Eder Souza (*)
Um exemplo de compartilhamento de dados pessoais via APIs (Interface de Programação de Aplicação) acontece no Open Finance (Sistema Financeiro Aberto), uma iniciativa do Banco Central do Brasil que permite às instituições financeiras compartilhar dados de clientes para oferecer produtos financeiros mais adequados e vantajosos.
Para que um banco tenha acesso às informações dos clientes de outra instituição financeira, ele necessita obter autorização do proprietário dos dados – o cliente – e este acesso acontece via API homologada no Open Finance.
Toda e qualquer API neste momento deve ser enquadrada ao conceito de Zero Trust, premissa que determina que nenhuma pessoa ou dispositivo deve ser confiável, por padrão, para acessar aplicações e sistemas de dados. O mesmo vale para as APIs: se o cliente bancário não aderir ao Open Banking, nenhuma outra instituição bancária terá acesso a seus dados.
Seja no Open Finance ou em qualquer outro sistema, as APIs levantam a preocupação sobre a segurança no compartilhamento de dados, enfatizando a necessidade dela ser autenticada constantemente para garantir a confiança no acesso a sistemas de dados.
Regras de segurança para APIs
A autorização para API deve respeitar regras básicas de acesso, como estabelecer permissões mínimas necessárias para que ela possa realizar suas tarefas, promover a separação de privilégios para definir o que ela realmente pode fazer. Auditorias periódicas são necessárias para verificar se permissões continuam válidas.
Governança e Descentralização de APIs
APIs são a tecnologia mais utilizada atualmente para conectar serviços e usuários, sendo essenciais para o funcionamento de aplicativos que lidam com dados sensíveis. No mundo dos negócios de hoje, muitas organizações maiores descentralizam a gestão da TI, impulsionado a formação de “mini TIs” por unidades de negócios, regiões por verticais de negócios.
A perda de controle centralizado das APIs é uma preocupação que deve ser levada em conta pelo alto escalão das empresas, dos CIOs, CISOs e demais responsáveis pela cibersegurança. Nestes casos, a segurança será gerida em um ambiente onde as decisões de tecnologia estão sendo descentralizadas e o resultado inevitável é uma inconsistência na segurança das APIs.
À medida que cada área de negócio começa a implementar suas próprias soluções de TI, novos riscos surgem e serão necessárias ferramentas tecnológicas que possam fazer a descoberta de todas as APIs existentes nestas redes e, assim, criar um ambiente de gestão unificando a visão sobre todas as conexões entre sistemas.
Micro segmentação das redes e a descoberta das APIs
Para se aplicar o Zero Trust para as APIs, é necessário realizar a micro segmentação da estrutura que suporta as mesmas e assim ganhar visibilidade sobre a estrutura de aplicações e endpoints.
Esta é uma medida necessária para garantir que os dados sensíveis somente sejam acessados por entidades autorizadas.
Outra estratégia importante é rastrear e monitorar todas as APIs publicadas, trazendo uma visão centralizada e estratégia sobre seu funcionamento, os dados fornecidos e o risco que cada uma delas representa para a empresa.
Avaliar quais vulnerabilidades existem em cada API utilizando um framework, como o Owasp Top 10, também se torna fundamental como estratégia de antecipação ao risco, já que as correções podem acontecer antes de qualquer exploração.
Também é necessário manter as medidas já conhecidas de cibersegurança: manter os sistemas e APIs atualizados com as últimas correções de segurança; garantir o monitoramento contínuo para detectar atividades suspeitas e responder rapidamente a incidentes.
Tudo isso requer um plano de proteção das API bem definido e testado.
(*) CTO da e-Safer.