Depois das discussões para a aprovação da Lei Geral de Proteção de Dados e diversos casos de vazamento de informações, a cibersegurança virou pauta prioritária em empresas de vários seguimentos.
Tanto é que o assunto já foi tema de Seminário promovido pelo Grupo Padrão (veja como foi). No evento, especialistas falaram da importância de encarar a cibersegurança como pilar fundamental da transformação digital nas companhias.
Já no O2O Innovation Experience, Marcelo Ferreira, Arquiteto Sênior de Soluções de Cibersegurança da IDEssencial, mostrou os pontos mais importantes para a construção de uma estratégia de segurança digital eficiente. Confira:
APIs pensados para segurança
O especialista explica que as APIs são o ponto onde as empresas encaram suas primeiras ameaças, geralmente aquelas mais conhecidas. APIs voltados para segurança trabalham com autenticação e monitoramento do comportamento do entrante. As ferramentas podem funcionar com machine learning para otimizar a identificação de vulnerabilidades.
Ao olhar para esta camada, as empresas já se preocupam com o vazamento de informações. “Muitas vezes as empresas estão blindadas com tecnologia para segurança, mas se esquecem que há perigo de vazamento de dados pelo próprio padrão adotado por sua plataforma. Essa possibilidade é potencializada em parcerias”, explica Ferreira.
Um exemplo de risco é uma parceria com outra empresa que foi invadida, mas o sistema de segurança ainda reconhece a parceira como agente confiável. É necessário que as APIs passem a gerenciar todos os entrantes na arquitetura para evitar vazamentos.
Entrada de novos usuários
“Onboarding” é um termo importado da área de Recursos Humanos e tem relação com a adaptação de novos colaboradores. Em serviços digitais o significado não é muito diferente e tem a ver com a entrada de novos usuários nas plataformas.
Em fintechs, por exemplo, é comum que novos usuários subam arquivos como comprovante de endereço, foto da identidade e selfie com um documento. Nesta etapa, a contaminação por malwares presentes nos documentos é uma ameaça preocupante.
O remédio para este tipo de ataque é contar com um componente que examine a existência de malwares nos arquivos. Se identificado vírus, o documento deve ser isolado e eliminado da plataforma. Os usuários só deve ter pleno acesso à sua plataforma quando todas as etapas de verificação forem concluídas.
Feita a validação do documento que o usuário carregou, são tomadas algumas ações tradicionais, como validação do dispositivo utilizado para carregar os arquivos, via SMS e, depois, validação do endereço de e-mail.
Autenticação
Para Ferreira, esta já é uma camada muito bem cuidada pelo mercado de serviços digitais em geral. Mas ele explica que é possível ir além e oferecer ao usuário uma “experiência Uber”. Ou seja, oferecer acesso à plataforma sem a necessidade de inserção de senha todas as vezes que o usuário abre a aplicação.
“Isso só acontece quando o processo de onboarding é eficiente, já que a partir desta etapa a companhia passa a confiar no usuário e no dispositivo validado por ele”, afirma o especialista.
Para que isso aconteça, é preciso fazer uma análise de risco de acesso à plataforma. Se um usuário faz uma viagem ao exterior e sai do seu padrão de comportamento é necessário refazer a autenticação. As empresas podem desafiar o usuário solicitando autenticação por SMS ou mesmo restringir o acesso à plataforma.
Vigilância preditiva
O monitoramento ativo está intimamente ligado à camada de autenticação. Em algumas situações, é necessário fazer o caminho inverso da autenticação. O monitoramento ativo é responsável por identificar anomalias nos padrões de comportamento do usuário e acionar a camada de autenticação.
Gestão de acesso
É um ponto fundamental para todas as aplicações. A luta contra o vazamento de informações está ligada a esta camada. Existe a possibilidade de colaboradores e prestadores de serviço estarem mal-intencionados e as empresas precisam se blindar contra isto.
Para os funcionários, é importante gerir todas as credenciais e evitar que tenham acesso privilegiado dentro da arquitetura. As empresas precisam dar acesso aos colaboradores àqueles itens que façam sentido para a função.
Para prestadores de serviço, as empresas não podem passar credenciais reais, e sim acessos monitorados e que tenham data de validade.
Portal de APIs
É importante que as empresas ofereçam esta solução para desenvolvedores e parceiros. Neste ambiente, são oferecidas funcionalidades como fóruns de debate, exemplos de soluções e um catálogo de todas as APIs disponíveis.
As empresas parceiras podem dispor de um ambiente para testar as aplicações e dados sintéticos para simular usos práticos durante os testes.