133 views 8 mins

Olhando para a confiança digital de uma nova maneira

em Destaques
terça-feira, 23 de agosto de 2022

Diana Jovin (*)

O mundo hoje é a internet – e a rede – conectada de forma consequente. O ritmo da transformação digital acelerou, aumentando a área de superfície de como empresas, pessoas e coisas estão conectadas. O Brasil está entre as nações mais digitalizadas do mundo, segundo levantamento do Centro de Tecnologia Aplicada da FGV, que mostra que existem hoje 447 milhões de dispositivos digitais em uso doméstico ou corporativo no país.

No caso da América Latina, a transformação digital continua avançando, pois segundo a consultoria IDC, 50% das PMEs da região são digitais e até 2020, das 3.000 maiores empresas da América Latina, 40% delas gerarão mais renda graças à tecnologia. E é contra esse pano de fundo que a confiança digital é essencial. É o que nos permite construir, participar e crescer neste mundo conectado em que vivemos agora.

É o que nos permite ter confiança de que as coisas que estamos fazendo online – sejam interações, transações ou processos de negócios – são seguras. Com esse crescimento exponencial na conectividade, a confiança digital agora deve ser incorporada em arquiteturas de TI que são mais complexas.

Serviços em nuvem, cargas de trabalho híbridas e convergência de TI/OT mudaram a forma do que está conectado e do que não está. O trabalho remoto aumentou o método e a forma de acesso e provisionamento corporativo. E as arquiteturas de rede de confiança zero expandiram os tipos de coisas que precisam ser autenticadas e protegidas.

Essa expansão na área de superfície conectada também pode ser descrita como a dissolução da fronteira corporativa tradicional. Com essa mudança, as empresas são as guardiãs da confiança digital não apenas para seus próprios funcionários e operações internos, mas também para seus clientes, parceiros e comunidades estendidas.

A base da confiança digital baseia-se em três elementos-chave:

• Autenticação de identidade, seja para um indivíduo, uma empresa, uma máquina, uma carga de trabalho, um contêiner ou um serviço;
• Integridade, a garantia de que um objeto não foi adulterado; e
• Criptografia, protegendo os dados em trânsito.

Esses três elementos são o que nos permite saber se um site é seguro, se um e-mail é autêntico, que uma assinatura de documento é válida, que o software não foi comprometido, que uma imagem de software em nuvem é válida, que um indivíduo é quem eles dizem quem são.

Esses três elementos são entregues por meio de certificados digitais que vinculam pares de chaves criptográficas público-privadas à identidade. Essa infraestrutura de chave pública (PKI) ajuda as organizações a estabelecer identidade, integridade e criptografia confiáveis entre pessoas, sistemas e coisas. A PKI, no entanto, fornece apenas a base.

Vamos dar uma olhada nos blocos de construção da confiança digital para entender o que significa empreender uma iniciativa de confiança em um sentido mais completo. A confiança digital é derivada de quatro blocos de construção principais: padrões, conformidade e operações, gerenciamento de confiança e confiança conectada.

. Padrões: são o que define a confiança para uma determinada tecnologia ou indústria. O CA/Browser Fórum, por exemplo, foi organizado em 2005 para reunir um grupo de autoridades certificadoras (CAs), fornecedores de navegadores de internet e fornecedores de outros aplicativos que utilizam certificados digitais X.509 v.3 para TLS/SSL, assinatura de código , e S/MIME 5.

Este fórum define os padrões aos quais as autoridades de certificação devem aderir para serem confiáveis para entregar confiança. Outros fóruns e consórcios de tecnologia e indústria (por exemplo, NIST, IETF, CableLabs, CI+, Matter) também conduzem outros requisitos de indústria e certificados.

. Compliance e operações: são o conjunto de atividades que estabelecem confiança. Compliance é o conjunto de políticas e auditorias que verificam se as operações estão sendo conduzidas de acordo com os padrões estabelecidos por um órgão de governança. As operações, com datacenters em seu núcleo, verificam o status do certificado por meio de OCSP ou outros protocolos.

. Gerenciamento de confiança: as empresas estão confiando cada vez mais no gerenciamento do ciclo de vida do certificado e em outros tipos de software para gerenciar a confiança. Este software reduz a interrupção dos negócios devido a interrupções de certificados, reduz a atividade desonesta ao impulsionar a adesão à política de segurança corporativa e reduz a carga administrativa de gerenciar ciclos de vida de certificados e outras identidades corporativas por meio da automação de processos de negócios.

. Confiança conectada: as empresas também precisam de maneiras de estender a confiança a cadeias de suprimentos ou ecossistemas mais complexos. Exemplos são garantir a continuidade da confiança em todo o ciclo de vida do dispositivo, em uma cadeia de fornecimento de software ou no estabelecimento de proveniência de direitos digitais em uma comunidade de conteúdo.

Esses quatro blocos de construção, com a PKI em sua base, fornecem a estrutura de confiança da qual todos dependemos para operar no mundo digital. A importância estratégica da confiança digital vai além da criação e manuseio de certificados digitais. É parte integrante da função de segurança e risco, protegendo a empresa contra ameaças de segurança cibernética.

É um componente necessário da transformação digital, permitindo que as empresas transfiram processos críticos online e criem novas formas de conexão interorganizacional. E é essencial para o nosso futuro conectado. As empresas que estão investindo estrategicamente em confiança digital estão se posicionando agora como administradores de um mundo seguro e conectado.

(*) – É vice-presidente de marketing de produtos da DigiCert (www.digicert.com).