Experiência do usuário versus cibersegurança, a balança filosófica que nunca deve desequilibrar, por Leonardo Camata*
Quem, assim como eu, vive “imerso” no universo da cibersegurança, sabe que há anos existe um embate quase filosófico entre as áreas de segurança da informação e a de experiência do usuário. É uma discussão antiga, que vem desde a época em que as companhias passaram a “obrigar” o usuário a criar senhas fortes, com letras e números, definir o tamanho da senha, qual seu prazo de validade, entre outras. Mais segurança, menos usabilidade, e vice-versa.
Estas novas exigências causaram uma enorme ruptura na cultura de trabalho de milhares de pessoas, uma vez que a famigerada “experiência” é afetada com tais passos soando muitas vezes como uma burocracia chata e desnecessária.
Mas como diria o Capitão Nascimento, “sistema trabalha para resolver os problemas do sistema, parceiro”. E nesse contexto temos vários problemas que surgem, um deles é a “Shadow IT”.
Shadow IT, ou práticas não oficiais, não autorizadas e desconhecidas pelo departamento de TI, como o uso de softwares e dispositivos particulares e não monitorados, representam ameaças de segurança para os dados corporativos e vem aumentando cada vez mais, principalmente por conta da pandemia, para que usuários pudessem exercer suas atividades da melhor maneira em suas casas.
“Shadow IT” não é um termo novo, mas ela vem sendo cercada de novas ameaças. Se uma empresa que possui toda a superfície de ataque conhecida e protegida muitas vezes ainda falha e sofre algum dano em decorrência de ataques cibernéticos, imagina o que não ocorre na que possui bastante superfície de ataque desconhecida e não protegida adequadamente. O comércio de credenciais de acesso e dados pessoais “ferve” mais do que nunca na Darkweb.
A guerra da fricção
O que a gente não esperava é que a balança entre usabilidade e segurança fosse capotar, dando muito mais peso para usabilidade, por decisão das próprias empresas, pois muitas focam quase exclusivamente em tornar a vida do usuário mais fácil, mesmo que isso fira de morte aspectos da segurança.
Fruto deste desbalanceamento são os casos que surgem a cada dia na Internet. Recentemente as redes sociais se mobilizaram por conta do rapaz que teve seu celular furtado e, desta forma, teve sua conta do banco revirada pelo bandido que conseguiu capturar o dispositivo desbloqueado. O Resultado? Aproximadamente R$ 27 mil foram retirados da conta sem que o criminoso precisasse de conhecimentos de hacking. Simplesmente usou o processo frouxo, e transferiu o dinheiro.
Duplo fator de autenticação para um app que está instalado no celular jamais poderia ser um SMS que é enviado para o próprio aparelho. Jamais poderia ser um poup-up para o usuário clicar que aceita, no próprio aparelho. Ou ainda o app de ONT (one time password), outra vez, no próprio aparelho.
Aprendemos há 20 anos que autenticação forte deve ser por exemplo algo que eu sei, somado a algo que eu tenho. Assassinaram esse conceito. Agora com o celular desbloqueado o bandido sabe tudo de você. Sabe mais sobre você que você mesmo, e tem nas mãos a chave para o duplo fator de autenticação para quase tudo.
Infelizmente este tipo de situação ocorre porque nós, pensando apenas no conforto e na agilidade, demandamos cada vez mais aplicações simples, fáceis e sem muitas etapas de proteção. Neste caso destacado, ainda que tenhamos todos os cuidados, quando perdemos o dispositivo toda a segurança que está apoiada nisso desaparece.
É fundamental reavaliar a balança entre usabilidade e segurança, principalmente nos apps financeiros do mudo pós PIX. Do lado dos desenvolvedores, pensar em aplicações e softwares com a segurança em mente é fundamental, mas o consumidor final também precisa de um “choque” de consciência a respeito desta questão.
Experiência do usuário e Cibersegurança, esta balança NUNCA pode desequilibrar, é a receita para problemas que nem imaginamos.
*Leonardo Camata é diretor de inovação e alianças da ISH Tecnologia