WHITEPAPERS / PROVEDORES DE SERVIçOS GERENCIADOS

Garantia de Credenciais de Terceiros: o serviço de BPO que vence contratos regulados


A gigante de outsourcing Capita, avaliada em £3,5 bilhões, divulgou em março de 2023 que cibercriminosos haviam acessado dados de clientes em múltiplos setores, incluindo registros de pacientes do NHS e informações de pensões. A violação, que afetou serviços de 90 organizações, teve origem em credenciais de terceiros comprometidas — destacando uma vulnerabilidade crítica que passou de um incômodo operacional para uma ameaça existencial para os provedores de terceirização de processos de negócios (BPO).

Para provedores de BPO e serviços gerenciados, a matemática é implacável. Uma única violação de credencial pode encerrar contratos de milhões de libras, acionar sanções regulatórias e destruir décadas de construção de confiança com clientes corporativos. À medida que as organizações examinam cada vez mais a segurança de sua cadeia de suprimentos, o gerenciamento de credenciais de terceiros se tornou o fator decisivo na concessão de contratos, especialmente em setores regulados onde falhas de conformidade acarretam penalidades criminais.

O paradoxo das credenciais no BPO

A terceirização de processos de negócios cria uma contradição de segurança inerente. Os provedores precisam conceder acesso extensivo a sistemas e dados sensíveis dos clientes, ao mesmo tempo em que mantêm garantia absoluta de segurança — frequentemente em centenas de ambientes de clientes simultaneamente. As abordagens tradicionais colocam essa responsabilidade sobre os funcionários individuais, que geram, memorizam e protegem credenciais para múltiplos sistemas de clientes.

Esse modelo falha em escala. Um funcionário típico de BPO que gerencia operações de back-office de serviços financeiros pode precisar de acesso a 15-20 sistemas diferentes de clientes, cada um com requisitos de autenticação distintos. Multiplicando isso por milhares de colaboradores, a superfície de ataque de credenciais se torna enorme. Quando as credenciais são comprometidas — por phishing, engenharia social ou simples erro humano —, a violação pode se estender por múltiplos ambientes de clientes.

As implicações regulatórias são graves. De acordo com o GDPR, os controladores de dados enfrentam multas de até 4% do faturamento global por falhas dos processadores. Clientes de serviços financeiros que operam sob os requisitos do PCI DSS podem enfrentar rescisão imediata do contrato por violações de segurança. BPOs de saúde que lidam com dados do NHS correm risco de processo criminal conforme a legislação de proteção de dados.

A realidade dos dados

O comprometimento de credenciais é responsável por 61% de todas as violações de dados, segundo o Verizon's 2023 Data Breach Investigations Report. Para provedores de serviços gerenciados, os números são especialmente alarmantes. O IBM's Cost of a Data Breach Report 2023 constatou que violações envolvendo acesso de terceiros custam em média £4,1 milhões — 12% acima da média global.

O Third-Party Risk Management Study do Ponemon Institute revelou que 59% das organizações sofreram uma violação de dados causada por fornecedores ou terceiros, com 53% afirmando que permaneceram meses sem saber da violação. Para provedores de BPO, esses atrasos aumentam a exposição regulatória, pois os requisitos de notificação do GDPR exigem divulgação em até 72 horas.

Ataques baseados em credenciais mostram persistência especialmente alta em ambientes de outsourcing. O CrowdStrike's 2023 Global Threat Report identificou que 71% dos ataques agora ocorrem sem malware, dependendo, em vez disso, de credenciais legítimas para manter a persistência nas redes-alvo. O tempo médio de permanência desses ataques é de 84 dias — oferecendo ampla oportunidade para movimento lateral entre ambientes de clientes.

O impacto financeiro vai além dos custos imediatos da violação. Um estudo de 2023 da SecurityScorecard constatou que organizações que sofreram violações por terceiros viram suas classificações de segurança cair em média 40 pontos, impactando diretamente futuras negociações de contratos e prêmios de seguro.

Por que a segurança tradicional falha

As equipes de segurança corporativa normalmente implementam Identity and Access Management (IAM), Privileged Access Management (PAM), Single Sign-On (SSO), Autenticação Multifatorial (MFA) e arquiteturas Zero Trust. Cada uma aborda parte do problema das credenciais, mas nenhuma resolve a vulnerabilidade fundamental: os usuários, no final, criam, conhecem e podem ser enganados para revelar suas credenciais.

Os sistemas IAM se destacam no provisionamento e desprovisionamento de acessos, mas dependem de senhas geradas pelos usuários que podem ser obtidas por phishing ou roubadas. Soluções PAM armazenam credenciais privilegiadas em cofres, mas precisam apresentá-las aos usuários em algum momento, criando pontos de exposição. O SSO reduz a proliferação de credenciais, mas concentra o risco — o comprometimento das credenciais de SSO concede acesso a múltiplos sistemas ao mesmo tempo.

A MFA adiciona camadas de autenticação, mas continua vulnerável a ataques sofisticados de phishing, troca de SIM e engenharia social. A violação da Uber em 2022 demonstrou como atacantes contornaram a MFA por meio de ataques persistentes de notificações push, convencendo o alvo a aprovar solicitações de autenticação maliciosas.

As arquiteturas Zero Trust verificam cada solicitação de acesso, mas ainda dependem fundamentalmente de credenciais controladas pelo usuário para a afirmação inicial de identidade. Se essas credenciais forem comprometidas, os sistemas Zero Trust verificarão e concederão acesso a solicitações que parecem legítimas, vindas de atores maliciosos.

Essas soluções não resolvem a vulnerabilidade central: no momento em que uma credencial existe no conhecimento ou na posse de um usuário, ela se torna suscetível a comprometimento por fatores humanos que nenhuma tecnologia pode eliminar.

Controle estrutural de credenciais

A solução exige inverter o modelo tradicional de segurança. Em vez de proteger credenciais controladas pelo usuário, as organizações devem eliminar completamente o conhecimento dessas credenciais pelos usuários. Essa abordagem, incorporada em sistemas patenteados de controle de credenciais, separa a identidade do acesso em nível fundamental.

Nesse modelo, a organização gera todas as credenciais de forma criptográfica, armazena-as em sistemas distribuídos criptografados e as apresenta diretamente aos aplicativos-alvo sem que o usuário as visualize. Os funcionários autenticam sua identidade por meio de mecanismos separados, mas nunca veem, possuem ou controlam as credenciais que concedem acesso aos sistemas.

A tecnologia opera por meio de enclaves seguros que mantêm repositórios de credenciais criptografadas em nós distribuídos. Quando usuários autenticados solicitam acesso ao sistema, a plataforma recupera e apresenta as credenciais apropriadas diretamente aos aplicativos-alvo, mantendo trilhas de auditoria completas e garantindo que os usuários não possam extrair, copiar ou comprometer os tokens de autenticação subjacentes.

Essa arquitetura torna tentativas de phishing ineficazes — os usuários não podem entregar credenciais que não possuem. A engenharia social falha porque nenhuma manipulação consegue extrair credenciais de usuários que genuinamente não conseguem acessá-las. Mesmo um comprometimento bem-sucedido do endpoint não pode revelar credenciais, pois elas existem apenas dentro de enclaves criptografados e distribuídos.

A vantagem competitiva

Para provedores de BPO, o controle de credenciais representa mais do que uma melhoria de segurança — oferece uma vantagem competitiva decisiva em contratos de setores regulados. As equipes de procurement exigem cada vez mais evidências de controles de segurança estruturais, em vez de promessas de treinamentos de conscientização e monitoramento.

Terceirização na área de saúde, operações de back-office de serviços financeiros e contratos governamentais exigem segurança de credenciais demonstrável. Provedores que conseguem garantir acesso à prova de phishing obtêm vantagens substanciais em licitações competitivas, especialmente contra provedores incumbentes que dependem de abordagens tradicionais de segurança.

A implementação entrega benefícios operacionais imediatos: redução de custos com redefinição de senhas, eliminação de tempo de inatividade relacionado a credenciais, auditoria de conformidade simplificada e melhorias demonstráveis na postura de segurança que atendem tanto aos requisitos dos clientes quanto às avaliações de subscritores de seguros.

Mais criticamente, o controle de credenciais transforma a segurança de um centro de custo em um impulsionador de lucro. Em vez de justificar gastos com segurança, os provedores de BPO podem quantificar o impacto na receita das capacidades de segurança aprimoradas nas negociações de contratos com clientes corporativos que cada vez mais consideram a segurança de credenciais de terceiros como inegociável.

MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.