Segurança cibernética: o exemplo que precisa vir das organizações

Acesso a dispositivos, serviços financeiros, redes sociais e e-mails: essas e muitas outras aplicações do dia a dia requerem o uso de senha. No entanto, somos constantemente confrontados com dados do setor de segurança cibernética que colocam em xeque esse método de validação, que começou a ser adotado por volta de 1963 pelo MIT. Independentemente da complexidade, a senha se mostra ineficaz para uma autenticação segura e até mesmo facilita a ação de cibercriminosos, desde delitos mais recorrentes, como o roubo de credenciais de usuários comuns, até invasões a grandes redes públicas e privadas.

Diante dessa constatação e de estudos que indicam a necessidade de ampliação dos investimentos na área – de acordo com a IDC Brasil, a projeção para este ano no país é de mais de R$ 5 bilhões -, que papel as organizações têm efetivamente assumido no esforço para aumentar a proteção aos usuários e às próprias operações?

Um ponto a ser considerado é o nível de conhecimento dos gestores e a importância dispensada ao tema cibersegurança no impulsionamento dos negócios. Levantamento da Deloitte aponta que uma maior percepção da segurança cibernética levaria as empresas brasileiras a aumentar os investimentos em áreas como Customer Marketing, automação dos processos operacionais e trabalho remoto.

Recentemente, um passo importante foi dado por três das maiores empresas de tecnologia do mundo. Apple, Google e Microsoft anunciaram conjuntamente o compromisso de expandir o suporte ao padrão FIDO (Fast IDentity Online) com o intuito de acelerar a disponibilidade de logins sem senha e, assim, oferecer uma experiência digital mais segura.

Mesmo que a senha não seja abolida no curto prazo, existem modelos de autenticação mais sofisticados que ainda não foram devidamente explorados pela maioria das organizações. Para melhor entendimento, os fatores de autenticação podem ser divididos em três categorias:

– Primeira: referente a algo que se conhece, como a senha de um usuário, método menos seguro;
– Segunda: envolve um fator adicional de autenticação, como um código enviado por SMS, mais forte devido ao nível de dificuldade de manipulação;
– Terceira: relacionada a algo inerente ao ser humano, caso da biometria, considerada a mais robusta.

Embora esses modelos ofereçam variados níveis de proteção, nenhum método é 100% eficaz isoladamente. É desejável que as organizações forneçam autenticações seguras combinando modelos de diferentes categorias, abdicando do uso exclusivo de senhas. Tecnologias como biometria, QR code e tokens, além da implementação de políticas de privilégio mínimo (Zero Trust), ajudam a reduzir drasticamente a superfície de ataques. Um exemplo é a biometria comportamental, que utiliza aprendizado de máquina para identificar e prever atividades fraudulentas em tempo real, otimizando a experiência do usuário final.

Por fim, é preciso lembrar que a usabilidade não deve ser comprometida com autenticações complexas. Modelos cada vez mais personalizados e robustos, porém intuitivos, de acesso seguro devem ser o caminho natural para que a dependência das senhas seja superada. E isso depende, em primeiro lugar, de uma mudança cultural – fora e, principalmente, dentro das organizações.

Por Marcos Tabajara, gerente nacional da Appgate no Brasil.