Sempre será um grande desafio prever como será o mundo da cibersegurança nos próximos anos, meses, dias e até aqueles segundos que estão logo ali. Mesmo quando existe aquela sensação que o tempo se pode dilatar quando planeamos as nossas atividades, pois estaríamos aproveitando ao máximo a cada instante, com a paciência devidamente aplicada, ainda o desafio existirá, pois, a transformação digital sempre seguirá a avançar em todos os momentos, trazendo novas oportunidades e consequentemente novos riscos digitais.
O Fórum Económico Mundial, em colaboração com a Universidade de Oxford – por meio do seu Centro de Capacidade de Segurança Cibernética Global (GCSCC) e mais 100 especialistas de negócios, academia e sociedade civil, lançou uma produção de estudos sobre riscos cibernéticos: Future Series: Cybersecurity, emerging technology and systemic risk
O projeto foi desenvolvido para discutir e pesquisar as questões decorrentes de tecnologias emergentes críticas numa tentativa exitosa para refletirmos se a nossa abordagem individual e coletiva para gerir riscos cibernéticos será sustentável em função das principais tendências de tecnologia no futuro próximo.
Em menos de uma década desde que a segurança cibernética foi apresentada pela primeira vez no relatório de riscos globais daquele mesmo Fórum, essa reflexão emergiu como uma das questões sistémicas mais importantes para a economia global. O gasto coletivo global agora atingiu US $145 mil milhões de dólares por ano e prevê-se que exceda US $1 trilião de dólares em 2035.
Se considerarmos as experiências vividas e resolvidas (ou não ainda) durante 2020, de acordo com o estudo do Fórum Económico Mundial, as abordagens de próxima geração para Gestão de Identidade passam a ser cruciais para o nosso futuro digital.
A evolução da identidade e a sua gestão são assuntos críticos no nosso mundo de transformação digital. À medida que as forças de trabalho se tornam cada vez mais dinâmicas e remotas, a gestão do risco associado ao “novo normal” tem se tornado cada vez mais importante. A combinação de apoiar um maior número de trabalhadores remotos e acelerar iniciativas digitais de transformação geraram a necessidade de otimização. Hoje, mais do que nunca, precisamos de proteger e otimizar as equipas, permitindo que funcionários remotos sejam produtivos e seguros, acelerando as iniciativas de transformação digital e movendo a gestão de identidade para a nuvem, garantindo que as tecnologias que são implementadas hoje vão proteger a sua organização para amanhã.
Neste contexto, a Evolução da Identidade deve passar por estratégias de garantia de identidade, garantia de acesso, e garantia de atividade.
Garantia de identidade:
A autenticação concentra-se no uso de prova de posse para estabelecer a identidade. A autenticação, na vida real, envolve o exame de muito mais contexto e esse contexto deve ser justaposto à criticidade do que está a ser acedido.
O desafio de implementar a garantia de identidade como base para a segurança cibernética é que requer contribuições, cooperação e apoio de áreas também fora dos domínios tradicionais de segurança de TI. A garantia de identidade bem-sucedida depende de políticas e procedimentos, tanto quanto na tecnologia. Neste mundo, a formação é mais importante do que uma senha forte, e o CISO (Chief Information Security Officer) oferece suporte a outras partes da organização, pois ajuda a impor a segurança cibernética.
Garantia de acesso:
Trata-se do entendimento sobre o que os utilizadores devem ser capazes de fazer e aceder. Como já comentamos anteriormente, os desafios existem – transformação digital, transformação da força de trabalho, risco de terceiros, conformidade, mas também as oportunidades que permitam preencher previamente direitos de identidade, impor privilégios mínimos, compreender o risco associado a cada identidade.
Garantia de atividade:
Algumas outras tendências empresariais cada vez mais são inseridas – como por exemplo a “confiança zero de rede” (“Zero Trust Network”, em inglês), algo que particularmente penso mais como um “mindset”, porque devemos pensar em mais do que o foco da identidade do que na confiança em si. Outro ponto é o conceito de “sem senha” (passwordless) e aqui, devemos considerar os modos de falha, diferenciando da senha livre para aproveitar a visibilidade.
A Identidade no ecossistema deve estar alinhada à Gestão Integrada de Riscos, e ao Centro de Operações de Segurança, pois desta forma, iremos ter a visibilidade das ações que estão a ser executadas por estas identidades, garantindo assim a garantia de atividade.
As identidades digitais são um ingrediente crítico para estabelecer a confiança nas transações digitais e um progresso gradual no sentido de tornar as identidades mais descentralizadas está ocorrendo e deverá avançar em 2021.
Com a governança e ciclo de vida da identidade, a gestão de risco integrado e com visibilidade suportada pelos centros de segurança cibernética, podemos sim envolver, integrar e acelerar o mundo no tempo da transformação digital.
O relatório do Fórum Económico Mundial mostra que, embora o progresso tenha sido realizado para melhorar a segurança cibernética em todo o ecossistema, o aumento da complexidade, ritmo, escala e interdependência mostrada pelo nosso avançado olhar para as tendências tecnológicas irão sobrecarregar muitas defesas atuais. Sem intervenções neste momento, será difícil manter a integridade e a confiança em tecnologias emergentes na qual dependem o futuro global e o seu crescimento.
Existem riscos ocultos e sistêmicos inerentes ao ambiente de tecnologia emergente, que exigirá mudanças significativas na resposta da comunidade internacional para a segurança cibernética. São necessárias intervenções políticas que incentivem a colaboração e responsabilidade por parte de empresas e governos.
Existem lacunas nas abordagens atuais de cibersegurança operacional que precisam ser endereçadas. A defesa contra ameaças em evolução requer novas ferramentas de segurança cibernética, bem como uma compreensão de como implantar efetivamente essas novas soluções, no ritmo, em todos os sistemas globais. A superfície de ataque associada às novas necessidades de uso de tecnologia para ser abordado. Políticas que incentivem padrões mais elevados de atendimento em tecnologia e a entrega do serviço são necessárias.
Os líderes de negócios precisam da capacidade de planear de forma mais estratégica para riscos emergentes para que possam garantir que as organizações que fornecem as infraestruturas mais críticas não sofram falhas que são catastróficas para as sociedades.
Mas em todos os lugares (inclusive no mundo digital), sim, existe Luz! Claro que será exigido um esforço concentrado de tecnólogos, liderança da indústria, fabricantes e a comunidade. As recompensas serão significativas. As tecnologias irão transformar o nosso mundo – mas apenas se eles estiverem seguros e desta forma, nós cidadãos temos confiança que um mundo digital melhor e seguro já é realidade.
É um trabalho responsável que deverá começar por cada um de nós. Proteja a sua identidade – fisicamente e digitalmente!
Artigo de Marcos Nehme – Autor, MIT Technology Review Brasil