Crédito:
NIST
Hoje é o dia! Diretrizes de identidade digital, Revisão 4 está finalmente aqui… tem sido uma jornada emocionante e o NIST tem a honra de fazer parte dela.
O que podemos esperar?
Servindo como culminação de um processo colaborativo de quase quatro anos que incluiu pesquisa fundamental, dois rascunhos públicos e cerca de 6.000 comentários individuais do público, a Revisão 4 da Publicação Especial 800-63,Diretrizes de identidade digital, pretende responder à mudança do cenário digital que surgiu desde a última grande revisão desta suíte, publicada em 2017.
As diretrizes apresentadas na Revisão 4 explicam o processo e os requisitos técnicos para atender aos níveis de garantia de identidade digital para comprovação, autenticação e federação de identidade, incluindo requisitos de segurança e privacidade, bem como considerações para melhorar a experiência do cliente em soluções e tecnologia de identidade digital. As diretrizes também estabelecem o gerenciamento de identidade como um processo multifuncional envolvendo profissionais que representam segurança cibernética, privacidade, usabilidade, integridade do programa, missão e unidades de negócios e outras disciplinas. O gerenciamento de risco de identidade na Revisão 4 continuou sua evolução em direção a um “esporte de equipe” que pode atender com mais eficácia às necessidades da organização e dos indivíduos que ela procura atender.
A revisão 4 também inclui muitas mudanças substanciais de conteúdo, incluindo:
- Atualizações na configuração de contexto para gerenciamento de riscos, processos de gerenciamento de riscos reformulados e novas expectativas para maior envolvimento multifuncional.
- Novas métricas de avaliação contínua recomendadas.
- Requisitos e recomendações de fraude expandidos para processos de comprovação de identidade.
- Controles de prova de identidade reestruturados para definir melhor as funções e os tipos de prova de identidade.
- Adicionados controles para lidar com ataques de injeção e mídia forjada (por exemplo, “falsificações profundas”).
- Integração de autenticadores sincronizáveis (por exemplo, senhas sincronizadas).
- Representação de carteiras controladas por assinantes no modelo de federação.
E… para aqueles que estão procurando, já que sabemos que você está por aí, as alterações na composição da senha e nas expectativas de rotação também estão incluídas no documento. Todas essas mudanças representam uma extensa atualização do NIST SP 800-63 Revisão 3 – com base em lições e inovações do mundo real.
Essas diretrizes destinam-se, em última análise, a tornar a navegação no mundo digital mais segura e conveniente, fornecendo uma estrutura para entender os riscos e controles online que podem proteger melhor nossos serviços online críticos.
Para onde iremos a partir daqui?
Nossa jornada certamente não termina com a Revisão 4.
Assim como nas revisões anteriores, os recursos de implementação já estão em desenvolvimento e estamos explorando conceitos como critérios de conformidade legíveis por máquina e uma ferramenta de gerenciamento de risco de identidade digital.
Embora o período de comentários tenha terminado, sempre agradecemos engajamento, feedback e perguntas. Envie-nos um e-mail:dig-comentários [at] nist.gov (dig-comentários[at]Nist[dot]gov).