Com a ascensão de novas soluções digitais, especialmente as ferramentas inteligentes e baseadas em Nuvem, os dados se transformaram no principal ativo estratégico para o futuro das companhias. Por outro lado, à medida que a digitalização dos negócios avança, acompanhamos também a escalada no número de ameaças às empresas, com uma série de episódios de violação à privacidade de dados pessoais ocorrendo ao redor do planeta.
“Essas violações não aconteceram isoladamente. Existem centenas de ataques contínuos contra todos os tipos de empresas, destacando o fato de que os consumidores não têm controle sobre a privacidade de seus dados nos ambientes atuais de processamento de informações”, diz Avivah Litan, Analista do Gartner.
“Uma das soluções recomendadas, se você acha que suas informações pessoais podem ter sido comprometidas, é solicitar um congelamento de crédito de todas as três principais agências de crédito para garantir que os hackers não possam explorar suas informações roubadas – mas minha opinião é que elas protegerão você de menos de 5% dos tipos de hacks que podem acontecer”.
Como os dados roubados podem ser usados?
– Podem ser vendidos e revendidos de forma clandestina;
– Para atualizar registros de identidade já roubados anteriormente, que estão cada vez mais abundantes, mas que geralmente estão desatualizados em termos de números de telefone e endereços;
– Para assumir contas existentes, incluindo contas bancárias, contas de corretagem, contas de serviços de telefone (uma ocorrência comum nos dias de hoje, por exemplo, com titulares de carteira de Bitcoin) e contas de aposentadoria. “Esses dados comprometidos de informações de identificação pessoal são usados por centrais de atendimento e sistemas on-line para verificar identidades durante a realização de transações de alto risco, como movimentar dinheiro ou alterar o número de telefone de uma conta”, diz Litan. “Então, armados com dados roubados e atualizados, os criminosos podem mais facilmente imitar suas vítimas-alvo para entrar em suas contas”;
– Serem comprados e usados por nações adversárias, que têm seus próprios planos para perturbar ou roubar a sociedade de um determinado local. As metas podem variar de questões críticas, como interromper processos políticos ou roubar propriedades intelectuais valiosas utilizadas para fabricar sistemas relacionados a armas (por exemplo, sistemas de defesa antimísseis) a missões mais inócuas, como o roubo de bens de consumo, plantas, bolsas de luxo ou perfumes.
O que as organizações devem fazer quando se trata de verificação de identidade?
Para começar, não faz sentido confiar apenas em informações de identificação pessoal estáticas para identificar indivíduos com os quais uma empresa já está envolvida. Ainda mais quando há uma chance maior que 50% de que os dados estejam em mãos criminosas, de acordo com o Gartner. As organizações devem reduzir a dependência de dados pessoais estáticos e aumentar a confiança em dados dinâmicos de identidade ao se envolver na verificação de perfis e usuários. Os sistemas baseados em informações dinâmicas e indicadores comportamentais são mais capazes de avaliar a legitimidade e o risco de uma declaração de identidade do que aqueles baseados em informações de identificação pessoal estáticas.
No entanto, uma abordagem de verificação de identidade em camadas é sempre a abordagem mais forte, tornando muito mais difícil para os usuários não autorizados comprometer os ativos e sistemas de uma organização. Nenhum método singular de avaliação de identidade usado por si só é suficiente para afastar fraudadores determinados ou para verificar a legitimidade de uma reivindicação de identidade individual.
A tecnologia de contabilidade distribuída do Blockchain também é usada cada vez mais para processos de identidade descentralizada. Comumente referida como identidade “autossoberana”, essa tecnologia permite que os consumidores controlem seus próprios dados de identidade e os liberem seletivamente para quem quiserem. “Embora a tecnologia ainda não esteja disseminada, é positivo ver que estamos nos movendo nessa direção”, diz Litan.
A melhor aposta de gerentes de segurança e de negócios é usar várias camadas de processos de avaliação de identidade. Cada camada recua da anterior, de modo que, se os criminosos contornam uma camada, a próxima os detém ainda mais. Por outro lado, cada camada sucessiva adiciona garantia de que uma reivindicação de identidade é legítima.
A avaliação de identidade não é um evento único. Deve ser um ciclo contínuo acionado por uma autenticação ou transação. As organizações podem escolher quais medidas em camadas devem ser tomadas com base em tolerância ao risco, requisitos de garantia de identidade e custo. Situações são fluidas e mudanças constantes entre uma população de usuários devem ser esperadas. A estratégia mais apropriada para avaliar as reivindicações de identidade deve ser similarmente fluida e dinâmica.
