ESPECIAL | Accenture: empresas mais atentas à gestão de identidades

A adoção cada vez maior da cloud e de SaaS por parte das organizações trouxe novos desafios à segurança, passando os dados e as aplicações a estar residentes fora do perímetro de segurança das organizações.

A prevalência do digital levará a segurança às áreas emergentes que serão a fundação dos serviços digitais do futuro. Cloud, Mobilidade, Redes Sociais, Internet das Coisas, tanto para os consumidores como para a indústria, e a utilização de soluções analíticas para a deteção e predição de eventos de segurança e monitorização dos comportamentos dos utilizadores deverão ser as áreas em foco para os próximos tempos, diz Pedro Moniz, Senior Manager, Accenture Operations – Infrastructure Consulting & Outsourcing.

Além disso, a adoção cada vez maior da cloud e de SaaS por parte das organizações trouxe novos desafios à segurança, passando os dados e as aplicações a estar residentes fora do perímetro de segurança das organizações.

Esta nova realidade está a obrigar as empresas a olharem de forma mais atenta para a sua gestão de identidades e a forma como os acessos são atribuídos e removidos nesta nova realidade híbrida em que os acessos podem existir em sistemas dentro e fora das organizações. Também os dados estão a mover-se para a cloud e com eles as preocupações de privacidade, regulatórias e de residência dos dados”, explicou o responsável.

Por outro lado, e no que diz respeito à Internet das Coisas, o Gartner estima que existam no final de 2016 6.8 mil milhões de dispositivos conectados à internet, com dispositivos tão diversos como automóveis, brinquedos, câmaras de vigilância, sensores, etc.

Diz Pedro Moniz que esta nova realidade de proliferação de dispositivos, que muitas vezes dependem de chaves que estão codificadas de forma fixa no dispositivo, que utiliza protocolos diversos que dificultam a gestão, que não sofrem atualizações de segurança e que muitas vezes não são monitorizados, aumentarão exponencialmente a área de ataque. Isto poderá levar que no futuro os ataques de DoS (Denial of Service), por exemplo, possam ter dimensões muito superiores e vir de redes de câmaras de vigilância e frigoríficos em vez das típicas botnets de computadores.

De resto, com o aumento da quantidade de dados e do valor que as organizações conseguem extrair desses dados por um lado e aos requisitos legais, regulatórios e de boas práticas por outro, estudos da Accenture realizados a nível global mostram que a proteção dos dados é uma preocupação das organizações, embora exista aqui um caminho a percorrer nos programas de classificação de informação e implementação de tecnologias para proteger e prevenir fugas de informação.

Tipicamente as organizações tem um conjunto de mecanismos de segurança como firewalls, IPS, gateway web e email, entre outras tecnologias, para proteção da sua infraestrutura. Contudo, explica Pedro Moniz, quando os colaboradores acedem aos recursos da empresa com os seus dispositivos não tem o mesmo nível de segurança, estando mais expostos a ataques de phishing, engenharia social, malware ou outros. “No futuro, esperamos ver as organizações a adotarem políticas de acesso mais restritas e a disponibilizarem tecnologia de segurança para instalação nos próprios dispositivos dos colaboradores, juntamente com o aumento dos programas de sensibilização de segurança para que as pessoas consigam identificar e proteger-se contra algum destes tipos de ataques”.

A verdade é que a adoção do conceito BYOD tem sido gradual, diz Pedro Moniz. Vemos neste momento várias empresas com iniciativas Mobile device Management para aplicação de políticas aos dispositivos pessoais que pretendem aceder aos recursos das empresas, contudo existe um longo caminho a percorrer seja na segurança das redes para permitir o acessos destes dispositivos seja no reforço de segurança das aplicações através da adoção de ciclo de desenvolvimento que incluam preocupações de segurança”.

Quanto às grandes dúvidas que hoje as empresas clientes colocam à consultora, Pedro Moniz diz que são questões sobre dados, privacidade e obrigações regulatórias, estabelecimento de programas de gestão de identidades e acessos na nova realidade da identidade híbrida, arquiteturas de segurança na empresa estendida que inclui a cloud, Saas, etc.

O que parece importante é o facto da segurança estar já na agenda dos decisores e existem orçamentos predefinidos para a área. “Contudo, não conseguem suprir todas as necessidades, estando as empresas a optar por serviços partilhados de monitorização e gestão de eventos de segurança, gestão e mitigação de vulnerabilidades, testes de penetração, gestão das firewalls e appliances de segurança de forma a reduzirem os custos mantendo um nível elevado de segurança das organizações.