• Digital Futurecom is part of the Informa Markets Division of Informa PLC

    This site is operated by a business or businesses owned by Informa PLC and all copyright resides with them. Informa PLC's registered office is 5 Howick Place, London SW1P 1WG. Registered in England and Wales. Number 8860726.

Problemas mais comuns de segurança com a identificação de usuários

Problemas mais comuns de segurança com a identificação de usuários

Foi nos últimos anos que notícias sobre vazamentos de dados e ataques de hackers aos ativos de grandes empresas tomaram conta dos jornais. Como resultado, além do alerta para que as empresas reavaliem a forma de lidar com o ambiente digital, o tema da Segurança da Informação entrou em voga, principalmente sobre a Identificação de Usuários.

A forma com que as empresas vinham tratando seus dados chamou atenção: vulnerabilidade e descaso, de ponta a ponta. E apesar de, até pouco tempo atrás, não ser prioridade, com as recentes leis de dados (como a GDPR europeia e a LGPD brasileira), a Segurança da Informação voltou a ser um tópico importante para as empresas.

Por isso, buscar investimentos eficientes que ajudem os negócios a assegurarem seu banco de dados e a identificação de usuários é, além de uma garantia para manutenção das operações, uma regra do mercado.

Segurança na Identificação de Usuários: Uma das principais brechas

Quando se fala em Segurança da Informação no ambiente digital, àquilo que aparenta ser o menor dos problemas, pode se revelar como um dos maiores. No caso, a Identificação de Usuários.

Segundo Rafael Silva, professor de Ethical Hacking do curso de Defesa Cibernética da FIAP, “a identificação de usuários faz parte de um processo que determina quem pode acessar um determinado sistema. Na identificação, o usuário diz ao sistema quem ele é (normalmente por meio do login). Na autenticação, a identidade é verificada através de uma credencial (uma senha) também fornecida pelo usuário”.

Ou seja, um dos problemas mais comuns de segurança para as empresas é justamente na primeira barreira imposta para adentrar seus sistemas, ambientes digitais e softwares: o login. A etapa que mais caracteriza a Identificação de Usuários.

Muitas falhas em sistemas e aplicações possibilitam que hackers e fraudadores tenham acessos a esses dados sigilosos, pois a grande maioria dos usuários utiliza os mesmos dados também para outros acessos e não somente para uma aplicação específica. Com isso, toda a integridade dos dados é corrompida e corre o sério risco de um vazamento” diz Silva.

Silva ressalta que um mero sequestro de dados pode ser a faísca para que todo um “efeito dominó” de problemas ocorra com os dados da empresa.

“Grandes empresas como Facebook e Linkedin já foram afetadas com vazamento de dados. Recentemente, a empresa hoteleira Marriott, que tem em sua lista hotéis como Sheraton, W Hotels, St. Regis e Westin, teve um vazamento de dados que pode ter afetado 500 milhões de clientes. A base de dados da empresa tem um custo estimado de US$ 12,2 bilhões em dados de usuários” contextualiza Rafael Silva. 

O uso desses dados roubados pode se dar das mais diversas formas. Os hackers podem pedir um resgate, como aconteceu à Uber em 2016, usá-los para fazer espionagem empresarial ou ainda, “os usuários afetados podem ter seus dados — além de suas credenciais — expostos a fraudadores, o que possibilita ao criminoso efetuar cadastros falsos em site de compras, criar e/ou cartões de créditos falsos, entre outros” complementa Silva.

Como evitar que esses ataques à Segurança da Informação de dados da identificação de usuários aconteçam em sua empresa?

É necessário que as empresas tenham plena consciência dos perigos ao seu ambiente digital. Seja por força externa, como um ataque de hackers, ou mesmo a inexperiência de usuários ou colaboradores, que de forma inocente, podem infectar seu sistema ou servirem de meio para que programas sequestradores de dados entrem em ação.

“Fica claro que as empresas devem efetuar — com bastante frequência — testes de identificação e vulnerabilidades em suas redes e aplicação de sistemas, tanto web quanto embarcados. A todo momento, os hackers identificam novas maneiras de invadir uma aplicação para extrair dados de usuários. Desta forma, é importante que todas as empresas efetuem uma validação diária de seu sistema, para reduzir os riscos destas ameaças” aconselha o professor, que completa: “Os usuários e as empresas devem utilizar sempre todos os recursos de segurança disponíveis, como dupla autenticação e criptografia, utilização e troca de senhas pelo menos a cada 3 meses”.

Além disso, o professor Rafael Silva ainda recomenda acessar o site Have I Been Pwned, que possibilita saber se seu endereço de e-mail já foi vazado em decorrência de algum ataque a dados de empresas.

A Segurança da Informação é um processo que busca garantir confidencialidade, integridade, autenticidade e disponibilidade dos dados e informações de uma empresa. Pensar em assegurar o ambiente digital, na realidade de hoje, é evitar prejuízos futuros e se mostrar como uma empresa de confiança, seja para colaboradores, parceiros e clientes.

5 passos para garantir segurança da informação em serviços de identificação

5 passos para garantir segurança da informação em serviços de identificação

A segurança da informação talvez seja o maior desafio das empresas para esta próxima década. Após inúmeros escândalos envolvendo atividades ilícitas com dados de identificação de usuários, muitas empresas já estão cientes do que devem fazer para proteger um de seus ativos mais importantes.

No entanto, muitos dessas empresas e gestores não sabem como fazer isso.

Uma reviravolta deste tamanho realmente é capaz de deixar alguns profissionais um pouco confusos. Afinal, pouco tempo depois dos vazamentos de dados por grandes empresas, como Facebook e Uber, a União Europeia já tratou de blindar a forma com que empresas tratam os dados de seus cidadãos, foi então que nasceu a lei GDPR.

Em cerca de alguns meses, a sua versão brasileira também foi aprovada, a LGPD (Lei Geral de Proteção de Dados), que entrará em vigor em agosto de 2020.

Com a mudança de cenário, velhas e engessadas práticas de manutenção e segurança da informação precisam ser repensadas e renovadas, já que os perigos se estendem por todo ambiente digital.

“Quando se trata da devida identificação de usuários em computadores, sistemas, dispositivos e outros ambientes, existem diversas tecnologias e formas de autenticação, ou seja, podemos contar com diversos processos para confirmar a identidade do indivíduo” diz Marcelo Lau, professor e coordenador do MBA em Cyber Security, Forensics, Ethical Hacking & Devsecops da FIAP.

Por isso, é imprescindível conhecer e aplicar métodos modernos de segurança da informação na sua empresa. Quer descobrir como? Abaixo, detalhamos 5 passos importantes para reforçar a proteção aos dados da sua empresa, confira:

1. Entenda o nível de proteção exigido aos seus dados

Já se sabe que não é possível proteger absolutamente 100% dos dados, no entanto, é possível fazer um grande esforço para blindar os ativos mais importantes. Para isso, é necessário que a empresa conheça a fundo seu banco de dados e possíveis portas de entrada, para então entender e planejar suas ações preventivas.

“Uma vez que esta preocupação com a proteção e segurança das informações deve estar alinhada às necessidades de negócio, entendo que o passo inicial de todo o processo é compreender o nível de proteção exigido aos dados, incluindo as necessidades de manutenção da integridade, disponibilidade e confidencialidade — que compõem os pilares da segurança da informação” confirma Lau.

2. Crie processos que reforcem a segurança da informação

A chave para o controle de qualidade dos processos, muitas vezes, é a padronização. Ou seja, a criação de etapas obrigatórias aos colaboradores e usuários para que alguma condição de segurança ou conformidade seja garantida.

Essa mesma lógica serve para a segurança da informação, ou seja, “sabendo quais os níveis de proteção necessários, deve-se propor controles por meio da adoção de tecnologias, processos para conscientização, treinamento de usuários (sejam funcionários, prestadores de serviço e até mesmo clientes), para que eles tenham a devida consciência de como usar adequadamente os sistemas através de suas credenciais e redes de comunicação seguros” aconselha o coordenador.

3. Não dependa só da tecnologia

Muito se destaca que a falha em sistemas de segurança da informação venha do fator humano. Claro, essa é uma verdade, mas não algo absoluto. O fator humano pode ser a chave para identificar erros lógicos e falhas em um esquema de proteção dos dados.

“Devemos estar cientes que somente a tecnologia não é suficiente para proteger os dados, já que se torna essencial que processos de monitoramento sejam estabelecidos e operacionalizados para garantir a efetividade desses mecanismos de proteção” complementa Lau.

4. A proteção não acontece apenas na concepção e na manipulação dos dados

Quando falamos de segurança da informação, todas as frentes devem ser analisadas. Enquanto muito se fala dos cuidados na criação e, principalmente, na manipulação dos dados, mas pouco se ressalta a importância de assegurar um fim seguro para esses dados, quando necessário ou solicitado.

“Devemos considerar que eles [os dados] devem ser protegidos desde a sua concepção (ou seja, quando nascem ou surgem) até o momento que eles devem deixar de existir, quando é preciso haver um processo seguro de descarte, incluindo a destruição segura das mídias que armazenavam esses dados” conclui Lau.

5. Revisite (e reformule) estes processos de tempos em tempos

Um dos pontos principais é ter em mente que esse é um processo que carece de evolução. Definir os parâmetros da segurança da informação em sua empresa é essencial, mas tão importante quanto, é analisá-lo em busca de falhas e pontos de melhoria.

“É muito importante que estes processos de negócio sejam sempre revisitados para reavaliação de riscos e aprimoramento dos mecanismos de proteção visando manter sempre atual esta blindagem dos sistemas de informação (e seus respectivos dados)” completa o coordenador.

Garantir a segurança da informação dos serviços de identificação de usuários nos sistemas da sua empresa é inevitável. Mais do que isso, concretizar esses passos acima, é o mesmo que acenar ao mercado e ao público, garantindo que sua empresa se importa em investir em sua proteção.