A estratégia militar aplicada às redes de negócio

Desde as primeiras gerações das redes corporativas, o vocabulário militar é empregado pelos técnicos de segurança como nomenclatura emprestada para descrever a sua própria atividade num enquadramento defense-in-depth (ou defesa em profundidade).

Numa olhada em retrospecto, faz sentido enxergar a infraestrutura como um bunker cercado por firewalls e entender os dados críticos e funcionalidades enquanto a uma riqueza a ser defendida; como se fossem o quarto da rainha ou joias da coroa.

Isso também facilita diagramar os elementos de combate – dispositivos, processos, pessoas – em cima de um tabuleiro gráfico no qual se podem visualizar os pontos vulneráveis e simular os movimentos do inimigo.

A questão que, hoje em dia, deixa muito gestor de cabelo em pé é se ainda continua valendo esse paradigma da guerra tradicional. Principalmente se a gente levar em conta a realidade atual da nuvem múltipla, que traz uma série de complicadores tais como:

• 1- A ideia de uma fortificação, como território demarcável, não faz mais tanto sentido assim, já que a execução dos processos pode se dar em múltiplos lugares simultâneos.

• 2- A noção de território dividido em uma área segura e uma “zona externa desmilitarizada” (DMZ) já não se aplica facilmente em vários modelos mais recentes como as “BeyondCorps” ou “OpenBanks’.

• 3- Com os data centers em código, as redes definidas por software (SDN), o processamento por Kubernetes e os vários níveis de abstração da infraestrutura, fica tudo muito volátil, muito difícil de desenhar.

• 4- Nesse desenho efêmero, o CISO tem um desafio e tanto para ajustar as coisas e para saber onde colocar as suas camadas de firewalls, os controle de endpoints, os IDS/IPS, os VPNs e WAFs, os gerenciamento de eventos (SIEM), a estrutura de IAM, os DLPs, os proxies e os sistemas críticos de IoT, entre outros.

• 5- O modelo de proteção em camadas (por natureza, passivo e baseado em barreiras) tem uma defasagem alta diante do grande crescimento da shadow-IT e do avanço dos novos ataques persistentes e adaptativos, agora suportados por deep learning.

• 6- A chamada “zona desmilitarizada” se tornou um ambiente mais hostil, mais cobiçado e mais difícil de gerenciar, em função da profusão de APIs e da exposição ostensiva de identidades, dados e metadados de processos relacionados ao core-business, através das redes sociais.

Mesmo considerando tudo isto, as consultorias globais (entre elas o Gartner e a Forrester) não rechaçaram de pronto o paradigma militar, nem apontaram a defense-in-depth como obsoleta na essência.

Fizeram, porém, algumas restrições. Ao invés de aceitar a noção de uma rede confiável (blindada) separada do mundo externo, trouxeram à tona a ideia de uma rede inconfiável em todos os seus elementos.

As tais consultorias apontam que a aplicação da inteligência artificial em todas as camadas de defesa consegue tornar a rede capaz de implementar uma segurança adaptativa e preventiva o suficiente para fazer frente à volatilidade da nuvem múltipla.

Registro, onboarding e autorização dinâmicos

Uma vez que os novos negócios precisam ter seus pontos de start para além do firewall corporativo, o gerenciamento de usuários deve anteceder as interfaces de aplicação para atingir o usuário antes mesmo que ele decida interagir com a rede.

A passividade da defesa é substituída por um impulso proativo, projetando esta defesa para o lado de fora das muralhas.

As estratégias proativas e adaptativas de gerenciamento de acesso e identidade precisam responder ao desafio da automação dos processos de prospecção, atração, registro, onboarding, credenciamento e autorização, abrangendo todo o ciclo de relacionamento com o consumidor ou usuário.

Tudo isto sendo submetido a uma camada de governança e auditoria, tendo acima os mandamentos de uma política “zero-trust” e de baixo atrito operacional.

Nos processos de negócio de massa (em que a jornada do consumidor é mais estratégica), a atualização da segurança militar precisa trocar os incômodos e incertos check-points, ou as interrogações declaratórias e protelatórias do acesso, por componentes centralizados de CIAM (Customer Identity and Access Management). E aí entra a integração desses componentes com o back-end das empresas (APIs, gateways, comunicação, tokenização, estrutura de dados e diretórios etc).

Só com este nível de tecnologia, em um novo desenho de arquitetura, é possível expandir para os espaços desmilitarizados a inteligência de credenciamento e autorização capazes de refletir as estratégias de marketing de atração, condução, retenção e engajamento do consumidor.

E, ao mesmo tempo, criar parâmetros automáticos de log-on único (independentes de senhas memorizadas) e de gestão das permissões de uso de dados do cliente (olha aí a LGPD e a GDPR) ao longo das inúmeras aplicações e funções interativas da rede.

Para resumir, a defesa em profundidade continua valendo, mas uma projeção das forças de defesa precisa ir além do perímetro da rede para que, assim, o processo de negócio possa se startar já fora dos limites do firewall, abrangendo todas as personas das empresas: clientes, parceiros, terceiros, empregados e sistemas como serviço.

*André Facciolli é diretor da Netbr