Em tempos de transformação digital, a identidade do usuário é um conceito essencial para garantir a segurança do ambiente de TIC. O perímetro da rede explodiu, as aplicações se multiplicam e o acesso aos sistemas missão crítica passou a ocorrer por meio da nuvem. É um mundo vasto em que componentes de aplicações rodando na Austrália, na Califórnia e em São Paulo só podem ser acessados e modificados por quem provou, na nuvem, sua identidade digital.
Houve tempos em que os cuidados com a senha de acesso pareciam ser suficientes para garantir o acesso seguro a um sistema, a um negócio. A aceleração digital está mudando isso.
No início deste ano, a Centrify fez uma pesquisa com 1000 usuários do Reino Unido para aferir a importância das senhas. Sete entre cada 10 pessoas pesquisadas afirmaram não confiar somente em senhas. Um levantamento feito pela Cifas, entidade de prevenção a fraudes digitais, aponta que o roubo de identidades digitais foi uma das principais ameaças no Reino Unido em 2015. Passar-se por outra pessoa para ter acesso a aplicações e transações é, nesta região, um crime digital que tem aumentado 27% ao ano.
Segundo a empresa de análise de mercado Tractica, a urgência em ir além da senha para criar sistemas de autenticação de identidade eficazes fará com que esse mercado cresça de maneira vertiginosa. Se em 2015 esse setor ficou na faixa dos US$ 2 bilhões, até 2024 chegará até US$ 15 bilhões.
Esse crescimento é fácil de ser compreendido.
O grande desafio é garantir que o acesso que deveria ser feito por Maurício Freitas está, efetivamente, sendo realizado por Maurício Freitas. A autenticação da identidade de quem acessa sistemas por meio da nuvem é algo crítico e que tem levado os principais analistas do mercado a defender o conceito MFA (Multiple Factor Authentication, autenticação realizada a partir de múltiplos fatores). E, por fator, entenda-se a informação, a imagem, o objeto, o algoritmo que irá efetivamente determinar se Maurício Freitas é, de fato, Maurício Freitas.
A palavra-chave aqui é “múltiplo”. É hora de ir além do “single fator” – em geral a senha, um código a ser digitado pelo usuário na hora do acesso à aplicação.
Isso não é novo. Vale a pena voltar ao passado para entender o futuro.
Desde tempos imemoriais costuma-se exigir a identificação de quem quer ter acesso ao tesouro do rei, na sala mais protegida da fortaleza. Durante séculos, esse tesouro era formado por ouro, prata, pedras preciosas. Hoje, o tesouro tem o formato de bits e bytes, e é mais precioso do que nunca.
Quer aconteça no ano 800, quer aconteça hoje, a autenticação da identidade de uma pessoa é baseada em três diferentes tipos de fatores:
1) O que a pessoa sabe: uma senha, uma informação, uma resposta que só essa pessoa conhece. Ao apresentar a informação correta a pessoa tem acesso ao tesouro de informações que é a aplicação.
2) O que a pessoa possui: uma chave, um token digital, um objeto que só ela domina e que lhe dá acesso ao tesouro.
3) O que essa pessoa é: uma característica física que é única. É o caso de fatores como impressão digital, voz, íris, o algoritmo biométrico de seu rosto. A assinatura escrita de próprio punho também se insere aqui.
É a impressionante escala das aplicações em nuvem que tem levado o mercado a valorizar parrudas soluções de controle de acesso a aplicações.
No século XXI, o tesouro é a aplicação e controlar o acesso a ela é um dos grandes desafios digitais.
As melhores soluções para esta questão partem do conhecimento profundo da aplicação missão crítica, o sistema que mantém o negócio funcionando. Regras de acesso específicas são determinadas pela solução de controle de acesso. Uma das missões dessas soluções é analisar o contexto da onde está sendo feito o acesso do usuário. Onde ele está? Por que tipo de dispositivo está acessando a aplicação? É um ambiente inseguro?
Maurício Freitas é cadastrado de forma minuciosa – fica claro, por exemplo, que ele tem direito de acesso a algumas aplicações críticas da empresa em que ele trabalha, em alguns horários da semana. Esse controle pode ser aplicado até mesmo a aplicações legadas, que normalmente não possibilitam checagens de identidade mais profundas.
A solução de controle de acesso tem de ser capaz, também, de checar e autorizar ou bloquear milhares de acessos simultâneos. Um desafio adicional é realizar essa operação da forma mais dinâmica possível, de modo a preservar a performance das aplicações e dos negócios.
O “sinal verde” para que um determinado acesso ocorra deve ser dado pela solução de controle de acesso, que tem a missão de autenticar (checar) por todos os fatores (MFA) se esse acesso específico e restrito está sendo feito, de fato, por Maurício Freitas.
Hoje, o CISO já conta com tudo o que precisa para controlar o acesso ao tesouro da sua corporação, a aplicação. Isso é feito de forma tão consistente como, no ano 800, analisava-se a delicada questão de baixar, ou não, a ponte para o visitante que chegava ao castelo.
* Eduardo Saito é arquiteto de soluções da F5 Networks Latin America e Caribe