Identidades digitais e eletrônicas em alta traz oportunidades para o setor de segurança da informação

by in ÚLTIMAS NOTÍCIAS 31/07/2020

Fonte: Crypto Id

Com as adversidades surgidas durante a pandemia mundial causada pelo COVID-19, muitas empresas brasileiras sofreram significativos impactos em seus negócios por não estarem preparadas para a operação por meios digitais em que as identidades digitais e eletrônicas são fundamentais.

Por Regina Tupinambá

Empresas que já utilizavam processos eletrônicos e trabalhavam com eIDs – Identidades Eletrônicas, tiveram menos problemas para contornar as adversidades causadas pela pandemia mundial.

As identidades eletrônicas são utilizadas para a identificação dos empregados, fornecedores externos, parceiros e clientes para acesso aos diversos aplicativos utilizados na empresa e para assinarem documentos possibilitando o já tão falado trabalho remoto, sem expor as empresas a acessos da comunicação corporativa por terceiros não autorizados.

Não é mais concebível que as empresas continuem a tocar seus negócios utilizando, de alguma forma, o meio eletrônico sem que estejam preparados para esse universo que é arrebatador.

A tecnologia computacional, indiscutivelmente, traz agilidade para a rotina das pessoas, agrega uma série de facilidades e benefícios para pessoas e empresas, mas por outro lado, pode ser muito perversa e aniquilar empresas independente dos seus portes, caso não sigam as boas práticas de segurança da informação.

O isolamento social forçou as empresas a trabalharem em home office e criou um novo modelo que exige o uso de ferramentas que possibilitem a mobilidade das pessoas, disponibilidade de acesso, revisão de SLAs e recursos que identifiquem pessoas e as próprias empresas com o devido e necessário sigilo das comunicações.

As empresas nesse momento de pandemia tiveram que implementar projetos de segurança da informação às pressas e fazer em três meses o que levariam três anos se considerarmos o ritmo com que estavam habituados a tocar esses projeto.

Muito embora desconfiamos que a “ficha” ainda não caiu para a maioria das empresas de que suas informações estratégicas possam estar sendo acessadas e utilizadas por terceiros para fins escusos porque o roubo de informações não é simples de ser detectado se a empresa não se prepara para esse tipo de monitoramento.

As novas eIDs. Não tão novas assim!

O tema das identidades eletrônicas colocado em foco pela MP 983, traz então novas oportunidades para a indústria da segurança da informação, em especial, para fornecedores de identificação digital, consultorias especializadas e desenvolvedores de softwares de gestão de identidades.

A Medida Provisória 983 editada pelo governo brasileiro, em 16 de junho de 2020, determina como as organizações públicas brasileiras, federal, estaduais e municipais devem utilizar as eIDs.

Os certificados digitais ICP-Brasil, classificado na MP como instrumentos para produção da assinatura qualificada, servem para gerar evidências como autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade o que garante o não repúdio aos atos documentados em meio eletrônico, no entanto, não é o único recurso disponível para auxiliar as empresas a se tornarem mais digitais para a garantia de sua sobrevivência.

Nessa MP, o governo brasileiro reconhece e destaca três tipos de assinaturas: simples, avançada e qualificada.

O governo brasileiro se baseou para determinar os três tipos de assinatura eletrônica na regulação eIDAS (electronic Identification, Authentication and Trust Services) e Dr. Fabiano Menke compara a MP 983 com a Medida provisória 2.200 e a semelhança com a eIDAS no artigo publicado no Crypto ID.

eIDAS é o regulamento da União Europeia sobre identificação eletrônica e serviços de confiança para as transações eletrônicas no mercado único europeu que substituiu a Diretiva 1999/93 /CE.

Como os tipos de assinaturas eletrônicas são classificadas na eIDAS

Certificado Digital
Certificado Digital

Assinatura eletrônica avançada ou advanced electronic signature – AdES, é aquela que atende ao conjunto dos seguintes requisitos:

  • Apresentar uma forma de identificação exclusiva que vincula a assinatura produzida ao seu signatário
  • O signatário precisa ter o controle exclusivo dos dados usados ​​para criar a assinatura eletrônica
  • O titular da assinatura avançada deve ser capaz de identificar se os dados que acompanham a mensagem foram violados após serem assinados e se os dados assinados foram alterados, a assinatura deve ser marcada como inválida.
  • Deve existir uma forma de assinatura eletrônica apresentar uma prova eletrônica que confirme a identidade do signatário e vincule os dados de validação da assinatura eletrônica a essa pessoa.

Assinatura eletrônica qualificada é a assinatura eletrônica avançada criada por um dispositivo com o uso de um certificado digital qualificado, emitido por um provedor de serviços de confiança qualificado, parte integrante de uma PKI – Public Key Infrastructure, em português ICP – Infraestrutura de Chaves Públicas.

Dois tipos de assinatura, segundo a MP 983, além da qualificada

A medida provisória cria dois tipos de assinatura eletrônica de documentos: a simples, destinada a transações de baixo risco, como requerimentos de informação, marcação de perícias e consultas médicas; e a assinatura avançada, destinada a transações que envolvam as informações sensíveis.

O atual sistema de assinaturas eletrônicas emitidas com certificação digital passa a valer como único tipo de “assinatura qualificada” no âmbito do poder público, sobretudo em atos normativos assinados, por exemplo por ministros e governadores.

Nesse caso, estão, por exemplo, processos de abertura, alteração e fechamento de empresas, transferência de veículos e atualização de cadastros do cidadão junto ao governo.

Veja o quadro produzido pelo ITI que explica cada tipo de assinatura

ASCOM ITI

Desta forma, a MP 983 vem ampliar o uso de credenciais mais fortes no âmbito público brasileiro e acreditamos que esse entendimento seja espelhado para as corporações privadas.

É incrível, mas muitas organizações desconheçam a necessidade de implementar identidades digitais e protege-las.

Uma identidade digital é uma informação sobre algo ou alguém dentro de uma rede interna ou externa e os certificados digitais são uma maneira de obter um registro digital forte e seguro dessas identidades.

Oportunidades para ACs, ARs, consultorias especializadas e desenvolvedores de softwares de gestão de identidades eletrônicas

No Brasil, o melhor nicho de mercado para prover identidades digitais são justamente as empresas que já emitem os certificados digitais ICP-Brasil: Autoridades Certificadoras e Autoridades de Registro.

Essas empresas possuem capilaridade para atender todo o Brasil e tem experiência no ciclo de vida entre eles a etapa de emissão de documentos eletrônicos para identificação de empresas, pessoas, aplicações, equipamentos e “coisas”.

Existem uma variedade de certificados muito mais ampla que os mais conhecidos como e-CPF e e-CNPJ respectivamente, para pessoas físicas e jurídicas emitidos na hierarquia ICP-Brasil.

Falamos, por exemplo, de certificados com interoperabilidade entre navegadores e os principais softwares com abrangência internacional para assinatura e criptografia de e-mails e documentos com valor legal, desde que, acordado entre as partes conforme o artigo 10 parágrafo 2º da Medida provisória 2.200/01. Esse tipo de certificado serve também para diversas ações de relacionamento dentro das empresas, com fornecedores e clientes corporativos. E, pode ser utilizado em autenticação para acessos eletrônicos e físicos.

O certificado de atributo é um excelente exemplo de como implementar identidades eletrônicas de forma simples segura, eficiente e com baixo custo para pessoas, empresas e coisas.

A bala de prata?

Não existe uma solução única que atenda à todas as corporações de forma eficiente e por isso a experiência das Autoridades Certificadoras e Registro e consultorias especializadas deve ser considerada para modelar uma estrutura de credenciais eletrônicas para as corporações públicas e privadas.

Outro aspecto muito importante que deve ser considerado no  início de qualquer projeto de identidades eletrônicas corporativas é a escolha de uma robusta ferramenta de gestão das credenciais.

Regina Tupinambá | CCO – Chief Content Officer – CryptoID. Publicitária formada pela PUC Rio, desde 1995 se dedica ao comércio eletrônico e em 1999 entrou para o universo da Certificação Digital. Dirigiu diversas áreas da Autoridade Certificadora Certisign entre elas: Marketing, Comercial, Produtos, Treinamentos, Suporte Técnico, Licitações e SAC. Desenvolveu o mercado de SSL no Brasil e criou o mais completo programa de cursos sobre Certificação Digital. No âmbito da ICP-Brasil acompanhou a criação da AC Raiz, e participou diretamente da homologação de muitas Autoridades Certificadoras e Autoridades de Registro. É CEO da Insania Publicidade e como CCO do Portal CryptoID, dirige a área de conteúdo do Portal.

Para contratar ou renovação de Certificado Digital em Valinhos região, consulte o Núcleo Contábil, que oferece o atendimento personalizado, e eficiente para contratação e renovação de Certificados: e-CPF, e-CNPJ, NF-e e NFC-e na região de Valinhos.

Central de Atendimento Núcleo Contábil  – Certificado Digital em Valinhos:

Rua Fioravante Basilio Maglio, 133 Nova Valinhos CEP: 13271-260 – Valinhos – SP

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    WhatsApp chat