Como manter a salvo as informações da empresa? Tudo que foge do habitual é uma anomalia e requer uma explicação e maior atenção
Um movimento de grandes proporções já está alterando como as companhias administram suas informações. As organizações querem gerenciar tudo: aplicativos, dados, redes de trabalho, armazenamento e servidores. Mas a tecnologia móvel e de nuvem, impulsionada por tendências como “traga seu próprio dispositivo” (BYOD na sigla em inglês) e software como serviço (SaaS), ampliou muito o acesso às informações corporativas.
Relatos de ataques cibernéticos realizados por hackers externos geram manchetes, mas ao focar apenas nesse aspecto do problema, corremos o risco de ignorar riscos ainda maiores, como o erro humano e atividades maliciosas que ocorrem dentro das companhias. Os usuários querem acessar suas informações de qualquer lugar, a partir de qualquer dispositivo e a qualquer momento. Essa expectativa criou problemas adicionais de segurança.
Ao iniciar sessões com credenciais válidas, o modelo de acesso tradicional praticamente abria “a porta do cofre”, criando um passe livre para acessar qualquer informação corporativa. O resultado era uma série de vazamentos de dados e ataques de alta repercussão.
O relatório sobre vazamentos publicado pela Verizon em 2014 revelou que o índice de detecção de fraudes está caindo e muitos ataques foram descobertos pelas autoridades ou terceiros e não pelas próprias empresas. Em 2014, foram necessárias várias semanas para descobrir a grande maioria (88%) dos ataques cibernéticos. O extravio de informações, seja em função de erro humano ou atividade maliciosa, pode ocorrer em poucos minutos. Obviamente, é necessário um novo modelo.
Recriando o acesso
Para enfrentar esses desafios de segurança com sucesso é preciso um modelo simplificado que pode ser aplicado a qualquer pedido de acesso ou decisão de realizar uma transação. As cinco perguntas a seguir são fundamentais para a construção desse novo modelo:
Quem está pedindo acesso?
O que essa pessoa está acessando?
Em que momento o acesso está acontecendo?
Em que lugar do mundo essa pessoa se encontra?
Por que essa pessoa precisa de acesso?
Vamos avaliar esses elementos para ver como a análise contextual e a modelagem de comportamento podem promover a detecção mais eficaz de fraudes e autorizar acesso de maneira específica e apropriada.
Estabelecendo identidades e critérios de acesso
O conceito de identidade está evoluindo rapidamente. Isso não é apenas uma questão de informações do usuário, ID e senha, ou autenticação de dois fatores. A única solução para estabelecer o contexto e avaliar a necessidade de medidas de seguranças adicionais é de analisar quem é a pessoa e o que pretende fazer.
É possível iniciar uma sessão e acessar informações públicas usando uma conta do Gmail ou Facebook. Queremos que o acesso a esse tipo de informação seja simples e conveniente, por que o risco é baixo e esse sistema é mais prático para pessoas que precisam dessas informações para seu trabalho. Mas, ao pedir acesso a dados mais sensíveis, precisamos de um mecanismo de defesa que exige uma autenticação mais rigorosa de sua identidade.
A modelagem de comportamento pode ser usada para ativar uma bandeira vermelha quando o usuário se comporta de maneira incomum. Por que o usuário está iniciando uma sessão às 3h30 da madrugada? Está usando um dispositivo que não foi registrado junto ao departamento de TI? Está iniciando uma sessão dentro do país? Está tentando acessar um projeto em que não esteja diretamente envolvido?
Tudo que foge do habitual é uma anomalia e requer uma explicação e maior atenção.
Círculos concêntricos de segurança
O grau de dificuldade de acesso deve refletir a sensibilidade da informação requisitada. Quando o risco é maior, as etapas de identificação devem ser mais frequentes e a validação mais rigorosa.
Os modelos de confiança devem ser revisados e verificados constantemente. É necessário decidir se isso seria possível analisando a identidade de um funcionário usando dados biométricos ou reconhecimento facial com uma webcam. É possível limitar a realização de algumas transações a máquinas e redes de trabalho confiáveis. É preciso usar a encriptação e um sistema de proteção transacional para verificar, registrar e realizar auditorias de maneira defensiva.
O fator mais importante é a proporcionalidade: não queremos exigir múltiplos fatores de autenticação de funcionários de menor escalão toda vez que tentam acessar informações públicas.
Automatizando o sistema
A maioria das organizações já está compilando um conjunto sofisticado de informações sobre seus funcionários. Mas, elas não estão analisando essas informações. Para ser eficiente, qualquer sistema deve ser automatizado e capaz de usar essas informações para criar um modelo detalhado, cruzando essas informações em tempo real com o comportamento atual do funcionário e seu histórico de acesso.
Além disso, o sistema deve ser preditivo e capaz de extrapolar alterações necessárias das políticas de acesso, atualizar dispositivos de acordo com os eventos registrados no calendário do funcionário ou autorizar acesso a partir de uma localização específica baseado em confirmações de passagens aéreas. Ao comparar e interpretar essas informações, seria possível agir antes que seja tarde demais. É a diferença entre fechar a porta para evitar o roubo de informações e realizar uma análise minuciosa quando já é tarde demais.
*Kurt Roemer é chefe de segurança estratégica da Citrix.
