Sergio Muniz, da Thales, sintetiza os principais conceitos em torno de Controle de Acessos
30 de maio de 2022Sergio Muniz falou sobre como Múltiplos Fatores de Autenticação e controles de acesso podem blindar as empresas de acessos não autorizados
Sergio Muniz, que é Diretor Executivo de Vendas para América Latina & Caribe & CCA-IBGC da Thales, falou sobre como (MFA) Múltiplos Fatores de Autenticação, SSO – Login único de usuário somado ao gerenciamento de identidades para blindar as empresas de acessos não autorizados no artigo: As boas práticas para mitigar ataques de ransomware através da gestão de acesso e também recentemente o Crypto ID entrevistou Sergio Muniz sobre Ransomware e sua relação com a gestão de acessos, nessa oportunidade e para difundir ainda mais os conceitos pedimos ao Sérgio Muniz para sintetizar os principais conceitos que abrangem o tema Controles de Acessos e atendendo nossa solicitação segue o preciosa sinteze que ele nos enviou.
Gestão de acessos
A Gestão de acessos é uma parte do que o mercado conhece por Gestão de Acesso e Identidades (Identity & Access Management – IAM), composta por 2 domínios principais: Governança e Administração de Identidades (IGA – Identity Governance & Administration) e Gestão de acessos (Access Management), além de outras soluções como por exemplo a gestão acessos privilegiados (Privilege Access Management – PAM) em suas diversas formas.
A Governança de Identidades faz a gestão do ciclo de vida de um usuário na organização, cuidando desde a criação de suas identidades digitais, passando pelas autorizações ou permissões às diversas aplicações, e incluindo a sua exclusão quando este já não fizer mais parte do quadro de funcionários ou terceiros da empresa.
A Gestão de Acessos é uma solução que permite implementar controles de acesso para os usuários sempre que houver uma tentativa de acessar aplicações, sistemas e serviços para os quais estes mesmos usuários possuem permissão ou autorização.
Os controles de acesso vão determinar COMO os usuários vão acessar uma aplicação já autorizada, com qual tipo ou tipos de autenticação para comprovar que ele é realmente quem ele diz ser, mesmo com um login único implementado após o primero acesso a qualquer sistema corporativo, ou mesmo no logon do sistema operacional da máquina (normalmente com usuário e senha, mas o token vem sendo incorporado nos últimos anos). Todas estas funcionalidades de controle de acesso, divididas em tipos autenticação, políticas/condições de acesso e login único formam a base de um serviço de gestão de acesso.
Login Unico Smart e Single Sign-on (SSO)
O login único (single sign-on – SSO) permite que os usuários façam logon em todos os aplicativos com uma única credencial, tornando mais fácil e conveniente o acesso a várias aplicações na nuvem de forma contínua.
Já o login único inteligente (Smart SSO) permite que os usuários façam logon uma vez e sua identidade seja estendida a vários aplicativos na nuvem, desde que certas condições sejam mantidas.
Uma nova autenticação será necessária com base na política de acesso definida pelo administrador e/ou área de segurança.
Esse recurso é um diferencial que o SSO padrão não oferece pois as políticas definidas vão exigir do usuário um novo login ou mesmo uma autenticação adicional quando a empresa julgar necessário, como por exemplo ao acessar dados altamente confidenciais ou aplicações mais críticas ou mesmo quando o contexto seja mais vulnerável (acesso de um país de onde o usuário não tem o costume de acessar ou de um dispositivo novo que o usuário acaba de comprar, em ambos casos pode ser um criminosos se passando por um usuário válido com a sua senha já comprometida).
Autenticação em dois fatores e múltiplos fatores
Autenticação baseada em PKI e senha descartável (OTP)
Autenticação do usuário para aplicativos baseados na Web
A autenticação multifator é obtida usando uma combinação de 2 ou mais fatores:
· Algo que você conhece – por exemplo, uma senha ou PIN
· Algo que você tem – por exemplo, um segredo armazenado e gerado em um token ou cartão inteligente ou padrão pré estabelecido ou certificados digitais (PKI), que é inserido na tela de login
· Algo que você é – por exemplo, um traço biométrico, como impressão digital, reconhecimento facial ou voz, previamente validado em algum dispositivo em seu poder.
Tipos de autenticação baseado no que o usuário tem:
• Token PUSH OTP — um token de última geração que oferece geração de senha de uso único (OTP) em dispositivos móveis, bem como autenticação push de toque único para maior conveniência do usuário
• Token de hardware — um usuário gera um código em um token de hardware, que é inserido manualmente na tela de login
• Aplicativo OTP—o usuário gera um código usando um aplicativo de autenticação em seu celular ou desktop e insere o código manualmente na tela de login
• Cartão inteligente—um usuário conecta um cartão inteligente ou token de cartão inteligente USB em seu computador para desbloquear um segredo que lhe dá acesso a um aplicativo
• SMS — uma string numérica é enviada ao usuário via SMS. O usuário então tem que inserir a string na tela de login
• Certificados digitais (PKI) — se a empresa tiver uma infraestrutura de PKI existente com usuário fazendo o uso de certificados digitais para assinatura eletrônica de documentos e outras validações, estes mesmos certificados poderão ser utilizados para validar uma autenticação extremamente robusta em algumas soluções de de gestão de acesso disponíveis no mercado.
• Autenticação baseada em padrão — Um usuário insere dígitos que correspondem a um padrão em uma grade que ele escolhe antecipadamente. Altamente eficaz para usos em aplicativo na web e em máquinas e dispositivos compartilhados entre vários usuários (call center, área de saúde, retail, manufatura, cias aéreas…)
Gerenciamento eficaz do acesso à nuvem
A eficácia da gestão de acesso está diretamente relacionada à correlação otimizada entre as suas 3 funcionalidades (tipos de autenticação multifator, políticas/condições de acesso e login único inteligente – smart SSO) de tal maneira que os vários aplicativos em nuvem possam tirar proveito da melhor combinação entre segurança e acesso amigável a ser definida pelo administradorcom base no contexto da organização.
O Smart SSO é chave para a eficácia na gestão de acesso ao permitir que as organizações definam suas próprias políticas de SSO para atender à sensibilidade de segurança do usuário e do aplicativo. Por exemplo, um usuário pode ter SSO para todos os aplicativos ao fazer logon na rede corporativa. No momento em que ele tentar fazer login em um aplicativo de fora da rede, ele deverá se autenticar novamente. A mesma regra pode ser utilizada para o perfil do usuário, sensibilidade da aplicação a ser acessada e contexto favorável ou vulnerável de acesso (tipo de dispositivo, versão de sistema operacional, local, rede, país, etc..)
Sobre a Thales
A Thales (Euronext Paris: HO) é líder global em tecnologias avançadas em três domínios: Defesa e Segurança, Aeronáutica e Espaço e Identidade Digital e Segurança. Desenvolve produtos e soluções que ajudam a tornar o mundo mais seguro.
O Grupo investe perto de 4 mil milhões de euros por ano em Investigação e Desenvolvimento, particularmente em áreas-chave como tecnologias quânticas, Edge computing, 6G e cibersegurança.
A Thales tem 77 mil funcionários em 68 países. Em 2022, o Grupo gerou vendas de 17,6 mil milhões de euros.
Leia outros artigos da Thales aqui no Crypto ID!
Crypto ID entrevista: Sergio Muniz – Ransomware e sua relação com a gestão de acessos
As boas práticas para mitigar ataques de ransomware através da gestão de acesso
Crime digital: Brasil sofreu mais de 33 milhões de tentativas de ransomware em 2021
Sérgio Muniz comenta como o controle de acesso viabiliza a segurança do novo modelo de trabalho
Crypto ID Entrevista: Sergio Muniz e o papel da proteção de dados no combate à pandemia
Sérgio Muniz apresenta novo Conselho de Diretrizes de Segurança de Dados da Gemalto que alcança 2025