Identidades digitais e eletrônicas em alta traz oportunidades para o setor de segurança da informação
23 de julho de 2020Com as adversidades surgidas durante a pandemia mundial causada pelo COVID-19, muitas empresas brasileiras sofreram significativos impactos em seus negócios por não estarem preparadas para a operação por meios digitais em que as identidades digitais e eletrônicas são fundamentais.
Por Regina Tupinambá
Empresas que já utilizavam processos eletrônicos e trabalhavam com eIDs – Identidades Eletrônicas, tiveram menos problemas para contornar as adversidades causadas pela pandemia mundial.
As identidades eletrônicas são utilizadas para a identificação dos empregados, fornecedores externos, parceiros e clientes para acesso aos diversos aplicativos utilizados na empresa e para assinarem documentos possibilitando o já tão falado trabalho remoto, sem expor as empresas a acessos da comunicação corporativa por terceiros não autorizados.
Não é mais concebível que as empresas continuem a tocar seus negócios utilizando, de alguma forma, o meio eletrônico sem que estejam preparados para esse universo que é arrebatador.
A tecnologia computacional, indiscutivelmente, traz agilidade para a rotina das pessoas, agrega uma série de facilidades e benefícios para pessoas e empresas, mas por outro lado, pode ser muito perversa e aniquilar empresas independente dos seus portes, caso não sigam as boas práticas de segurança da informação.
O isolamento social forçou as empresas a trabalharem em home office e criou um novo modelo que exige o uso de ferramentas que possibilitem a mobilidade das pessoas, disponibilidade de acesso, revisão de SLAs e recursos que identifiquem pessoas e as próprias empresas com o devido e necessário sigilo das comunicações.
As empresas nesse momento de pandemia tiveram que implementar projetos de segurança da informação às pressas e fazer em três meses o que levariam três anos se considerarmos o ritmo com que estavam habituados a tocar esses projeto.
Muito embora desconfiamos que a “ficha” ainda não caiu para a maioria das empresas de que suas informações estratégicas possam estar sendo acessadas e utilizadas por terceiros para fins escusos porque o roubo de informações não é simples de ser detectado se a empresa não se prepara para esse tipo de monitoramento.
As novas eIDs. Não tão novas assim!
O tema das identidades eletrônicas colocado em foco pela MP 983, traz então novas oportunidades para a indústria da segurança da informação, em especial, para fornecedores de identificação digital, consultorias especializadas e desenvolvedores de softwares de gestão de identidades.
A Medida Provisória 983 editada pelo governo brasileiro, em 16 de junho de 2020, determina como as organizações públicas brasileiras, federal, estaduais e municipais devem utilizar as eIDs.
Os certificados digitais ICP-Brasil, classificado na MP como instrumentos para produção da assinatura qualificada, servem para gerar evidências como autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade o que garante o não repúdio aos atos documentados em meio eletrônico, no entanto, não é o único recurso disponível para auxiliar as empresas a se tornarem mais digitais para a garantia de sua sobrevivência.
Nessa MP, o governo brasileiro reconhece e destaca três tipos de assinaturas: simples, avançada e qualificada.
O governo brasileiro se baseou para determinar os três tipos de assinatura eletrônica na regulação eIDAS (electronic Identification, Authentication and Trust Services) e Dr. Fabiano Menke compara a MP 983 com a Medida provisória 2.200 e a semelhança com a eIDAS no artigo publicado no Crypto ID.
eIDAS é o regulamento da União Europeia sobre identificação eletrônica e serviços de confiança para as transações eletrônicas no mercado único europeu que substituiu a Diretiva 1999/93 /CE.
Como os tipos de assinaturas eletrônicas são classificadas na eIDAS
Assinatura eletrônica avançada ou advanced electronic signature – AdES, é aquela que atende ao conjunto dos seguintes requisitos:
- Apresentar uma forma de identificação exclusiva que vincula a assinatura produzida ao seu signatário
- O signatário precisa ter o controle exclusivo dos dados usados para criar a assinatura eletrônica
- O titular da assinatura avançada deve ser capaz de identificar se os dados que acompanham a mensagem foram violados após serem assinados e se os dados assinados foram alterados, a assinatura deve ser marcada como inválida.
- Deve existir uma forma de assinatura eletrônica apresentar uma prova eletrônica que confirme a identidade do signatário e vincule os dados de validação da assinatura eletrônica a essa pessoa.
Assinatura eletrônica qualificada é a assinatura eletrônica avançada criada por um dispositivo com o uso de um certificado digital qualificado, emitido por um provedor de serviços de confiança qualificado, parte integrante de uma PKI – Public Key Infrastructure, em português ICP – Infraestrutura de Chaves Públicas.
Dois tipos de assinatura, segundo a MP 983, além da qualificada
A medida provisória cria dois tipos de assinatura eletrônica de documentos: a simples, destinada a transações de baixo risco, como requerimentos de informação, marcação de perícias e consultas médicas; e a assinatura avançada, destinada a transações que envolvam as informações sensíveis.
O atual sistema de assinaturas eletrônicas emitidas com certificação digital passa a valer como único tipo de “assinatura qualificada” no âmbito do poder público, sobretudo em atos normativos assinados, por exemplo por ministros e governadores.
Nesse caso, estão, por exemplo, processos de abertura, alteração e fechamento de empresas, transferência de veículos e atualização de cadastros do cidadão junto ao governo.
Veja o quadro produzido pelo ITI que explica cada tipo de assinatura
Desta forma, a MP 983 vem ampliar o uso de credenciais mais fortes no âmbito público brasileiro e acreditamos que esse entendimento seja espelhado para as corporações privadas.
É incrível, mas muitas organizações desconheçam a necessidade de implementar identidades digitais e protege-las.
Uma identidade digital é uma informação sobre algo ou alguém dentro de uma rede interna ou externa e os certificados digitais são uma maneira de obter um registro digital forte e seguro dessas identidades.
Oportunidades para ACs, ARs, consultorias especializadas e desenvolvedores de softwares de gestão de identidades eletrônicas
No Brasil, o melhor nicho de mercado para prover identidades digitais são justamente as empresas que já emitem os certificados digitais ICP-Brasil: Autoridades Certificadoras e Autoridades de Registro.
Essas empresas possuem capilaridade para atender todo o Brasil e tem experiência no ciclo de vida de identidades digitais e eletrônicas, entre eles a etapa de emissão de documentos eletrônicos para identificação de empresas, pessoas, aplicações, equipamentos e “coisas”.
Existem uma variedade de certificados muito mais ampla que os mais conhecidos como e-CPF e e-CNPJ respectivamente, para pessoas físicas e jurídicas emitidos na hierarquia ICP-Brasil.
Falamos, por exemplo, de certificados com interoperabilidade entre navegadores e os principais softwares com abrangência internacional para assinatura e criptografia de e-mails e documentos com valor legal, desde que, acordado entre as partes conforme o artigo 10 parágrafo 2º da Medida provisória 2.200/01. Esse tipo de certificado serve também para diversas ações de relacionamento dentro das empresas, com fornecedores e clientes corporativos. E, pode ser utilizado em autenticação para acessos eletrônicos e físicos.
O certificado de atributo é um excelente exemplo de como implementar identidades eletrônicas de forma simples segura, eficiente e com baixo custo para pessoas, empresas e coisas.
A bala de prata?
Não existe uma solução única que atenda à todas as corporações de forma eficiente e por isso a experiência das Autoridades Certificadoras e Registro e consultorias especializadas deve ser considerada para modelar uma estrutura de credenciais eletrônicas para as corporações públicas e privadas.
Outro aspecto muito importante que deve ser considerado no início de qualquer projeto de identidades eletrônicas corporativas é a escolha de uma robusta ferramenta de gestão das credenciais.
Regina Tupinambá | CCO – Chief Content Officer – CryptoID. Publicitária formada pela PUC Rio, desde 1995 se dedica ao comércio eletrônico e em 1999 entrou para o universo da Certificação Digital. Dirigiu diversas áreas da Autoridade Certificadora Certisign entre elas: Marketing, Comercial, Produtos, Treinamentos, Suporte Técnico, Licitações e SAC. Desenvolveu o mercado de SSL no Brasil e criou o mais completo programa de cursos sobre Certificação Digital. No âmbito da ICP-Brasil acompanhou a criação da AC Raiz, e participou diretamente da homologação de muitas Autoridades Certificadoras e Autoridades de Registro. É CEO da Insania Publicidade e como CCO do Portal CryptoID, dirige a área de conteúdo do Portal.
Fique por dentro da MP 983/2020 que simplifica as assinaturas digitais no âmbito público
Safe handling of digital identities: 5 key questions.
- Desvendando o Poder Transformador dos Grafos: Uma Visão de Regina Tupinambá
- Como o IAM se insere no contexto do NIST CSF 2.0? Por Regina Tupinambá
- Demanda crescente por sistemas MDR: Proteção avançada contra ameaças cibernéticas
- FIDO redefine a segurança online com a autenticação sem senhas
- Previsões de segurança cibernética para 2024: IA PKI, IoT, CIAM, HSM e Biometria. Por Regina Tupinambá
- Gartner prevê que gastos mundiais de usuários finais com Nuvem Pública irão ultrapassar US$ 675 bilhões em 2024
- Bombardeio MFA: Nova Técnica de Phishing Mirando Usuários de Dispositivos Apple
- Everymind e Salesforce abrem inscrições para evento de RGM para mercado de varejo e consumo
- CoopsParty 2024 é oportunidade para desmitificar a inovação e aproximar jovens do cooperativismo
- 3C Gaming anuncia Renato Paiva como novo Vice-Presidente de Operações