A identidade é o novo perímetro

Por Sergio Leal

Sérgio Leal | Criptógrafo, Pesquisador e Colonista do Crypto ID

A Nuvem é o novo paradigma para todas as empresas

A sua existência permitiu a criação de novos modelos agressivos e ‘devoradores’ de mercados tradicionais  como o Uber, o AirBNB, Netflix…

A empresa tradicional com seus contratos assinados em papel na gaveta ou sua pasta na rede local não tem mais espaço no mundo atual.

No passado aprendemos que as nossas redes deveriam ser tão seguras quanto os prédios que ocupávamos

Bastava manter os “caras maus” do lado de fora e os bons de dentro. O fato é que o prédio não existe mais, agora estamos todas ‘na Nuvem’ em um ambiente sem limitações, eclusas ou divisórias. Para isso usávamos firewalls, anti-vírus e uma série de ferramentas que já não tem mais qualquer função nesse mundo sem segmentação.

O modelo de segurança tradicional que conhecemos já não atende mais às nossa necessidades. O perímetro de segurança mudou, e no seu núcleo está agora a Identidade. Enfim chegamos ao ponto de convergência: A identidade física se fundiu com a nossa identidade digital.

Podemos identificar algumas  razões para a identidade tornar-se o  novo perímetro de segurança:

A invasão de dispositivos móveis – funcionários utilizam seus próprios dispositivos e podem comprometer a infraestrutura de segurança existente. A antiga ideia de controlar o computador que acessa a rede deixou de ser possível.

Surgimento de novas tecnologias que rompem com a TI tradicional – como serviços em nuvem ou Internet das coisas.

Shadow IT – Onde as áreas de negócio tomam suas próprias decisões e estabelecem novos serviços sem a intervenção da TI

O volume de crimes cibernéticos aumentou para patamares que não podíamos imaginar, fruto de uma grande indústria que se criou em torno dele.

O crachá apresentado na portaria

No passado aprendemos a criar modelos de segurança em que bastava digitar nosso usuário e senha no login da aplicação e na sequencia era estabelecida uma relação de confiança cega entre o usuário e o sistema. Isso não funciona mais, pois a portaria não existe mais!

Cada novo ato de um usuário tem que ser enxergado com o máximo de desconfiança baseado na estratégica conhecida como ‘Confiança Zero’. Sempre espere que o próximo ato do seu usuário será uma fraude, um erro, um ataque…

Não podemos esquecer que cada  vez que um ‘cara mal’ tomar controle de uma identidade isso deve ser detectado rapidamente, e todas as fraudes perpetradas por ele devem ser identificadas e revertidas.

Enfim a Certificação Digital?

Por muitos anos as empresas puderam operar de maneira sub-ótima contentando-se em usar mecanismos de identificação precários mais funcionais. Efetivamente, não há como continuar fugindo de usar a tecnologia em seu estado de excelência e passar a tratar a credencial digital da mesma maneira que a carteira de identidade. O usuário não pode ser mais um login e senha na rede, mas sim uma pessoa representada da maneira mais concreta (com seu cpf…).

Mas precisamos ir além disso, entender que cada nova transação dentro de uma aplicação deve ser ‘autocontida’, autônoma e independente. Se um usuário faz qualquer tipo de operação em um sistema, ela deve ter as características que permitirão a sua proteção permanente e definitiva: sigilo, integridade, autenticidade e não-repúdio.

Quais os possíveis caminhos?

As escolhas podem ser diversas, mas a única certeza é que não há como operar nenhuma negócio abaixo do nível de excelência. Qualquer falha será suficiente para a organização tornar-se uma presa indefesa para os predadores do mercado.

O que a Certificação pode entregar?

A Identidade é o núcleo de todos os processos de uma organização e a única solução é a o certificado digital.

Os atributos temporários (se  uma pessoa trabalha para uma organização) devem ser implementados com simplicidade sem precisar depender de serviços (que podem estar indisponíveis ou ser fraudados). Para isso os certificados de atributos são ideias.

Para rastrear e reverter fraudes realizadas precisamos que todas as transações sejam assinadas antes de armazenamento: Precisamos garantir: integridade, autenticidade e não-repúdio.

Ao deixar o seu documento sob a tutela de outra organização (Nuvem Pública) é fundamental que tenhamos o sigilo garantido.

Sérgio Leal 

Ativista de longa data no meio da criptografia e certificação digital.

Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.

Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil

Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.

Bacharel em Ciências da Computação pela UERJ desde 1997.

Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)

Sérgio Leal  é colunista e membro do conselho editorial do CRYPTO ID.

Autor e professor dos cursos ID Plus | Certificação Digital e  Criptografia e Identidade Digital

Outros artigos do autor

Deixe sua opinião em comentários ou se preferir fale direto com Sérgio Leal  sergio.leal@gmail.com

BlueCrystal | software livre para certificação digital

Sergio Leal será palestrante do II WORKSHOP AARB – CERTFORUM.