Confiança nos negócios digitais: conselhos da Gartner
À medida que os aparelhos inteligentes se tornam autónomos, os diretores de segurança da informação têm de adotar novos mecanismos para assegurarem a confiança.
O diretor de pesquisa da Gartner, Dionisio Zumerle, dá vários conselhos sobre como proteger a integridade dos aparelhos na era da Internet das Coisas e implementar “confiança adaptativa.”
Relevância da segurança nos negócios digitais
Os negócios digitais e a IoT podem parecer distantes de certos cenários empresariais; na verdade, não estão. Por exemplo, a implementação de partilhas de carros alavanca as aplicações de smartphones, tais como chaves inteligentes, enquanto os sistemas de pagamento automático podem transferir dinheiro através da aplicação de smartphone do cliente.
Do ponto de vista de segurança, a escala destas interações pode revelar mais vulnerabilidades e requer cautela. No ano passado, mais de 3,4 milhões de veículos receberam updates para vulnerabilidades que tinham impacto na segurança dos passageiros. Os receios em relação aos riscos de interconectividade são tantos que a China proibiu as forças armadas de usarem wearables ligados à internet.
O modelo tradicional de segurança da informação dá prioridade à confidencialidade, integridade e disponibilildade dos dados. No entanto, à medida que os negócios digitais fazem desvanecer a separação entre os mundos físico e digital, as fugas resultam em danos reais. Como resultado, a segurança dos ambientes e indivíduos é o principal objetivo.
O que há de novo na segurança da informação
A mudança na forma como abordamos a confiança homem-a-dispositivo e dispositivo-a-dispositivo vai ser fundamental. A IoT é composta por aparelhos inteligentes que tomam ações autónomas. A confiança na computação tradicional requer que o aparelho em que se confia satisfaça certas propriedades pré-definidas. Ou se confia no dispositivo ou se considera que está comprometido.
Nos casos de utilização digital, requere-se que os dispositivos estabeleçam a confiança de forma gradual, tal como os humanos, confirmando expectativas em transações pequenas e recorrentes. Os dispositivos devem ser capazes de operar sob diferentes níveis de confiança, juntando-se a um sistema com um nivel de confiança mínimo que será elevado com o tempo, permitindo ações com maior impacto. Tal como nas interações com humanos, isto permite desenvolver confiança em operações menos importantes antes de confiar a um componente operações mais importantes.
Além disso, os mecanismos de garantia de segurança terão de se tornar mais ágeis e granulares para endereçar cenários do negócio digital. Por exemplo, os carros conectados precisam que os sistemas de info-entretenimento estejam ligados ao sistema de controlo, para permitir funcionalidades convenientes como destrancar, iniciar e aquecer de forma remota ou geolocalização.
O que devem fazer os responsáveis de segurança
Os aparelhos inteligentes vão precisar cada vez mais de autonomia para tomarem decisões e ações que requerem confiança. As revelações recorrentes sobre vigilância e o carácter invasivo das aplicações móveis levaram a indústria de segurança a virar a atenção para a confidencialidade, mas a confiança em componentes assenta sobretudo em mecanismos de garantia de integridade, não na encriptação.
Os túneis de encriptação não têm utilidade se os aparelhos IoT que os usem puderem ser comprometidos sem deixar rastos. Os diretores de segurança devem dar mais atenção aos mecanismos de integridade e garantias quando selecionam e desenvolvem sistemas IoT.
Também devem contextualizar as suas abordagens à IoT. Vão emergir alguns princípios, como a capacidade de atualização. É essencial assegurar que os componentes conectados podem ser atualizados over the air, ou podem ser removidos e trocados por outros mais novos. Os diretores também devem certificar acordos de níveis de serviço claros e limites de responsabilidade com os fornecedores das plataformas.