Logo mais os certificados não poderão ter validade maior que 90 dias. Isso significa que as automatizações precisam ser mais rápidas e ter uma política bem estabelecida.
Com a crescente complexidade e sofisticação dos ataques cibernéticos, como a autenticação robusta de identidade de usuários e dispositivos podem desempenhar um papel crucial na proteção das empresas?
Quem nos responde isso e fala muito mais é Luiza Dias, presidente da GlobalSign Brasil. Acompanhe!
Com a crescente complexidade e sofisticação dos ataques cibernéticos, como a autenticação robusta de identidade de usuários e dispositivos pode desempenhar um papel crucial na proteção das empresas?
Luiza Dias: “Se pensarmos que toda a base da segurança da informação está em manter a confidencialidade e a integridade daquele dado que estamos trocando, seja por qual meio for. Quando eu falo da importância dessa autenticidade e da autenticação robusta, é a possibilidade de a gente trocar um pouco o meio como a gente se comporta nessa proteção.
Quando estamos trabalhando na proteção cibernética, todas as barreiras que a gente constrói para deixar o que não é permitido, deixar o usuário ou dispositivo não autorizado do lado de fora, mas no sentido de que tudo que é desconhecido é preciso ser barrado do acesso da rede e etc.
Então a ideia da autenticação robusta, de dar uma identidade para o que se conecta conosco, é trocar essa mentalidade. Ao invés de ter que barrar tudo o que é desconhecido, eu passo a só me conectar com o que é conhecido.
A partir do momento que eu tenho uma identidade do usuário ou do aparelho e dispositivo, eu consigo fazer um cara-crachá na hora da conexão, e o mundo que eu preciso proteger se reduz muito.
Se eu tiver que me proteger de tudo que é desconhecido fica amplo demais, então a autenticação robusta faz essa essa grande diferença no nosso posicionamento em relação a esses ataques cibernéticos. É muito mais fácil eu me determinar com quem eu me conecto do que me proteger de tudo que eu não conheço.”
Pode nos explicar como a autoridade certificadora pode auxiliar na proteção contra esses ataques, identificando e validando os usuários e dispositivos que acessam a rede de uma empresa?
Luiza Dias: “Se eu estou trocando o posicionamento da minha empresa para só me conectar com o que eu conheço, eu preciso de uma identidade e de um emissor de identidades confiável, que é o papel da autoridade certificadora. Então a autoridade certificadora faz mais ou menos como sua carteira de motorista ou o seu passaporte: onde você for você consegue se identificar.
E por que é que aquilo é válido? Porque um terceiro validador confiável emitiu isso para você. Então pensando na carteira de motorista: se você é parado na rua por guarda de trânsito, ele só tem como comprovar que eu sou a Luiza e que eu tenho permissão para dirigir porque aquele papel que eu carrego, aquela carteira de motorista que foi emitida pelo Detran
É a palavra do Detran que importa, não aquele papel em si, porque um papel a gente pode pensar também como o dinheiro. Eu poderia pegar papel moeda e imprimir na minha própria casa, mas por que que ele não é válido? Porque não tem uma pessoa com confiança pública, no caso o Banco Central.
E o mesmo acontece com as autoridades certificadoras, sendo aquela que vai emitir a identidade para o usuário e para os dispositivos para que a rede da internet possa verificar que aquela pessoa é quem ela disse que é, que aquele aquele dispositivo tem as permissões verdadeiras e que está autorizado a se conectar na minha rede.
Então se eu estou delegando tamanha responsabilidade a uma autoridade certificadora, ou seja, eu decidi que a política de segurança da minha empresa vai trocar essa mentalidade, ou só me conecto com o que é conhecido, eu vou delegar essa responsabilidade a uma autoridade certificadora.
Então nada é mais importante para mim do que a reputação daquela autoridade certificadora. As autoridades certificadoras atuam no sentido do padrão do certificado, dele estar atualizado com as tecnologias mais modernas, e a reputação que tem porque é um terceiro validador de confiança pública.
Se eu perco a minha confiança pública de que vale eu te dizer para que acredite no que eu estou falando? Então o que é que o que é de extrema importância quando você for escolher a sua autoridade certificadora é entender que ela tem esse papel que é essencial porque ela que emite esse certificado e eles precisam ser confiados na internet.
E o que é que ela está trazendo de reputação, se já houve vazamento de chave dentro dessa empresa, se as chaves já foram quebradas, se ela tem um histórico de emissão de certificados errados, se ela possui todos os ISOs daquela categoria.
Esse é o papel essencial das autoridades certificadoras, e é importante as empresas entenderem isso para se conectarem com quem acredita ser a empresa mais correta.
Eu gosto de dar um exemplo para ilustrar isso: se determino que carro são todos os veículos de quatro rodas, eu estou colocando um carro básico e uma Ferrari na mesma categoria, porque todos eles são veículos de quatro rodas.
Mas se eu for passar por um acidente, provavelmente eu quero estar dentro de um Volvo que é quem tem reputação de maior segurança dentro daqueles veículos. Ele foi construído baseado na segurança do motorista, então é nesse sentido que a gente precisa levar na hora de escolher a nossa autoridade certificadora.”
Muitas empresas têm dúvidas sobre a importância dos certificados digitais. Pode explicar mais sobre os benefícios dos certificados S/MIME e como eles aprimoram a segurança nas informações e na Lei Geral de Proteção de Dados?
Luiza Dias: “Nessa mesma linha que estávamos falando, da importância de escolher as autoridades certificadoras, o uso do certificado também não está muito claro no Brasil comparado ao resto do mundo. Temos o conhecimento dos SSLs, por exemplo, o cadeadinho do nosso site, mas os certificados são usados para diversas alternativas.
No caso do S/MIME, que é muito pouco difundido no Brasil, é um certificado de muita importância, principalmente nesse momento que estamos vendo com ataques elevadíssimos. Todos os estudos mostram que 80% dos ataques se iniciam através de um e-mail ou dessas engenharias sociais, como alguém que caiu em um phishing, spoofing, e assim por diante.
E o que o S/MIME faz? Ele é um certificado que ele assina o e-mail, então além daquele e-mail carregar a sua identidade, eu consigo que você, quando receba meu e-mail, consiga conferir que realmente fui eu que mandei, porque alguém pode ter interceptado esse e-mail, ou camuflado o remetente, ou realmente eu te mandei um e-mail que foi interceptado e teve o conteúdo da mensagem alterado, e você passa a confiar porque está ali que é a Luiza que está querendo transmitir.
Então o certificado S/MIME tem essa função primeiro de garantir que você tenha como verificar que realmente está conversando comigo, e caso essa mensagem seja interceptada e alterada no tráfico da internet, que tanto o remetente quanto o destinatário recebam uma mensagem de alerta dizendo ‘não confie nesse meio porque ele foi adulterado. Pensa em quantos golpes poderiam ter sido evitados se a gente falasse ‘opa, pera aí, não confia nisso aqui, esse não é o original’.
Essa possibilidade de verificar que não é o original reduz absurdamente a possibilidade de alguém cair em um golpe e te deixa em compliance com a LGPD no sentido de que você executou todos os passos, utilizou todas as melhores práticas para informar o seu cliente em como manter aquela comunicação segura, evitar o vazamento de idade e uma série de situações que podem ser evitadas dentro da organização por reconhecimento da prova de identidade.”
Estamos falando de empresas, mas também dos usuários, consumidores finais, que é quem move toda essa cadeia. Como a GlobalSign pode ajudar a proteger as empresas neste aspecto?
Luiza Dias: “Temos diversas alternativas de proteção. Vamos fazer analogias com o mundo físico, pois acho que fica mais fácil de compreender. Eu tenho a minha casa e eu quero deixar a segurança mais robusta, então eu pego a minha porta, troco de uma chave para uma tetra chave, mas ainda não estou me sentindo segura, eu coloquei duas tetra chaves, coloquei aquele trinco especial, uma barra, coloco diversas alternativas para blindar a entrada da minha casa.
Mas, mesmo com toda a disponibilidade dessas ferramentas, eu estou deixando na mão do usuário trocar todas as tetra chaves, colocar o trinco, fazer a barreira, e aí esse usuário saiu em uma emergência, e ele não vai utilizar todas as ferramentas que você colocou à disposição para blindar aquela entrada.
Então toda vez que eu tenho tecnologias que dependem do usuário para que as utilize, eu continuo nessa dependência. É claro que a gente tem que sempre educar o usuário, o treinamento de educação digital é sem dúvida a base do mundo digital seguro, mas tirar do usuário essa responsabilidade e jogar para a tecnologia.
Como, por exemplo, se estou enviando um e-mail e está escrito que não posso confiar, ou se estou utilizando a identidade daquele dispositivo para se conectar na minha rede, é a tecnologia trabalhando para barrar uma falha humana. Então essa é a grande diferença que os certificados podem fazer nessa luta pela cibersegurança.”
Qual é a importância de um plano de atualização constante de certificados, e como isso pode impactar na efetividade da segurança cibernética da empresa?
Luiza Dias: “Os ataques estão evoluindo e as tecnologias precisam evoluir também. A ideia é essa: eu crio uma barreira, e aí quando eu vejo que os ataques estão chegando perto de rompê-la, eu preciso criar outra. Então essa constante atualização deixamos, claro, por conta das autoridades certificadoras. Mas, dentro da empresa isso precisa ser gerenciado, então estamos prestes a viver uma nova mudança no nosso setor.
Até anos atrás os certificados podem ser emitidos com cinco anos de validade, depois caiu para três, depois para dois, e hoje não podemos emitir um certificado com validade de mais de um ano. Hoje está em discussão, ainda não se tem uma data, mas a última decisão foi de que os certificados não poderão ter uma validade maior que 90 dias. E o que isso causa para as empresas?
Eu preciso estar preparada para automatizar esse processo, ter uma política bem estabelecida sobre como eu gerencio todas essa identidades em um prazo muito menor. Então essa visão de ter que ficar sempre atualizada e em constante mudança em casos como o que vamos viver caro.
Se eu não tiver uma empresa preparada para isso, a hora que a mudança chegar, seja porque os ataques estão quebrando a tecnologia, ou porque é criada uma nova norma, a empresa pode ter um impacto muito grande e inclusive comprometer a funcionalidade que ela tem ali dentro.”
Em uma área ainda tão masculina, como é ser uma mulher na tecnologia, e como você observa as mulheres dentro desse setor?
Luiza Dias: “Esse é um tema realmente delicado, porque somos minoria, a forma de pensar é diferente, de se comportar, de se comunicar, e isso às vezes causa estranheza. Eu acho que, fazendo uma linha do tempo, eu que não vim da tecnologia, mas entrei e fui crescendo nesse caminho, é de ter voz, no sentido de falar e ser ouvida.
Isso porque, quando você está em uma mesa com vários homens, ser boa não é suficiente. Eu acho que o grande desafio é você assumir que é, e provar que é ainda mais. Você precisa ser muito boa para ser ouvida, e isso é verdade. Se você chegar em uma roda muito masculina e sua voz foi ouvida, é porque o que você tem que falar faz muito impacto, e esse é um desafio.
E as mulheres por si só já vem carregando coisas como síndrome de impostora, maternidade, tantas questões, mas se olharmos para isso de outra forma, que é a capacidade de multitasking, fazer várias atividades ao mesmo tempo, ser resilientes, é o que nos coloca nessa posição.
Tomara que consigamos fazer com que outras mulheres olhem e pensem ‘eu também consigo’, e que possamos equilibrar isso dentro das empresas de tecnologia.”
Se você pudesse conversar com alguém, com quem você falaria?
Luiza Dias: “Nessa linha do que falamos da importância da mulher ter voz, eu vou escolher Chiquinha Gonzaga, que foi a primeira brasileira cantora e que naquela época a mulher não tinha voz absolutamente.
Então ela conseguiu soltar sua voz para ser ouvida, e nessa jornada dela na Terra, ainda conseguiu ser reconhecida como maestrina, foi a primeira cantora, a primeira maestrina, soltou a voz e ainda comandou uma orquestra inteira. Com certeza eu gostaria de ter um papo com ela.”
Confira mais entrevistas do Minutos Corporativos!