A nova tendência de segurança é o acesso “frictionless”

Picture of Andre Facciolli
Andre Facciolli

Especialista explica o que é segurança sem atrito nos novos serviços em nuvem

Num cenário em que o antigo uso de uma senha já não garante mais a segurança, as empresas começam a sofisticar o controle de acesso introduzindo várias formas combinadas de autenticação de usuários. Surge assim o controle de acesso por múltiplos fatores: além de digitar uma senha, quem deseja acessar o serviço pode ser obrigado a informar o CPF ou clicar na imagem certa de um sistema de “captcha” ou até enviar uma selfie, e assim por diante, para que a identidade seja checada por um sistema de leitura de face.

O problema é que esta quantidade de passos de autenticação traz de fato muita segurança, mas pode tornar a operação lenta demais. Como evitar que isto aconteça sem comprometer a segurança? A resposta é a conexão “frictionless” (ou o controle de identidade e acessos sem atrito).

André Facciolli, diretor da Netbr, especialista em Gerenciamento de Identidade e Acessos (IAM), fala sobre alguns aspectos do assunto.

O que vem a ser “frictionless”
A conexão sem atrito, explica André Facciolli, é aquela em que um usuário ou uma aplicação tem acesso a um serviço ou a um dado, de forma imediata, transparente, sem passar por vários passos lentos, com ajuda da inteligência artificial.

Pense em se conectar em um aplicativo de streaming para assistir a um vídeo ou ouvir uma música. É só clicar e pronto. Mas, por trás disto, existem vários passos, desde a validação da identidade, autorização, checagem de planos de assinatura, e a verificação da identidade e diversos níveis de autorização. São várias aplicações e áreas de administração envolvidas.

E o processo ainda envolve uma chamada de serviço ao sistema e a alocação de uma estrutura virtual de processamento em nuvem (ou container) para que o download do vídeo ou da música possa ser rapidamente liberado e executado.

Por que a conexão “frictionless” é importante
No mundo digital, se algo começa a demorar, o cliente logo se irrita e abandona aquele processo.
Nos centros de dados antigos, tudo era muito mais simples, porque toda a passagem de um elemento digital de um ponto para outro acontecia dentro de uma máquina sendo identificada por um IP, rodando aplicações estáticas.

“Mas agora, com tudo acontecendo em ritmo de nano segundos, em várias camadas, envolvendo vários segredos, processos, serviços da nuvem privada ou pública, aquele ambiente estático foi abandonado para dar lugar a um ambiente dinâmico, ultraveloz, onde as condições de insegurança estão espalhadas por todo o processo”, prossegue Facciolli.

Por que automatizar a segurança
Um checagem de múltiplos fatores usando o modelo antigo, seria impossível na escala atual da nuvem. O sistema simplesmente iria se coagular.

E isto, ainda por cima, não iria garantir a segurança, porque descobrir uma senha ou imitar um token físico hoje se tornou algo banal para os hackers.

Em segundo lugar, causar atrito, atrasar processos, parar uma ação ou usuário para várias verificações antes de liberar o serviço desejado, é tudo que o mercado atual não aceita. Para responder a esse impasse a automação é a única saída.

Quando há excesso de atrito

Seria como a execução de uma compra no supermercado, no qual se utiliza um relógio digital num terminal de leitura sem contato. Bastante moderno, não? Mas e se para validar essa transação fosse necessário enviar um SMS para o banco e aguardar uma senha de retorno? Todo o encanto da operação se perderia e provavelmente o cliente iria preferir passar o velho cartão.

Algo parecido acontece quando se tenta usar uma aplicação móvel e não se tem mais a senha daquele serviço específico. Em geral, em casos assim, o cliente precisaria enviar um email para a aplicação e aguardar a mensagem com nova senha temporária.

Por que não trocar este modelo por um pequeno questionário de três toques sobre particularidades daquele indivíduo, associando isto a uma verificação do contexto e com dados guardados no sistema, como localização GPS, histórico de compras do cliente e valor da compra atual?

E para não comprometer as normas de privacidade, nesses processos de validação que mobilizam muitos dados individuais, está surgindo o conceito de privacidade por design, que embute o segredo de dados em todos os níveis, desde a autenticação até o consumo. Isto acontece através do processamento blindado da solicitação do usuário usando segredos dinâmicos com dados encriptados.

Ou seja, operações quase que totalmente automáticas, e com nível muito baixo de atrito, são a condição de viabilidade de novos tipos de negócio.

DevOps: um assunto para os técnicos

Neste mundo volátil, inseguro e ágil, os antigos e lentos sistemas de desenvolvimento de software também se tornam obsoletos.

É neste contexto que surge a sigla DevOps (uma junção entre “desenvolvimento” e “operação”), indicando que estes dois passos da vida de um software já não acontecem separadamente, tudo precisa ocorrer de forma ágil.

Segundo André Facciolli, o DevOps pode ser visto como uma nova forma de se produzir e adquirir software para o dia a dia do negócio. Ao invés de focar na compra de licenças de software, o gestor se concentra na busca de códigos criados (e testados quase simultaneamente) pelas comunidades independentes e que ficam disponíveis na nuvem.

Quando um processo DevOps incorpora o máximo de segurança embutida, sugere-se usar a expressão DevSecOps, com a partícula “Sec” evidenciando este aspecto.

Os técnicos nomeiam esta produção em DevSecOps como um procedimento chamado de “Shift-Left”, o qual incorpora todas as questões de segurança básica, como as vulnerabilidades e a introdução dos segredos dinâmicos já na própria esteira de desenvolvimento, isto é desde o seu início.

Com estes procedimentos, é possível obter o que eles chamam de “Shift-Up“, que é um nível de proteção, controle e monitoração mais detalhadas dos serviços mas na velocidade requerida. Viabilizando-se assim uma perspectiva de governança e blindagem do processo.

Tudo isto para superar questões como a necessidade de segurança diante de uma estrutura volátil, de negócios em transformação e em que se evidencia a exigência de não atrito ao longo de toda a operação em nuvem.

Artigo publicado por

https://www.negociosemfoco.com/newsdino/?title=a-nova-tendencia-de-seguranca-e-o-acesso-frictionless&partnerid=1441&releaseid=218958

E então, quer bater um papo e compartilhar nossos casos de uso?