A experiência do cliente é crucial para qualquer empresa, seja do setor bancário, varejista ou industrial. Mas, as empresas que oferecem serviços digitais ainda precisam se preocupar com a camada de segurança. Durante a O2O Innovation Experience, Marcelo Ferreira, Arquiteto Sênior de Soluções de Cibersegurança da IDEssentials, mostrou sete pilares para uma arquitetura de segurança digital eficiente. Confira:
Segurança de API
As APIs são o ponto onde as empresas encaram suas primeiras ameaças, geralmente já conhecidas pelo mercado. APIs voltados para segurança trabalham com autenticação e monitoramento do comportamento do entrante. As ferramentas podem funcionar com machine learning para otimizar a identificação de vulnerabilidades
Dentro desta camada, o vazamento de informações também deve ser uma preocupação. Muitas vezes as empresas estão blindadas com tecnologia para segurança, mas se esquecem que há perigo de vazamento de dados pelo próprio padrão adotado por sua plataforma. Essa possibilidade é potencializada em parcerias.
Uma fintech parceira pode ter sido invadida e o sistema de outra empresa continua a tratando como agente confiável. As APIs de segurança passam a gerenciar os entrantes na arquitetura para evitar vazamentos.
Onboarding
Em um ambiente de fortes regulações, a entrada do usuário passa a ter várias preocupações com relação a segurança. É comum que os usuários façam o upload de documentos, selfies e até vídeos como parte desse processo. Nesta etapa há uma ameaça muito explorada de ataque: a contaminação dos documentos por malwares.
Existem algumas soluções para combater este tipo de ameaça. Quando um documento é carregado na plataforma, é preciso ter um componente que examine a existência de um malware no arquivo. Se existir, ele deve ser isolado e eliminado da plataforma. É recomendável fazer uso dos dados daquele documento após a verificação.
Feita a validação do documento que o usuário carregou, são tomadas algumas ações tradicionais, como validação do dispositivo utilizado para carregar os arquivos, via SMS e, depois, validação do endereço de e-mail.
Depois, há a entrega do token para o usuário, outra etapa onde há vulnerabilidade. O perigo é entregar esta autenticação muito cedo para o usuário, antes de validar todos os processos. Esta deve ser vista como a última parte do onboarding do usuário.
Autenticação
Esta já é uma camada muito consolidada no mercado, mas podemos agregar inovação a esta etapa, focando na experiência do usuário. Podemos prover uma experiência Uber, que significa entrar na plataforma sem a necessidade de exigir uma senha. Isso só acontece quando o processo de onboarding é eficiente, já que a partir desta etapa a companhia passa a confiar no usuário e no dispositivo validado por ele.
Para que isso aconteça, é preciso fazer uma análise de risco de acesso à plataforma. Se um usuário faz uma viagem ao exterior e sai do seu padrão de comportamento é necessário refazer a autenticação. As empresas podem desafiar o usuário solicitando autenticação por SMS ou mesmo restringir o acesso à plataforma.
Monitoramento ativo
Esta etapa está intimamente ligada à camada de autenticação. Em algumas situações, é necessário fazer o caminho inverso da autenticação. O monitoramento ativo é responsável por identificar anomalias nos padrões de comportamento do usuário e acionar a camada de autenticação.
Gestão de acesso privilegiado
É um ponto fundamental para todas as aplicações. A luta contra o vazamento de informações está ligada a esta camada. Existe a possibilidade de colaboradores e prestadores de serviço estarem mal-intencionados e as empresas precisam se blindar contra isto.
Para os funcionários, é importante gerir todas as credenciais e evitar que todos tenham acesso privilegiado dentro da arquitetura. As empresas precisam dar acesso aos colaboradores àqueles itens que façam sentido para a função.
Para prestadores de serviço, as empresas não podem passar credenciais reais, e sim acessos monitorados e que tenham data de validade.
Portal de APIs
É importante que as empresas ofereçam esta solução para desenvolvedores e parceiros. Neste ambiente, são oferecidas funcionalidades como fóruns de debate, exemplos de soluções e um catálogo de todas as APIs disponíveis.
As empresas parceiras podem dispor de um ambiente de para testar as aplicações e dados sintéticos para simular usos práticos durante os testes.
