Artigo por Raphael Saraiva, Innovation Technology Partner da Netbr
Quando falamos de segurança da informação, muita gente ainda pensa em firewalls, antivírus ou senhas complexas. Mas o verdadeiro desafio nas empresas modernas está em outro lugar: autorizar o acesso certo, para a pessoa certa, no momento certo, sem engessar tudo no caminho.
A discussão sobre controle de acesso ganhou novas camadas nos últimos anos. Entre legislações de privacidade, ambientes multicloud, trabalho remoto e a diversidade de dispositivos, controlar quem pode ver o quê se tornou uma equação bem mais complicada do que era na era dos sistemas monolíticos.
E é aí que entra um personagem improvável dos anos 90: o TV Guardian. Para quem nunca ouviu falar, o TV Guardian era um aparelho que se conectava ao videocassete e “censurava” palavrões automaticamente em filmes. Mas o interessante não era o que ele fazia, e sim como fazia: sem inteligência artificial, sem algoritmos avançados, sem reconhecimento de voz. O dispositivo lia as legendas ocultas (closed caption) e, ao encontrar um termo considerado inapropriado, silenciava o áudio e trocava a legenda por algo mais suave. Ou seja, ele usava um dado que já estava ali, só que de forma criativa.
É uma aula de como usar informação contextual para tomar decisões automatizadas. Algo que, ironicamente, muitas empresas ainda não fazem com seus sistemas de acesso. A maioria segue presa a modelos baseados apenas em papéis, conhecidos como RBAC (Role-Based Access Control). Eles funcionam bem em estruturas simples, mas não consideram o contexto: não fazem distinção se o acesso acontece fora do horário de trabalho, em um dispositivo pessoal, em um país diferente ou se os dados acessados são mais sensíveis do que o usual. Quando o contexto não entra na equação, o risco cresce, ou a operação trava. Às vezes, os dois.
Por outro lado, o modelo ABAC (Attribute-Based Access Control) permite decisões baseadas em atributos contextuais: quem é o usuário, de onde está acessando, em que horário, por qual canal e com qual finalidade. Nada disso exige supercomputadores ou tecnologias de ficção científica. São dados que muitas empresas já têm à disposição. Mas, assim como o TV Guardian, é preciso enxergar esses dados como elementos ativos na tomada de decisão, e não apenas como registros de auditoria.O mais curioso é pensar que o TV Guardian funcionava com um microcontrolador PIC — sigla para Peripheral Interface Controller, um chip simples e barato usado desde os anos 80 em dispositivos eletrônicos básicos — com menos capacidade de processamento do que um roteador doméstico atual. E ainda assim, conseguia oferecer uma experiência de controle personalizada, em tempo real e com base em contexto. Hoje, com toda a infraestrutura disponível, computação em nuvem, telemetria de segurança, sistemas IAM modernos, por que ainda tomamos decisões de acesso como se estivéssemos nos anos 90?
A verdade é que estamos diante de uma oportunidade. Adotar controles baseados em atributos não é dar um salto no escuro, é só mudar a lógica de como usamos o que já temos. O caminho é menos sobre complexidade e mais sobre intenção e visibilidade. O TV Guardian nos deixou uma lição simples: com criatividade, até dados “laterais” podem gerar controle e segurança reais. Cabe a nós decidir se vamos continuar silenciando riscos com base apenas em papéis, ou se finalmente vamos começar a ler as entrelinhas.