O Papel das Tecnologias Biométricas na Segurança da Informação
Um dos 10 pilares fundamentais para a implantação de um sistema de gestão de segurança da informação eficaz, de acordo com o referencial internacional de excelência ISO/IEC 17799* , é o controlo de acessos, nomeadamente sobre a informação de negócio de uma organização. Sucintamente, esta norma internacional baseia-se na gestão da selecção e implantação de controlos que permitam garantir elevados níveis de conforto em matéria de integridade, disponibilidade e confidencialidade da informação.
Para um eficaz controlo sobre aqueles que acedem à informação (esteja esta em formato electrónico ou físico) e para garantir a confidencialidade da mesma, é crucial que se possuam mecanismos que permitam um elevado grau de certeza sobre a verdadeira identidade do elemento humano actuante. Actualmente, a protecção comum para o acesso à informação electrónica baseia-se na conjugação de um código de utilizador com uma palavra de passe. Este mecanismo baseia-se num só factor (o conhecimento) que é extremamente débil, em virtude de ser possível que outrem obtenha facilmente essa informação e impersonifique um utilizador fidedigno.
Ao nível da protecção da informação física, são utilizados frequentemente componentes físicos, baseados num só factor: a posse. Como exemplo, podemos referir a colocação de informação num gabinete cuja porta se encontra fechada à chave. O mecanismo de controlo de acesso é a própria chave física, passível de ser furtada ou copiada por alguém com intenções maliciosas.
É recomendável a utilização de mecanismos para o controlo de acesso à informação que utilizem a conjugação de, no mínimo, dois factores (conhecimento e posse, por exemplo). Poder-se-ia utilizar para os dois cenários anteriores a conjugação de um código de utilizador e palavra de passe com um cartão físico, implementando um sistema de controlo de acessos com dois factores (posse e conhecimento). Isto permitiria, com algum grau de certeza, a identificação de elementos humanos.
A utilização de uma solução baseada em tecnologia biométrica vem adicionar um elemento de peso ao exemplo anterior: a utilização de algo (posse de uma característica única) que incrementa substancialmente a dificuldade de apropriação de credenciais alheias.
Em virtude da maturidade das soluções tecnológicas baseadas em biometria já ser bastante elevada, permitindo que nos mundos físicos e virtuais se identifiquem (de forma quase inequívoca) os elementos humanos que pretendem aceder a locais ou a repositórios electrónicos com informação, essas soluções já estão a ser alvo de utilização generalizada, como forma de responder às necessidades inscritas na norma internacional referida atrás, mitigando os riscos diários que pendem sobre a preservação da confidencialidade da informação.
* ISO/IEC 17799: Information Technology - Code of practice for information security management / Código de boas práticas para a gestão da segurança da informação.
Produzido em 2005