sexta-feira, 7 de outubro de 2011

Você realmente sabe quem circula pela sua empresa?

Gustavo Gassmann
Muito se fala de segurança na rede. É claro que passamos por um momento de fragilidade, onde as empresas precisam se estruturar de forma a manter o controle de suas informações e o valor da marca. Mas, outro fator, que anda esquecido pelas empresas, ainda causa danos e grandes prejuízos, culminando, muitas vezes, em um descuido irreparável. É o caso da falta de atenção ao controle de acesso. Isso mesmo, controle de acesso, que deveria identificar as pessoas que entram e saem de um edifício. A clonagem e a falsificação de soluções usadas para entrada inapropriada em prédios podem ocorrer facilmente quando não existe a manutenção desses sistemas de controle. A maioria das empresas já aderiu a cartões e leitores com tecnologia de proximidade que surgiu na década de 90 e permite identificar funcionários e visitantes. Sim, este é o começo. Mas há quanto tempo sua empresa permanece com a mesma tecnologia utilizada nos sistemas que controlam o acesso? Ela faz revisões periódicas destes sistemas? Nem todo mundo sabe, mas para garantir a total segurança de uma instalação, é necessária uma revisão anual de todo o sistema de controle de acesso e suas políticas associadas. Este é o primeiro passo para que a sua empresa não corra perigos, mas listo outras dicas, abaixo: Ferramentas: Os cuidados começam já na instalação do sistema, que deve garantir a eficácia em identificar usuários. Acertar na escolha dos cartões e leitores e suas respectivas tecnologias já garante um provável sucesso. Os cartões inteligentes, sem contato, estão se tornando rapidamente a melhor escolha de tecnologia para aplicações de controle de acesso. Isto deve-se a três principais razões: segurança, conveniência e interoperabilidade. Estes cartões, que possuem o mais alto nível de segurança, usam autenticação mútua e empregam mecanismos de proteção de criptografia com chaves secretas. Eles também podem utilizar métodos especiais para proteção contra ataques externos. Muito usado, mas, pouco recomendado, são os cartões com a tarja magnética ou com código de barras, que tem a menor segurança de seus detalhes técnicos. Estas tecnologias, normalmente, utilizam nenhuma ou pouca proteção. Os cartões de proximidade, apesar de mais seguros que a tarja magnética ou códigos de barras, também não são tão seguros quanto cartões inteligentes sem contato. Além disso, alguns dispositivos podem codificar cartões com esta tecnologia e comprometer a segurança da ferramenta. Chave de segurança: Princípio básico, ela tem que ser única. O importante é escolher sempre um fabricante que permite a utilização de chave de autenticação criptográfica própria, o que significa que cada cartão usa uma chave diferente que é criptograficamente derivada de uma chave mestra. Não opte por um fabricante que armazena a mesma chave em todas as suas credenciais. Nunca utilize um número de série do cartão como número de identificação, já que este número é aberto e não apresenta proteção e nem chaves. É interessante também sempre utilizar parafusos de segurança que requerem ferramentas especiais para remover um leitor e outros componentes de segurança. Se não for utilizada a ferramenta correta na hora de remover o leitor, será impossível não causar danos aos parafusos. Estes danos podem ser notados durate o exame físico do aparelho, alertando a tentativa de uma entrada não autorizada ou de fraude. Autenticação múltipla: Para garantir um nível de segurança maior, a organização deve considerar incluir mais de um fator de autenticação. Geralmente composto por algo que você tem (por exemplo, um cartão), algo que você sabe (por exemplo, uma senha), e algo da sua identidade (por exemplo, uma biometria). A autenticação múltipla aumenta a probabilidade de que a pessoa que apresenta o cartão a um leitor é a mesma pessoa a quem foi inicialmente emitido o cartão. O ideal seria o uso desses três fatores, porém a adição de mais de um deles já pode ter um resultado significativo. Em termo de custo, a inclusão de senha é relativamente o mais barato, uma vez que pode ser conseguido com o uso de leitores com teclado, já que requer além do cartão, um código que permite a entrada. Este aparelho minimiza a probabilidade de que um cartão perdido possa ser utilizado. Ele também minimiza a ameaça de clonagem de cartões. Idealmente, a senha deve ser alterada periodicamente. Já os leitores biométricos, que permitem um nível de autenticação mais elevado, podem ser usados em ambientes onde é necessário um nível ainda maior de segurança - como em um laboratório, ambiente de pesquisa corporativa ou cofres. Transição: A migração para uma tecnologia mais avançada, e que garanta mais proteção, deve ser a principal meta das empresas. Uma vez que há uma grande variedade de tecnologias de leitores oferecidos pelos fabricantes de hoje, é importante certificar-se que a tecnologia adquirida coincida com o nível de segurança desejado. Reconhecendo que existem muitas tecnologias já “ultrapassadas” ainda em uso, que oferecem um risco maior de falsificação, é importante escolher um fabricante que tem no seu portfólio produtos e estratégias de migração, incluindo a possibilidade de que ambas tecnologias (antiga e nova) coexistam no mesmo cartão ou leitor. Desta forma, a transição para novas tecnologias pode ocorrer de forma gradativa, sem pesar no orçamento da corporação. A combinação desses produtos, muitas vezes, pode ser necessária para efetivamente migrar, num período mais curto, de maneira mais conveniente e rentável. Apesar da complexidade do assunto e de suas particularidades, alguns cuidados facilitam a manutenção e operabilidade dos sistemas de acesso. Certificar-se que os cartões perdidos são anulados imediatamente; investigar cartões que apresentam mensagens que negam o acesso; assegurar com revendedores que apenas os cartões requeridos pela empresa são válidos e que não existam cartões de reposição pré-validados ou a pronto entrega, são alguns passos que ajudam a ter o controle total de acesso. Seguindo essas práticas, tendo como prioridade sempre a revisão dos sistemas, a fim de acompanhar o operacional que garante o resultado eficaz da ferramenta, com atenção para os diferentes níveis de segurança, o resultado será um sistema que melhor cumpre sua função pretendida, com menor possibilidade de ser comprometida. Gustavo Gassmann é Diretor de Vendas do Brasil, da HID Global, especializada em soluções de identificação segura. www.hidglobal.com.

Nenhum comentário:

Postar um comentário