Parece óbvio, mas a postura de segurança cibernética de uma organização não pode ser fragmentada. Embora uma organização possa tratar determinados usuários de forma diferente de outros e talvez precise de proteção adicional para usuários de maior risco, um programa de segurança deve levar em conta todos os usuários.
Atender a essa necessidade pode se tornar cada vez mais complexo à medida que as organizações crescem, pois os líderes de TI precisam avaliar o custo das soluções de autenticação multifator (MFA) juntamente com o comportamento do usuário e, ao mesmo tempo, criar uma estrutura robusta de segurança cibernética.
Para muitas organizações, os dispositivos móveis tendem a ser um compromisso pragmático que equilibra segurança, custo e conveniência. Os dispositivos móveis são onipresentes e fáceis de usar para atender aos requisitos de autenticação multifator (MFA): 73% dos usuários acreditam que os smartphones são o método mais conveniente para cumprir a MFA.
Por melhor que a autenticação baseada em aplicativos móveis possa ser na criação de um programa de segurança para toda a organização e no equilíbrio dos custos, ela não é uma panaceia que funciona para todos o tempo todo. O custo da autenticação multifatorial varia de acordo com o tipo de solução e a estratégia de implementação.
Preferências e recursos do usuário
Em determinadas situações, alguns usuários talvez não possam usar dispositivos móveis ou depender da conectividade móvel para se autenticar (pense em uma sala limpa de produção). Em outros casos, os funcionários podem não se sentir à vontade para instalar aplicativos exigidos pela empresa em seus dispositivos pessoais para atender aos requisitos de segurança.
Tokens de hardware
Vemos as organizações implementarem dois tipos de soluções para autenticar esses usuários. A primeira são os autenticadores de hardware que usam senhas de uso único (OTPs). Os autenticadores de hardware, como o DS100 são o padrão ouro em autenticação: eles ajudam as organizações a ficarem sem senha, unificando as vantagens criptográficas dos protocolos FIDO2 e os benefícios de segurança do OTP.
A segunda solução é a MFA tradicional, como a autenticação baseada em SMS (que envia OTPs diretamente para os dispositivos pessoais dos usuários) e a OTP por voz.
Taxas de manutenção e suporte
As taxas de manutenção e suporte também podem aumentar o custo total ao longo do tempo, especialmente para soluções de MFA baseadas em dispositivos móveis. Esses custos geralmente incluem atualizações contínuas dos aplicativos móveis, garantindo a compatibilidade com os sistemas operacionais mais recentes e abordando as vulnerabilidades de segurança específicas das plataformas móveis. Os fornecedores também podem cobrar pela manutenção de serviços confiáveis de notificação por push, pela solução de problemas específicos do dispositivo ou pelo fornecimento de suporte para usuários com diversos dispositivos móveis. Além disso, as organizações talvez precisem investir em treinamento de usuários para lidar com atualizações de aplicativos móveis e garantir uma integração perfeita com seu ecossistema de TI. Com o tempo, esses fatores podem influenciar significativamente o custo total de propriedade das implementações de MFA móvel.
O SMS e o OTP de voz têm falhas de segurança conhecidas: O SMS OTP não é criptografado e é vulnerável a interrupções de rede, troca de SIM, engenharia social e ataques SS7 e man-in-the-middle. A RSA recomenda que as organizações adotem uma autenticação mais forte e realmente sem senha a longo prazo.
No entanto, muitas organizações ainda dependem desses métodos porque eles:
- oferecer suporte a diversos grupos de usuários com níveis variados de acesso e risco.
- são geralmente as opções de MFA mais econômicas para empresas menores ou ambientes específicos.
O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) disse isso quando escreveu que as agências devem equilibrar "os aspectos práticos das implementações atuais com as necessidades do futuro" e que aproveitar "o SMS para celular como um segundo fator hoje é menos eficaz do que algumas outras abordagens, mas mais eficaz do que um único fator".
Não há uma única maneira correta de equilibrar a necessidade de prestar contas a todos os usuários, aprimorar a segurança cibernética e controlar os custos. As organizações precisam pesar cada um desses fatores por conta própria e escolher soluções com base em seu perfil de risco, recursos, usuários e objetivos exclusivos.
Veja a seguir as etapas práticas para controlar o custo da autenticação multifator:
- Aproveite os dispositivos existentes, como telefones celulares, para minimizar o investimento em hardware.
- Escolha soluções de MFA escalonáveis que cresçam com sua organização.
- Use testes gratuitos ou pilotos para avaliar as soluções antes de se comprometer com um investimento de longo prazo.
Embora não haja uma maneira certa, há pelo menos uma maneira errada: as organizações não devem permitir que suas soluções de segurança sejam ditadas pelos fornecedores. Equilibrar esses fatores já é difícil o suficiente por si só: isso é exacerbado quando os fornecedores impõem prazos ou removem recursos que, embora imperfeitos, ainda atendem a necessidades importantes.
