Já não é novidade para ninguém que esta pandemia em que vivemos mudou a nossa forma de viver e trabalhar. A obrigatoriedade de grande parte da população passar a trabalhar remotamente a partir de casa, veio trazer grandes desafios para a maioria das empresas, especialmente aquelas que ainda não tinham iniciado a sua jornada de transformação digital.

O acesso remoto aos sistemas de informação das empresas, através de equipamentos empresariais ou pessoais menos seguros, passou a ser um potencial ponto de falha de segurança, uma vez que podem ser exploradas vulnerabilidades existentes nos próprios equipamentos ou nas redes domésticas de acesso à internet.

Paralelamente, muitas das empresas procuraram neste contexto de pandemia a continuação do seu negócio através do comércio online, tendo-se verificado um grande aumento de acessos a estas plataformas por parte dos seus clientes, criando oportunidades de ataques através de engenharia social, como campanhas de phishing destinadas ao roubo de identidades e acessos.

É fácil compreender que as identidades digitais e os seus acessos estão agora mais do que nunca na mira do cibercrime.

Neste contexto, o acesso pelos colaboradores aos sistemas das empresas ou dos clientes às plataformas online passou a ser crítico, e garantir que a identidade digital de quem acede é autêntica e válida passou a ser crucial.

Assim, a gestão das identidades digitais e dos seus acessos (IAM – Identity and Access Management) deverá ser uma prioridade das equipas de segurança. Devem ser tomadas medidas para mitigar o risco de acessos serem roubados e usados para obter informação confidencial ou para realizar ciberataques.

A resolução deste problema não passa por se implementar algumas medidas ad hoc ou por simplesmente adotar e implementar uma solução tecnológica de IAM. Este problema deve ser enquadrado e equacionado de uma forma holística e as políticas e os processos de segurança associados à prática de IAM, revistos e melhorados. Só uma solução de IAM que esteja suportada numa estratégia de gestão de acessos bem definida, que aplique estas políticas e implemente estes processos poderá ter sucesso. Então, desempenhará uma função central na defesa dos acessos aos sistemas de informação, quer sejam por parte dos colaboradores e parceiros de negócio, quer sejam pelos clientes às plataformas expostas online.

Independentemente do tipo de solução adotada, as políticas definidas devem seguir o princípio do menor privilégio, ou seja, o utilizador deve ter o nível de acesso mínimo aos sistemas para desempenhar as suas funções, limitando assim os danos que podem ser causados se um acesso for comprometido.

Outra das políticas de segurança que deve ser implementada é a autenticação forte, isto é, para além de uma autenticação básica utilizando user e password, devem ser também utilizados outros fatores de autenticação, como por exemplo o envio de um código por sms para o telemóvel do utilizador ou até a utilização de sensores biométricos, como o reconhecimento facial ou da impressão digital, sempre que disponíveis.

Para aumentar o nível de segurança destas soluções, os fabricantes estão a apostar na inteligência artificial e machine learning analisando de uma forma dinâmica, o comportamento do utilizador no contexto de verificação da identidade e acesso, permitindo detetar e bloquear, caso aparente ser anómalo, como em casos de acessos a partir de uma localização que não a habitual ou se ocorrerem em horários diferentes do laboral.

Vários analistas afirmam que esta pandemia está para durar e mesmo que termine, como todos esperamos, é minha convicção que o modelo de trabalho, somente a partir dos escritórios das empresas não vai voltar a ser uma realidade. As empresas vão aproveitar esta oportunidade e procurar otimizar os seus espaços, reduzir os custos operacionais e apostar cada vez mais num modelo de trabalho híbrido, em que o trabalho remoto será privilegiado em detrimento do trabalho no escritório, sempre que possível.

Mas, se as empresas não levarem a prática de IAM de forma séria, vão acabar por se expor ao risco de ocorrerem violações de segurança com prejuízos sérios, não só financeiros como reputacionais.

IT Insight | 04/03/2021 | João Nogueira

João Nogueira

Security Manager – Accenture Portugal

MAIS SOBRE ESTE TEMA

Procurar ser melhor
GDPR: A data opportunity in disguise

SUBSCRIÇÃO
Mantenha-se informado com a nossa newsletter Mantenha-se informado com a nossa newsletter