A Necessidade de uma Avaliação Confiável de Sistemas Biométricos

Quando o assunto é segurança da informação, o cenário atual brasileiro proporcionará, nos próximos anos, uma maior utilização dos sistemas biométricos. Estes sistemas tem como objetivo tecnologias biométricas para identificar ou autenticar indivíduos, portanto, acrescentando segurança com o chamado “terceiro fator de autenticação (o que você é)”. Essas tecnologias nada mais são do que a própria impressão digital de cada indivíduo, sua a voz, a íris, a retina, a geometria da mão etc.).

Diversas aplicações já fazem uso da segurança oferecida por um sistema biométrico, tais como: controles de acesso físico ou de acesso lógico, autenticações de clientes em sistemas de transações eletrônicas seguras e em transações financeiras, os sistemas criminais, a identificação e autenticação de cidadãos em sistemas de governo eletrônico, dentre outras. Neste último caso, por exemplo, temos já as tecnologias biométricas podendo ser utilizadas de forma híbrida com a certificação digital (PKI) em dispositivos como smart cards, os quais facilitam muito a obtenção de flexibilidade tecnológica, facilidade de uso e, ainda, ganho de segurança (no Brasil tem-se o projeto RIC - Registro de Identidade Civil). Tecnologias biométricas em smart cards podem também ser utilizadas em aplicações bancárias e/ou de crédito, auxiliando na redução de fraudes.

Entretanto, os sistemas biométricos propriamente ditos merecem uma atenção especial no que diz respeito às suas principais características ou riscos, quais sejam:

Irrevogabilidade da biometria: o padrão biométrico é único de cada indivíduo e não pode ser trocado como, tradicionalmente, se faz com uma senha alfa-numérica. Uma vez esse padrão divulgado ou capturado de forma não autorizada pode criar problemas de grandes proporções;

Facilidade de uso e a aceitação por parte do usuário;

Padronização e interoperabilidade: necessárias para que componentes do sistema biométrico de diferentes fabricantes possam interagir;

Precisão do sistema: um sistema biométrico deve ser devidamente calibrado em termos de aceitação e rejeição de indivíduos, de tal forma a encontrar-se um ponto de equilíbrio razoável entre flexibilidade e segurança da aplicação;

Custos (hardware, software, instalação, integração, conscientização e manutenção);

Determinação correta do nível de segurança para a proteção adequada do padrão biométrico;

Existem requisitos técnicos que dependem muito da implementação do fabricante, como calibração, precisão do algoritmo biométrico, entre outros, e seu atendimento muda conforme o equipamento e, não, conforme a tecnologia biométrica escolhida. Além disso, outros requisitos técnicos, como armazenamento, tempo de resposta e performance, são parâmetros do sistema biométrico (hardware e software) que devem ser avaliados e não, simplesmente, limitados a um leitor ou tecnologia biométrica.

Amplitude de aplicação: em geral, sistemas biométricos são usados em aplicações que envolvem uma quantidade considerável de indivíduos ou usuários, portanto, aumenta o nível de impacto proveniente de qualquer erro ou má escolha do sistema biométrico.
Diante destas características e riscos, qualquer tomada de decisão no sentido de adquirir sistemas biométricos é crítica pois a comunidade alvo de usuários tende a ser expressiva e diversificada. É justamente neste ponto anterior a tomada de decisão, e com os objetivos de minimizar a níveis aceitáveis os riscos e fornecer dados técnicos para embasar a melhor escolha, é que se destaca a importância da avaliação de um sistema biométrico.
Entretanto, para aquela entidade que depende dos resultados de uma ou mais avaliações, o importante é considerar que o serviço precisa ser prestado por um laboratório de testes independente, tecnicamente competente, com infraestrutura adequada, com experiência comprovada e que consiga, por meio sistêmicos, procedimentais e metodológicos, mostrar resultados técnicos com alto nível de confiabilidade. Ou seja, vale a regra: “resultados técnicos pouco confiáveis de avaliações aumentam o risco de forma desnecessária de uma tomada de decisão equivocada e geram um gasto maior no futuro para consertar os erros”.
Além disso, via de regra, os responsáveis pela tomada de decisão devem sempre aprovar, antes da avaliação, os procedimentos de testes a serem utilizados por esse laboratório para que as expectativas e a confiabilidade dos resultados estejam alinhadas.
Em suma, o laboratório de testes que deve realizar as avaliações é peça inicial importante para produzir resultados técnicos confiáveis e a satisfação do cliente, o qual precisa estar devida e tecnicamente bem instruído para uma tomada de decisão correta, eficaz, e que afetará, sem dúvida, a uma comunidade considerável de usuários. Certamente, são estes fatores que determinam a importância e a necessidade da avaliação técnica confiável dos sistemas biométricos por um laboratório profissional.

Por Adilson Guelfi,
gerente técnico do Laboratório de Ensaios e Auditoria do LSI-TEC