Implementando com sucesso uma estrutura de identidade digital. Por David Mahdi, CSO e CISO da Sectigo
9 de setembro de 2022À medida que uma quantidade crescente de informações pessoais e críticas de negócios está disponível on-line, são necessárias disposições mais rígidas para garantir que os dados confidenciais sejam protegidos corretamente.
Por David Mahdi, CSO e Consultor CISO, Sectigo
Um movimento crescente entre os órgãos governamentais é a adoção de uma estrutura de identidade digital que permite aos usuários fornecer formas alternativas de autorização de segurança para acessar serviços importantes, como bancos ou registros médicos.
Isso envolve a criação de um processo e estrutura de identidade digital que pode ser usado como complemento e, em alguns casos, como alternativa a documentos físicos, como passaportes ou carteiras de identidade.
Este processo de certificação permite que empresas e usuários se comprovem dentro das regras da estrutura de confiança.
Os benefícios disso são notáveis; ele alivia o fardo dos consumidores, reduz os atrasos em qualquer processo de transferência e, crucialmente, ajuda a reduzir o risco de fraude e crime cibernético.
O governo do Reino Unido estabeleceu sua própria pesquisa para estabelecer uma estrutura de identidade digital, enquanto a França deve lançar seu aplicativo móvel de verificação digital emitido pelo governo. Para garantir que essas estruturas não sejam apenas operacionais, mas também bem-sucedidas, há várias considerações.
O tecido de um quadro
Quando se trata de qualquer estrutura de confiança, a estrutura pode ser uma de duas coisas. Ou é centralizado, como uma rede de cartão de crédito com um operador central, ou descentralizado, como uma rede baseada em blockchain de alta garantia. Por exemplo, veja a rede de identidade digital do Canadá, verificada.me, que os cidadãos podem usar para acessar os serviços do governo.
O Canadá foi um dos primeiros a adotar as tecnologias blockchain para ajudar ainda mais a melhorar a privacidade e os controles de dados para os cidadãos.
Como isso funciona é, por exemplo, quando alguém abre uma carteira digital para fazer uma transação e essa pessoa seleciona banco e vários fatores de identificação, o framework verificará se todos esses fatores atendem aos requisitos para acessar determinadas contas ou informações. Isso tudo sem que o usuário precise se envolver, sabendo que seus dados permanecem seguros durante toda a jornada da transação.
É importante examinar exemplos já estabelecidos e existentes de estruturas de identidade digital para aprender as melhores práticas. Além do Canadá, há vários países implementando com sucesso suas próprias estruturas que podem atuar como luzes orientadoras das melhores práticas, mas também destacam armadilhas a serem evitadas. Os nórdicos, por exemplo, têm usado BankIDs. Isso ajuda a facilitar os negócios digitais nos países escandinavos.
Embora esses casos especificamente ainda não resolvam completamente os problemas que se propõem a resolver, eles são os mais maduros nessa jornada. Eles também ajudam a agir como evidência para o processo passo a passo real de construção de uma estrutura.
Os blocos de construção da estrutura
As etapas envolvidas no processo de desenvolvimento de um sistema ou estrutura de identidade digital são duplas. A primeira é a tecnologia e a segunda são as pessoas que vão compor o framework.
Do ponto de vista tecnológico, o software completo, o hardware e a pilha de conectividade precisarão ser alinhados. Isso exige que várias partes estejam na mesma página, incluindo os fabricantes de dispositivos, os provedores de sistema operacional, bem como os provedores de soluções de identidade. Tudo com vista à abertura e interoperabilidade; que está aproveitando os padrões abertos que permitem a máxima interoperabilidade.
Além disso, e talvez o mais crítico, há o alinhamento não técnico, esclarecendo quem administra os sistemas e quem possui quais partes. Isso é particularmente importante nos casos em que há problemas logísticos, como uma violação. Embora a tecnologia esteja disponível há algum tempo, na maioria das vezes, os aspectos não técnicos são o que impedem governos e outras partes de adotar essas iniciativas. Isso porque o maior desafio é garantir que haja confiança nessa estrutura, ou ninguém a usará.
Enraizando uma estrutura em confiança
Quando se trata de implementar uma estrutura digital para garantir a segurança das identidades, o principal fator a considerar é a própria confiança. Isso significa que o controle do usuário é fundamental ao decidir quais identidades digitais eles desejarão usar em qualquer processo transacional. Para garantir que os usuários estejam no controle de seus dados, o primeiro passo é estabelecer essa estrutura confiável que é respaldada por políticas e pelo governo.
Antes de se comprometer com esta estrutura, os usuários devem ter certeza durante todo o processo de que qualquer instituição que autorize a transação (como bancos), não precisa armazenar seus dados. Em vez disso, eles podem usar uma marca de verificação criptográfica da rede. Isso dá aos usuários confiança nas plataformas que estão usando, ao mesmo tempo em que melhora a jornada geral do usuário. O objetivo aqui é promovido reduzindo o atrito no processo e permitindo a continuação de um negócio de sucesso.
No entanto, embora seja importante que a estrutura seja confiável, ela não pode ser tratada como um sistema sem falhas. Devemos sempre tentar e verificá-lo. Ao olhar para software e hardware, a confiança pode ser corroída a qualquer momento e em qualquer camada da estrutura. Isso pode ser devido a uma falha do sistema, erro administrativo ou um ataque cibernético. Portanto, a confiança nunca pode ser totalmente assumida.
Além disso, embora esses riscos sejam conhecidos, os riscos desconhecidos representam um sério perigo. À medida que avançamos no mundo digital, é muito provável que sejam criadas novas ameaças que não existem hoje. Portanto, é vital, ao estabelecer a confiança digital, que pré-determinemos os riscos conhecidos de hoje, ao mesmo tempo em que antecipamos possíveis ameaças e criamos estratégias para mitigá-las com princípios de segurança que priorizam a identidade.
É muito provável que nos próximos 10 anos nossas identidades sejam cada vez mais digitais. Para se preparar para isso, governos e empresas devem reconhecer a necessidade e o benefício de criar um sistema ou estrutura de identidade digital.
Os usuários devem ter a opção de usar ou não o sistema, principalmente aqueles que preferem ter opções não digitais. Seja centralizado ou descentralizado, para ter uma estrutura bem-sucedida, todos devem antecipar diferentes níveis de confiabilidade e responsabilidade.
Sobre o autor
David Mahdi é CSO e CISO Advisor na empresa de certificação/PKI Sectigo. Ex-vice-presidente de pesquisa do Gartner, visionário de identidade, criptografia e segurança cibernética, o Sr. Mahdi é um pioneiro reconhecido no setor.
Fonte: biometric up date
Como a tecnologia blockchain pode construir confiança? Publicado por ICAEW
O tema Blockchain tem uma coluna especial no Crypto ID. Acesse aqui e acompanhe tudo relacionado a segurança digital com foco em identificação digital, mobilidade e documentos eletrônicos aplicados a esse universo. Aproveita e dá uma olhada na coluna sobre Criptomoedas, Criptoativos e Tokenização.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.