00 É uma discussão antiga, que vem desde a época em que as companhias passaram a “obrigar” o usuário a criar senhas fortes, com letras e números, definir o tamanho da senha, qual seu prazo de validade, entre outras. Mais segurança, menos usabilidade, e vice-versa.
Estas novas exigências causaram uma enorme ruptura na cultura de trabalho de milhares de pessoas, uma vez que a famigerada “experiência” é afetada com tais passos soando muitas vezes como uma burocracia chata e desnecessária.
Mas como diria o Capitão Nascimento, “sistema trabalha para resolver os problemas do sistema, parceiro”. E nesse contexto temos vários problemas que surgem, um deles é a “Shadow IT”.
Shadow IT, ou práticas não oficiais, não autorizadas e desconhecidas pelo departamento de TI, como o uso de softwares e dispositivos particulares e não monitorados, representam ameaças de segurança para os dados corporativos e vem aumentando cada vez mais, principalmente por conta da pandemia, para que usuários pudessem exercer suas atividades da melhor maneira em suas casas.
“Shadow IT” não é um termo novo, mas ela vem sendo cercada de novas ameaças. Se uma empresa que possui toda a superfície de ataque conhecida e protegida muitas vezes ainda falha e sofre algum dano em decorrência de ataques cibernéticos, imagina o que não ocorre na que possui bastante superfície de ataque desconhecida e não protegida adequadamente. O comércio de credenciais de acesso e dados pessoais “ferve” mais do que nunca na Darkweb.
A guerra da fricção
O que a gente não esperava é que a balança entre usabilidade e segurança fosse capotar, dando muito mais peso para usabilidade, por decisão das próprias empresas, pois muitas focam quase exclusivamente em tornar a vida do usuário mais fácil, mesmo que isso fira de morte aspectos da segurança.
Fruto deste desbalanceamento são os casos que surgem a cada dia na Internet. Recentemente as redes sociais se mobilizaram por conta do rapaz que teve seu celular furtado e, desta forma, teve sua conta do banco revirada pelo bandido que conseguiu capturar o dispositivo desbloqueado. O Resultado? Aproximadamente R$ 27 mil foram retirados da conta sem que o criminoso precisasse de conhecimentos de hacking. Simplesmente usou o processo frouxo, e transferiu o dinheiro.
Duplo fator de autenticação para um app que está instalado no celular jamais poderia ser um SMS que é enviado para o próprio aparelho. Jamais poderia ser um poup-up para o usuário clicar que aceita, no próprio aparelho. Ou ainda o app de ONT (one time password), outra vez, no próprio aparelho.
Aprendemos há 20 anos que autenticação forte deve ser por exemplo algo que eu sei, somado a algo que eu tenho. Assassinaram esse conceito. Agora com o celular desbloqueado o bandido sabe tudo de você. Sabe mais sobre você que você mesmo, e tem nas mãos a chave para o duplo fator de autenticação para quase tudo.
Infelizmente este tipo de situação ocorre porque nós, pensando apenas no conforto e na agilidade, demandamos cada vez mais aplicações simples, fáceis e sem muitas etapas de proteção. Neste caso destacado, ainda que tenhamos todos os cuidados, quando perdemos o dispositivo toda a segurança que está apoiada nisso desaparece.
É fundamental reavaliar a balança entre usabilidade e segurança, principalmente nos apps financeiros do mudo pós PIX. Do lado dos desenvolvedores, pensar em aplicações e softwares com a segurança em mente é fundamental, mas o consumidor final também precisa de um “choque” de consciência a respeito desta questão.
Experiência do usuário e Cibersegurança, esta balança NUNCA pode desequilibrar, é a receita para problemas que nem imaginamos.
Por Leonardo Camata, diretor de inovação e alianças da ISH Tecnologia
No caso das casas de apostas online, a experiência do usuário e a cibersegurança também é muito importante. A Betano casino bonus é um bom exemplo disso e que tem grande popularidade no Brasil.
Sobre a ISH
A ISH Tecnologia, fundada em 1996, é uma empresa líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas. Ocupa a 27ª posição no ranking das 250 principais provedoras de serviços de segurança gerenciados do mundo, publicado pela MSSP Alert. Com mais de 400 profissionais especializados, tem entre seus clientes algumas das maiores empresas do Brasil, incluindo bancos, fintechs, instituições financeiras, varejistas, atacadistas, empresas da área de saúde e órgãos públicos. A matriz fica em Vitória (ES), e a empresa mantém filiais em São Paulo, Rio de Janeiro, Belo Horizonte, Brasília, Curitiba, Goiânia e Pernambuco e subsidiária nos EUA.