A Alphabet, empresa-mãe do Google, publicou detalhes sobre a sua nova abordagem de segurança corporativa chamada de BeyondCorp . A empresa adotou um modelo de proteção centrada em dispositivos, diferente da abordagem tradicional baseada na localização do usuário.
As melhores notícias de tecnologia B2B
Acompanhe todas as novidades diretamente na sua caixa de entrada
A empresa divulgou publicamente essa estratégia por meio de um documento, que aponta o que a empresa fez de diferente. A ideia da iniciativa é adotar uma alternativa para a abordagem convencional de segurança de perímetro usando firewalls.
Para acessar recursos corporativos nesse novo modelo, explica a empresa, é preciso do dispositivo do usuário e suas credenciais – independentemente da localização da rede do funcionário. Ou seja, o acesso do colaborador é feito da mesma forma ele estando dentro do escritório ou em uma cafeteria.
Com a iniciativa, o Google passou a manter o controle de dados de identificação sobre cada equipamento dos funcionários usado para acessar aplicações corporativas, juntamente com informações sobre se o software desses dispositivos foram corrigidos, ou mesmo se um dispositivo foi fisicamente reparado.
Todos os dispositivos são cadastrados em uma base. O sistema conta com um serviço de inventário que coleta, processa e publica mudanças continuamente sobre os dispositivos cadastrados. Dentre esses dados podem estar desde o sistema operacional, atualizações recentes e o nome do proprietário. Assim é possível definir o nível de confiança que um device pode receber e as premissões que o usuário terá.
Os autores da nova abordagem afirmaram que uma das principais lições aprendidas foi que a baixa qualidade dos dados na gestão de ativos pode fazer com que o acesso aos recursos corporativos seja acidentalmente perdido, já que o sistema não mais reconhece o dispositivo usado pelo usuário.
Problemas com a qualidade dos dados podem acontecer com uma certa frequência durante reparos de dispositivos – quando partes físicas ou componentes de um aparelho são substituídos ou movidos entre devices. Por conta disso, o Google teve de implementar a qualidade dos dados de seu inventário por conta da validação automatizada de entrada que pode identificar ou mitigar o erro humano em como ela é inserido, de acordo com o documento.
Modelo
Se uma empresa tiver interesse em endereçar os desafios relacionados à gestão de dados de dispositivos provenientes de diferentes devices, essa nova abordagem do Google pode ser um caminho a ser seguido.
De acordo com Avivah Litan, vice-presidente e analista distinto do Gartner, os dispositivos são a nova identidade do usuário que precisam receber atenção para que haja o acesso seguro. “É inteligente criar políticas de acesso e controlar os motores por trás dos dispositivos inventariados, e avaliar continuamente o nível de risco e a confiança de um device antes de conceder seu acesso a diferentes recursos”, disse ele ao CIO Journal.