Por Rogério Coradini*
Quando uma organização instala um sistema de controle de acesso, o faz pensando basicamente em três objetivos:
O primeiro é cuidar da integridade física das pessoas, ou seja, para evitar que alguém seja atacado. O segundo é proteger as informações da empresa: bancos de dados, material confidencial etc. Por último, o faz para salvaguardar o patrimônio da empresa, como equipamentos eletrônicos ou qualquer outro bem negociável.
Sendo assim, diferentes meios são empregados para monitorar e controlar o acesso das pessoas a uma instalação. Décadas atrás, utilizavam-se sistemas de fechadura e chave; no entanto, além de serem vulneráveis, as chaves roubadas ou perdidas representavam custos adicionais para as empresas.
A forma como o mundo trabalhava e interagia com a tecnologia, e até mesmo o modo como os criminosos atacavam, logo foram mudando e o controle de acesso migrou para sistemas mais robustos com credenciais eletrônicas ou identificação biométrica para autorizar ou negar o acesso à uma edificação ou propriedade.
É preocupante, para não dizer arriscado, que em pleno 2020 muitas organizações se protejam com sistemas de segurança projetados no século passado. Por essa razão, apresentaremos algumas recomendações para a implementação de um sistema de controle de acesso moderno e suas características.
Quanto devo investir em um sistema de controle de acesso?
Antes de implementar um sistema, é necessário refletir sobre as necessidades e o custo do investimento. Quando se trata de tecnologia, e quando se desconhece os riscos, é muito provável acabar orientando-se pelo fator preço.
É evidente: não se pode ter altas expectativas de segurança com pouco investimento. Infelizmente, no mercado existem fornecedores que vendem tecnologia desatualizada e vulnerável, o que gera confusão para os usuários e resulta em perdas econômicas, seja pela vulnerabilidade que representam, seja pelo serviço pós-venda (algumas soluções nem oferecem suporte em português), ou ainda pelos problemas operacionais que geram.
Um exemplo disso são as leitoras: no caso da biometria, se o sensor de impressão digital for de baixa qualidade, não terá pontos de referência suficientes para fazer uma autenticação rápida, gerando filas de espera; no caso das leitoras de cartões, só aceitarão tecnologias legadas, sem nenhuma segurança, incentivando a clonagem de cartões, crime frequente na América Latina.
Por isso é importante pensar no médio e longo prazo e analisar o retorno do investimento a partir da pergunta: quais seriam os custos de não proteger os dados, ativos e pessoas da minha organização?
O controle de acesso migrou para sistemas mais robustos com credenciais eletrônicas ou identificação biométrica
Um sistema seguro
Um sistema de controle de acesso seguro é aquele que é criptografado de ponta a ponta, o que se consegue, em primeiro lugar, com uma tecnologia de identificação (biométrica ou de cartão) que garanta que não seja duplicável ou se possa clonar. Em seguida, com a comunicação entre a leitora e o painel de controle, que deve ser criptografada e monitorada por padrões como OSDP (Protocolo Aberto de Dispositivos Supervisionados). Por fim, com um software que ofereça os níveis de segurança para manter o banco de dados protegido, seja uma solução cliente-servidor ou em nuvem.
Para que um sistema seja denominado ‘moderno’, é preciso primeiro garantir que cada um dos elementos que o compõem é seguro e que seu funcionamento foi comprovado no mercado.
Para garantir essa confiabilidade, deve-se optar por tecnologias que estabeleçam, verificam e gerenciem as identidades; ou seja, que avalizem o gerenciamento completo das credenciais ao longo de todo o ciclo de vida da identificação: desde o momento em que a confiabilidade é estabelecida até a remoção da credencial.
Um sistema moderno deve contar com uma autenticação multifatorial robusta e que não interrompa o fluxo de trabalho nem a produtividade dos usuários.
Sistema de controle de acesso aberto e fechado
Acredita-se que, ao implementar um sistema de controle de acesso com marca proprietária, a organização se sentirá presa e não poderá adquirir credenciais ou leitoras de um fornecedor qualquer.
Entretanto, a questão seria: quão seguro é um sistema aberto? Bem, se essa ‘liberdade’ coloca todo o sistema em risco, seria um benefício ilusório e eliminaria todo o propósito do projeto.
Por exemplo, se as organizações têm bancos de dados abertos: transações, nomes, números de identificação etc. e se além disso o hardware é vulnerável, os criminosos podem fazer cartões com os dados de um funcionário e a foto do impostor para entrar em uma edificação.
Para evitar esta situação, pode-se utilizar marcas que oferecem protocolos e registros fechados para aumentar a segurança. Porém, é necessário esclarecer que não se trata de um “fechamento total”; por vezes são criados protocolos de acesso às informações, tudo com o objetivo de proteger a integridade dos dados.
Controlar para que o sistema tenha energia regulada é sinônimo de garantir a ele uma vida útil longa
O que são fatores de autenticação?
Para um processo de identificação, seja físico ou digital, verifica-se a identidade do solicitante. Essa verificação pode ser executada usando um ou mais fatores de autenticação.
Os fatores de autenticação podem ser divididos em:
- O que sei: o conhecimento que a pessoa possui, pode ser um código PIN, uma senha ou um padrão.
- O que tenho: a identificação que um indivíduo possui para certificar que é ele, como uma credencial física ou virtual.
- O que sou: as características corporais únicas da pessoa que são utilizadas para verificar a identidade (biometria).
Para aumentar o nível de segurança, os sistemas modernos implementam vários fatores de autenticação nos pontos de acesso, combinando ‘o que tenho’ com ‘o que sei’ e ‘o que sou’.
Por outro lado, cabe ressaltar que uma das maiores tendências dos últimos anos é o controle de acesso móvel, que consiste na utilização de um dispositivo móvel (smartphone, tablet ou smartwatch) para acessar portas, portões, redes, serviços e outros espaços de acesso restrito.
Além da utilização de dispositivos móveis, que por sua natureza requerem pelo menos um fator de autenticação, esta modalidade representa o compromisso em proporcionar comodidade e conveniência aos usuários, pilar fundamental dos sistemas de controle de acesso atuais.
É importante esclarecer que a aplicação que oferece suporte a credenciais móveis deve ter segurança criptográfica, o que também evita que uma identificação seja transferida para outro dispositivo.
Certamente, uma das dúvidas mais frequentes relacionadas a esse tipo de sistema é: o que acontece quando a pessoa perde o dispositivo móvel ou ele é roubado? Pois bem, graças ao software de gestão do sistema, os gerentes de segurança podem atribuir ou remover identidades, além de controlar as portas por tempo, privilégios, nível de acesso etc.
Rogério Coradini
Diretor de ventas de Sistemas de Controle de Acesso Físico para a América do Sul da HID Global