou parte deles, para a nuvem. Como essa mudança impacta os negócios?

Eu vejo dois resultados para esse caminho no sentido de serviços na nuvem. O primeiro é que a única forma de competir diante do mundo em Transformação Digital é ter velocidade e escalabilidade. O novo cenário exige isso, em contrapartida à realidade que tínhamos no dito “conceito tradicional”, em que era necessário abrir um projeto, instalar um servidor em um Data Center e contratar um software específico. Talvez algumas empresas ainda vivam essa realidade, mas está deixando de ser aderente à velocidade que o mercado digital vem exigindo. O segundo resultado é que, ao migrar para a nuvem, abrem-se diversos pontos de vulnerabilidade. As empresas saem de um ambiente supostamente controlado para uma fronteira desconhecida. 

Basta pensar como era há 30 anos, em que as empresas tinham uma sala de servidores, na qual o ambiente físico e lógico coincidiam. Logo, a fronteira de perímetro era totalmente conhecida, viabilizando a proteção de acesso. Depois, evoluíram ao conceito de Data Centers, entregando a confiança a seu provedor de serviços, mas seguindo em um ambiente controlado, com identificação física associada a identificação lógica. 

Quando passam ao conceito de nuvem, há uma desconstrução do perímetro e não é mais possível saber exatamente onde os dados estão alocados, já que passam a ficar dispersos em diversos pontos ao redor do mundo, e não mais dentro de uma empresa fisicamente. Com isso, abrem-se novos pontos de vulnerabilidades que têm que ser cuidados com uma nova ótica. Não se trata de uma dinâmica pior ou melhor, mas de problemas diferentes que precisam ser endereçados de maneira diferente.

  1. Quais são os principais desafios das empresas, em termos de segurança, para gerenciar ambientes híbridos?

O principal desafio diz respeito ao gerenciamento das questões contemporâneas com soluções adequadas. No passado, tínhamos problemas com definições claras, que diziam respeito a como proteger os acessos ao perímetro e sistemas da empresa, que contavam com fronteiras muito bem definidas. Agora, estamos diante de um novo ambiente, no qual parte dos sistemas estão na nuvem e parte no ambiente legado interno (como sala de servidores ou datacenters), por trás de uma VPN ou firewall que protegem a rede. 

Com isso, os desafios e pontos de vulnerabilidade são diferentes. Não se trata de cuidar apenas do ambiente que está por trás da rede conhecida da companhia, já que muitas vezes, o usuário nem precisa entrar na rede da empresa para acessar determinados sistemas, como Office 365 ou SalesForce, que são externos. É aí que entra do desafio: cuidar da gestão de acesso com ferramentas mais amigáveis ao usuário e que permitam o controle efetivo nas diferentes aplicações, mesmo diante de um perímetro híbrido e do atual momento de aceleração ao acesso remoto.

  1. Falando neste contexto de contingência global, como isso impacta nas operações das empresas quando o assunto é cibersegurança?

Estamos diante de um cenário que tem feito repensar muitas coisas, reinventar negócios e acelerar a adoção ou implementação do home office em muitos dos negócios. E esse caminho pode ser trilhado de forma segura, tomando as medidas necessárias para o controle eficaz dos acessos.

O que é preciso ter em mente é que não se deve seguir com uma visão do passado para solucionar problemas do presente. Soluções do passado não são as mais adequadas para o ambiente híbrido atual. Com esses saltos de exponencialização do trabalho remoto, é importante buscar soluções que enderecem tanto questões anteriores (VPN e firewall existentes), quanto as novas (controle de acesso a aplicações na nuvem).

Outra preocupação que tem permeado bastante os profissionais de segurança – e também C-Levels – é como controlar acessos remotos de diferentes perfis a aplicações da empresa com diferentes níveis de criticidade. Diante disso, a consolidação do acesso deve ser feita seguindo duas premissas: a primeira é a segurança eficaz, com controle efetivo e otimizado, para rapidamente ter poder de reação e bloqueio imediato de acesso indevido ou ataque cibernético. 

A segunda é entregar uma possibilidade de acesso aos funcionários e terceiros de forma amigável, pois não dá para conviver com uma senha ou tokens diferentes para cada acesso ou recorrentes solicitações de senhas, que geram custo enorme para empresas. Então, a saída é entregar acessos eficientes e amigáveis e que, ao mesmo tempo, permitam controle e bloqueio, ou solicitação de autenticação adicional, quando identificada alguma ameaça. 

  1. A LGPD determina uma série de exigências para mitigar ou reduzir a superfície de ataques. Como as empresas devem se preparar frente a essas exigências?

Quando olhamos para as empresas que já estavam preocupadas com as violações de dados e pontos de vulnerabilidade neste contexto híbrido, de muitas aplicações em nuvem, o que observamos na lei são boas práticas e o contexto da autoridade nacional para punir os desvios. A LGPD pensa na ótica de privacidade de dados do consumidor e entende que não existe risco zero, mas que há ferramentas capazes de mitigar riscos, portanto é importante mostrar à autoridade nacional o que está implementado neste sentido. 

A meu ver há, basicamente, dois caminhos que precisam ser avaliados: 1. Como a empresa protege dados? Que diz respeito à anonimização dos dados e uso inteligente de criptografia para dificultar o acesso de hackers às informações. 2. Como a empresa faz o controle do acesso a este dado? Que diz respeito à gestão de acesso, que vai além da autenticação robusta, inclusive sem senha, seguindo a tendência “passwordless”, porém com a segurança adequada, que considera uma série de variáveis e diferentes perfis.

Tais implementações, que olham para a segurança de acesso e usabilidade, demonstram claramente à autoridade nacional que os cuidados estão sendo tomados e que as ferramentas para mitigar riscos de violação de dados foram implementadas, gerando valor para a empresa e acionistas diante da LGPD.

  1. Quais são as melhores práticas de gerenciamento do acesso seguro do usuário a aplicativos corporativos?

Destaco três conceitos que são vistos como tendências neste universo:

  1. Passwordless: é possível ter uma segurança efetiva sem senha para controlar acesso a sistemas de uma forma amigável, utilizando uma autenticação de multi-fator em substituição à senha;
  2. Zero Trust: não confie em ninguém ou em nenhum acesso, visto que o hacker costuma assumir credenciais de algum usuário válido, normalmente um usuário privilegiado;
  3. Logon único inteligente: o Smart SSO consiste em uma combinação entre o single sign on e a granularidade das políticas de acesso, com possibilidade de definir aplicações críticas de acordo com diferentes perfis de usuários. Deixa de ser um sign on estático para ser dinâmico, com regras, endereçamento de variáveis e controle robusto.
  1. É comum a associação entre melhoria da segurança com usabilidade dificultada. Na sua opinião, é possível aliar recursos aprimorados de segurança à uma melhor experiência do usuário? 

Antigamente, o balanço era muito mais complexo do que atualmente. Entre segurança e usabilidade existe um conflito e é preciso achar um meio termo, mas com as ferramentas que temos atualmente, as lacunas já não são tão acentuadas. É possível alcançar um balanço de segurança efetiva e boa usualidade, já com o conceito de retirada da senha. 
Caso queira saber mais sobre o assunto, a Thales realizará um webinar intitulado “Estudo sobre Gerenciamento de Acesso Seguro no Brasil em 2020” no dia 16 de julho às 11h. O webinar marcará o lançamento do Estudo em Português e abordará as estatísticas mais importantes da pesquisa e aspectos sobre a gestão de acesso seguro para superar os desafios atuais. Para participar, registre-se aqui.

Compartilhe

Notícias relacionadas

Blog
Mudança na natureza jurídica da ANPD fortalece aplicação da LGPD
Por Edilma Rodrigues A Medida Provisória (MPV) nº 1.124, de 13 de junho de 2022 assinada pelo...
Blog
Mercado Pago usa tecnologia de segurança da Mastercard para criptos
A carteira digital do Mercado Livre, o Mercado Pago, vai usar
Blog
Ant Group lança banco digital para micro, pequenas e médias empresas em Singapura
O ANEXT Bank, banco digital de atacado de Singapura e parte do Ant Group, anunciou...
Blog
Cetelem vai reduzir 6 mil toneladas de CO² com emissão de cartões reciclados
O Banco Cetelem Brasil emitiu cerca de 370 mil cartões de plástico reciclado, desde o...

Assine o CANTAnews

Não perca a oportunidade de saber todas as atualizações do mercado, diretamente no seu e-mail

plugins premium WordPress
Scroll to Top