Como fica a segurança digital das empresas em tempos de Internet das Coisas?
Por Diana Jovin, vice-presidente de marketing de produtos da DigiCert
Dispositivos conectados são cada vez mais comuns na vida das pessoas e na operação de empresas em todos os setores da economia. Pesquisa divulgada pela Cisco estima que a IoT (Internet das Coisas) movimente cerca de US$ 19 trilhões até 2023, em um cenário em que a América Latina será responsável por US$ 860 bilhões e o Brasil US$ 352 bilhões. A Gartner prevê que o número de dispositivos conectados à Internet das Coisas chegará a 25 bilhões em 2021, uma estatística que, segundo a Juniper Research, deve dobrar até 2022, quando mais de 50 bilhões de dispositivos estarão conectados à IoT.
As tendências tecnológicas mudaram a forma como os profissionais de TI pensam sobre segurança no perímetro corporativo. Tecnologias operacionais anteriormente isoladas – como maquinário de chão de fábrica, utilidades e infraestrutura industrial, instrumentos hospitalares ou cozinhas industriais – tornaram-se conectadas e vulneráveis a ataques cibernéticos. Aplicativos e serviços mudaram para a nuvem, mudando os modelos de acesso do usuário e mudando para orquestração sob demanda, computação sem servidor e arquiteturas de dados distribuídos
Os dispositivos proliferaram, com os funcionários geralmente conectando seus próprios dispositivos pessoais – de telefones celulares a tablets e computadores, de veículos rastreados a redes corporativas. Essas mudanças, que desafiam coletivamente a noção de perímetro corporativo tradicional, estão levando as empresas a reformular as premissas fundamentais que regem a segurança do usuário, do aplicativo e da empresa.
E quanto ao aplicativo e ao acesso de TI?
Como as empresas não podem mais depender de limites físicos ou virtuais para definir o que é confiável ou não, muitas organizações estão adotando uma política de segurança de confiança zero. Essa abordagem de segurança “nunca confie, sempre verifique” exige que todos os acessos a redes, aplicativos e serviços sejam autenticados. Como resultado, os gerentes de identidade e acesso estão atendendo demandas significativamente maiores em suas organizações:
- Mais pontos de acesso que precisam de autenticação
- Maior volume de autenticações
- Aumentar os tipos de autenticação (por exemplo, autenticação biométrica ou sem senha)
Gerenciando identidade, integridade e criptografia
Em um ambiente sem perímetro, o número e os tipos de coisas que precisam ser protegidas também aumentam. A função do administrador de PKI se expandiu além da segurança da Web TLS tradicional para atender a casos de uso novos e em expansão em toda a organização:
- Identidades de servidores, usuários de dispositivos
- Expandindo métodos de autenticação e registro
- Integridade de assinaturas digitais, documentos, conteúdo e software, com trilhas de auditoria para correção
- Comunicação segura e criptografada
- E-mail seguro
- Esses casos de uso de PKI estão se proliferando ao mesmo tempo em que os períodos de validade do certificado para confiança pública estão diminuindo. Enquanto períodos de validade mais curtos aumentam a segurança do certificado, os giros mais rápidos aumentam a carga administrativa de gerenciamento, bem como a área de superfície para risco de interrupção dos negócios. Não surpreendentemente, isso está gerando maior necessidade e atenção para soluções de gerenciamento de PKI que auxiliam na governança desse cenário de PKI em expansão.
Dispositivos conectados mais seguros
Dispositivos conectados, sejam eles dispositivos pessoais conectados a uma rede ou tecnologia operacional ficando online, aumentam a área de superfície de ataque que agora deve ser protegida. Os administradores de segurança de tecnologia de rede e operacional não precisam apenas considerar como provisionar a identidade do dispositivo, mas também como proteger os dispositivos em operação – como tornar os dispositivos mais resistentes a adulterações, como proteger a comunicação entre eles, como controlar como eles se conectam à rede , como reunir legados (brownfield) e novos (dispositivos greenfield) e habilitar autenticação mútua entre eles, como monitorar ameaças.
Os diretores de produtos de segurança que definem e criam soluções centradas em dispositivos, por sua vez, devem considerar a área de superfície que deve ser protegida em todo o ciclo de vida do dispositivo – entre fabricantes de chips, fabricantes de dispositivos, desenvolvedores de aplicativos, operadores de dispositivos e usuários de dispositivos – por toda a vida útil do dispositivo.
O modelo de segurança para a organização sem perímetro
Os alicerces da confiança digital – padrões, conformidade e operações, gerenciamento de confiança e confiança conectada – são a tecnologia fundamental que permite que as empresas operem com segurança em um mundo em que um limite corporativo não define mais o que é confiável e o que não é.
As soluções de confiança digital permitem que as empresas:
Gerenciar identidades
- Forneça identidades confiáveis para usuários, dispositivos, servidores e outros recursos de TI para atender às necessidades de autenticação de usuários, redes e dispositivos
- Gerencie e automatize ciclos de vida de certificados e acesse fluxos de trabalho para dar suporte às crescentes demandas de TI e reduzir erros humanos
Gerenciar integridade
- Governar a integridade e o não repúdio de assinaturas, documentos e conteúdo
- Estabeleça a integridade do software e estenda a confiança do software para usuários downstream e em todas as operações de nuvem e rede
Conexões e operações seguras
- Comunicação segura entre usuário e máquina a máquina
- Ciclos de vida de dispositivos seguros para operação confiável e capacidade de atualização
Monitore e corrija vulnerabilidades
- Monitore continuamente os ativos criptográficos dentro do ambiente corporativo e identifique e corrija vulnerabilidades.
As iniciativas de confiança digital corporativas podem estabelecer uma abordagem abrangente e unificada de segurança dentro de uma organização sem perímetro, abordando a forma como a desintegração do perímetro corporativo tradicional está moldando as demandas de segurança em diferentes departamentos de TI.