Até pouco tempo atrás, a maioria das empresas sabia que havia um número limitado de conexões à rede de computadores corporativos, por exemplo, uma quantia determinada de VPNs e conexões discadas. Porém hoje, um perímetro de rede físico já não é mais definido pelos dispositivos da rede. Os usuários do sistema — funcionários, clientes, usuários convidados, parceiros e fornecedores — representam hoje os novos limites da rede.
Em sua palestra na recente RSA 2007 Conference, o presidente e CEO da Symantec, John Thompson, foi bastante claro: "Durante os últimos anos, testemunhamos mudanças críticas na evolução da segurança. Hoje, o campo de batalha para a segurança não é somente o dispositivo. É também a proteção da informação que está sendo compartilhada e das interações que ocorrem on-line. Hoje em dia, o perímetro da rede não pode ser bloqueado. Ele já não é mais definido pelo patrimônio físico contido em datacenters ou desktops da empresa. A nova realidade é que as pessoas são o novo perímetro da rede."
Este artigo descreve uma nova abordagem para o gerenciamento de riscos, conhecida como Security 2.0, com atenção especial voltada para como ela protege as identidades dos usuários.
Conforme observado em um artigo recente do
Security 2.0, a proteção da informação e das interações necessita de mais do que trancas de segurança. São necessários produtos e serviços que ofereçam uma visão abrangente da postura geral de segurança da empresa. São necessárias também soluções que identifiquem riscos com antecedência, para que possam ser tomadas medidas para reduzi-los e prevenir um ataque. Também é preciso permitir que os clientes gerenciem seus eventos de segurança, independente dos produtos que já possam estar instalados.
O fundamento básico do Security 2.0 é a proteção da identidade, o que John Thompson da Symantec chama de "o maior desafio enfrentado pela indústria de segurança nos dias de hoje.”
Ele enfatizou para os participantes da RSA 2007, que "Para corporações, a implementação de sistemas para o gerenciamento de identidades foi basicamente paralisada." "Porém, mudanças nos requisitos de governança corporativa e outras iniciativas regulamentares forçarão as empresas a retomar esses projetos. Parte desse projeto implicará em levar o gerenciamento da identidade para além da empresa, englobando clientes, parceiros e fornecedores com os quais a empresa interage."
Eventos recentes enfatizam a opinião de Thompson. Uma concessão que possa resultar no vazamento de informações sobre identidades pessoais pode causar também a perda da confiança do público, responsabilidades legais e litígios de alto custo. Considere como exemplo a experiência da grande empresa TJX. A empresa foi recentemente obrigada a cobrir uma dívida de quase 50 milhões em cartões de crédito e débito roubados por hackers que acessaram os sistemas de computador da TJX durante um período de vários anos. Essa violação foi considerada a maior quebra de sigilo de dados pessoais jamais relatada.
A verdade é que o padrão tem sido alterado com relação à segurança. As empresas atualmente têm a responsabilidade de proteger todos os usuários que se conectam às suas redes, independente de serem funcionários, clientes ou parceiros. As empresas precisam partir do princípio de que não estão protegidas e oferecer uma segurança que as ajudem a interagir de forma segura, proporcionando confiança na experiência conectada.
"A aceitação da responsabilidade pela segurança do acesso de um dispositivo à sua rede, quando esse dispositivo não for de sua propriedade ou gerenciado pela sua empresa é um conceito radicalmente novo," afirma Thompson.
Recusar-se a adotar esse novo modelo de segurança simplesmente não é uma opção. De acordo com um estudo da Gartner and Cyber Security Industry Alliance, 53% de usuários da Internet pararam de fornecer informações pessoais em websites, devido ao medo de roubo de identidade, e 14% já não pagam mais suas contas on-line pelo mesmo motivo.
O potencial dos aplicativos e serviços on-line criados sobre uma base sólida é praticamente ilimitado. Apesar das transações comerciais receberem maior atenção, as tecnologias de comunicação como e-mails e mensagens instantâneas podem também ser aprimoradas significativamente pela proteção da identidade. Além disso, as redes sociais, os controles para pais, os sistemas para a redução de riscos e fraudes, o gerenciamento de direitos digitais e o compartilhamento de arquivos podem tirar grande proveito dos sistemas de proteção de identidade que surgem atualmente. Com certeza, a identidade digital é uma base essencial na evolução da experiência on-line futura. Soluções robustas de proteção de identidade são a chave para a adoção de novos serviços no futuro.
Apesar de a segurança não ser o objetivo principal do gerenciamento de identidades, ela tem sido chamada o "pré-requisito fundamental" para a confiança no uso de novos serviços on-line. O objetivo básico é gerar confiança nas novas funcionalidades que os serviços de identidade proporcionam. Para obter êxito, a base da segurança deve proteger a privacidade do usuário, fornecer verificação de identidade segura e proporcionar confiança em ambas as direções. Privacidade é fundamental. Se os usuários quiserem participar nesse sistema, precisam ter a certeza de que ele protegerá a sua privacidade e que não revelará informações sobre a sua identidade sem o seu consentimento. É necessário também que estejam confiantes que suas informações serão protegidas de forma adequada e não reveladas involuntariamente a terceiros. Finalmente, as partes envolvidas em transações relacionadas à identidade necessitam ter uma maneira pela qual possam determinar o grau de confiança entre si. Um sistema deve oferecer esses recursos como uma base, antes que serviços de identidade de níveis mais altos possam ser criados.
As organizações que proporcionarem uma experiência segura aos usuários finais —sejam eles parceiros, fornecedores ou clientes — não somente reduzirão seus riscos, mas também criarão uma vantagem competitiva para suas empresas. Com transações e identidades mais seguras, as empresas poderão reter melhor seus clientes e reduzir o seu próprio risco de fraude. O principal objetivo do Security 2.0 é a proteção de seus usuários, independente do dispositivo que utilizam, da transação on-line que conduzem ou da ameaça que enfrentam.
Delicious
Meneame
Technorati
Digg
Yahoo Buzz
Google
Facebook
Reddit
Newsvine
StumbleUpon
