A caravana do Security Leaders regional atravessou diversas capitais do país em uma jornada para levar as melhores discussões a todos os membros da comunidade nacional de Cibersegurança. Devido a isso, a proteção de identidades e gestão de acessos, grandes preocupações dos profissionais da área, seguem sendo pauta principal dos CISOs e profissionais de Segurança da Informação brasileiros.
Nesse contexto, o uso de soluções de MFA já avança e são implantadas de forma definitiva e veloz nas empresas. A visão dos C-Levels é de que a senha, como recurso único de autenticação, não é mais suficiente, sendo considerado apenas um entre vários outros recursos exigidos. Assim, a aplicação de múltiplos fatores deve ser ampla, geral e irrestrita para toda a corporação.
“Mesmo antes das grandes mudanças dos últimos anos, já fazíamos auditorias mensais sobre maturidade, e isso nos movimentou a ter 95% da companhia atualmente usando multifator de autenticação. Neste momento, nossa capacidade de monitoramento é extensa, sabendo quando, onde e por que o usuário está acessando aquele espaço. Cada um desses acessos é gravado e auditado nessas reuniões”, exemplificou Lafaiete Neto, Information Security Specialist na ArcelorMittal Sistemas, durante o painel em Belo Horizonte.
Henrique Santos, Diretor de Tecnologia da Informação e Comunicação da SEPLAG – MG explica que, dentro do poder público, tem sido necessário enfrentar grandes desafios para aplicar o MFA, especialmente devido a questões culturais dos funcionários. Com a migração ao trabalho remoto, o roadmap que já incluía adesão gradativa de novos fatores de autenticação foi acelerada.
“A implantação do MFA é um desafio por ser uma novidade, mas é algo a ser superado no futuro. Assim como a adesão à Nuvem precisou de um processo de desmistificação, os Múltiplos Fatores de Identificação vão passar a ser nossos aliados, unindo-se com outras medidas de Segurança, em um contexto mais amplo de Zero Trust”, afirmou Santos.
Os participantes dos painéis relacionados ao tema relembraram das grandes transformações no cenário de gestão de identidade aceleradas pela pandemia de COVID-19. O fenômeno forçou tanto a mudança dos usuários para o trabalho remoto como a aplicação mais ostensiva e veloz da nuvem nas empresas. Esse contexto bem mais complexo levou a Cibersegurança a readaptar suas prioridades e reorganizar os métodos de proteção de acessos.
Para Marcus Quintella Ribeiro, Gerente de Tecnologia e Informação no Funpresp-Jud, o modelo tradicional de computação está desaparecendo. O tráfego, antes internalizado, está agora do lado de fora das organizações, fazendo o gerenciamento desse desafio algo crítico. A nuvem ainda acabou mudando a estrutura e a maneira de preservar esse controle. Sem uma gestão bem-feita das identidades, não existe proteção que cubra essa falha.
Engajamento de usuários e clientes
A Pandemia ainda permitiu a Cibersegurança mudar o modo como o gerenciamento de identidade devia ser tratado com o resto da corporação. O contexto de trabalho híbrido e uso de Cloud Computing gerou novas dificuldades para o acesso dos usuários.
“Um país como o Brasil, com formas e níveis tão diversos de uso da tecnologia, certamente enfrentaria dificuldades em aplicar plenamente recursos de MFA. Devido a isso, o usuário precisa estar no centro do projeto, orientando uma jornada que viabilize as atividades permitidas com Segurança. Muitas dificuldades vão forçar os funcionários a driblarem as restrições, em vez de agregá-las”, sugere Pablo Galvez, Gerente de Soluções em Controles Internos do Banco do Brasil.
Para superar questões culturais, os CISOs devem atravessar um longo e necessário processo de implementação, contando com o apoio da alta gestão e da cooperação dos usuários. Além disso, os líderes de Segurança recomendam aplicações faseadas do MFA, de modo a agregar aos poucos todos os departamentos. É possível utilizar artifícios de aplicações piloto e contar com o suporte dos fornecedores das soluções.
De acordo com Henrique Santos, a colaboração dos funcionários é um fator chave no sucesso de projetos robustos de autenticação. A Segurança não pode assustar os departamentos de negócio, mas sim atuar com proximidade visando controlar os riscos. Assim como o freio de um carro, a função da Cyber Security é deixar o negócio seguro para acelerar quando puder.
Isso deve valer também no relacionamento com os clientes, especialmente em setores cujos dados são mais sensíveis. Na visão de Amaro Neto, Gestor de Riscos de SI e DPO no Hospital Ernesto Dornelles, a questão de risco envolvendo o período pandêmico replicou a situação que o setor de saúde já enfrenta cotidianamente. fragilidade técnica do profissional e emocional do paciente geram falhas na proteção das informações dos clientes.
“Falamos sempre de trazer o paciente para o centro do cuidado em todas as áreas do negócio, mas precisamos ter ciência de que essa fragilidade permeia toda a estrutura operacional” disse Neto, em sua participação no SL Porto Alegre. “No nosso caso, esse novo cenário fez os departamentos jurídico, financeiro e de comunicação passaram a dar mais apoio a esse trabalho, mas ainda há muito a desenvolver nessa grande cadeia de atores”.