0
1
0
1
1
0
1
0

Categoria: blog

Home Category : blog

ENTENDA A RESOLUÇÃO 4.568 DO BACEN

Conhe√ßa a Resolu√ß√£o 4.658 do Bacen e a pol√≠tica de seguran√ßa cibern√©tica nas institui√ß√Ķes financeiras aplicada ao uso da computa√ß√£o em nuvem.

Para entender o impacto da Resolução 4.568 do Bacen, é importante compreender que uma política de segurança é um documento que declara por escrito como uma empresa planeja proteger os ativos físicos e de TI.

Considerado um ‚Äúdocumento vivo‚ÄĚ, uma pol√≠tica de seguran√ßa √© continuamente atualizada na medida em que os requisitos de tecnologia e funcion√°rios mudam. Desta forma, deve incluir:

  • uma descri√ß√£o de como a empresa planeja educar seus funcion√°rios sobre a prote√ß√£o de ativos;
  • as explica√ß√Ķes de como as medidas de seguran√ßa ser√£o realizadas e aplicadas na organiza√ß√£o;
  • e como ser√° avaliada sua efici√™ncia frente aos requisitos de seguran√ßa que foram definidos.

A resolu√ß√£o estabelece a obriga√ß√£o de uma pol√≠tica de seguran√ßa cibern√©tica e os requisitos para a contrata√ß√£o de servi√ßos de processamento e armazenamento de dados e de computa√ß√£o em nuvem a serem observados pelas institui√ß√Ķes financeiras e demais organiza√ß√Ķes autorizadas a funcionar pelo Bacen.

Desafios na segurança de dados preocupam

A iniciativa tomada do Bacen mostra a preocupa√ß√£o que a organiza√ß√£o tem com as institui√ß√Ķes financeiras e os seus usu√°rios, por observar que a computa√ß√£o em nuvem √© um importante elemento na realiza√ß√£o de transa√ß√Ķes e no armazenamento de dados dos clientes.

Os dados dos clientes armazenados na nuvem s√£o os que correm o maior risco. Informa√ß√Ķes como e-mail, registros de funcion√°rios e pagamentos se tornaram o principal alvo de ataques e roubos, por conta do potencial impacto financeiro.

Devido a essa sensibilidade, o Bacen passou a exigir que as institui√ß√Ķes financeiras devem definir, implementar, divulgar e manter pol√≠tica de seguran√ßa cibern√©tica formulada a partir de princ√≠pios e diretrizes que busquem assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informa√ß√£o utilizados.

Pontos importantes da Resolução 4.658 do Bacen

Para voc√™ ter uma ideia da amplitude da Resolu√ß√£o 4.658, o artigo terceiro diz que a pol√≠tica de seguran√ßa cibern√©tica deve contemplar, no m√≠nimo:

I Рos objetivos de segurança cibernética da instituição;

II – os procedimentos e controles adotados para reduzir a vulnerabilidade da
instituição a incidentes e atender aos demais objetivos de segurança cibernética;

III Рos controles específicos, incluindo os voltados para a rastreabilidade da
informa√ß√£o, que busquem garantir a seguran√ßa das informa√ß√Ķes sens√≠veis;

IV – o registro, a an√°lise da causa e do impacto, bem como o controle dos efeitos
de incidentes relevantes para as atividades da instituição;

V – as diretrizes para:

a) a elaboração de cenários de incidentes considerados nos testes de continuidade
de negócios;

b) a definição de procedimentos e controles voltados à prevenção e ao
tratamento dos incidentes a serem adotados por empresas prestadoras de servi√ßos a terceiros que manuseiem dados ou informa√ß√Ķes sens√≠veis ou que sejam relevantes para a condu√ß√£o das atividades operacionais da institui√ß√£o;

c) a classifica√ß√£o dos dados e das informa√ß√Ķes quanto √† relev√Ęncia; e

d) a defini√ß√£o dos par√Ęmetros a serem utilizados na avalia√ß√£o da relev√Ęncia dos
incidentes;

VI Рos mecanismos para disseminação da cultura de segurança cibernética na
instituição, incluindo:

a) a implementação de programas de capacitação e avaliação periódica de pessoal;

b) a presta√ß√£o de informa√ß√Ķes a clientes e usu√°rios sobre precau√ß√Ķes na utiliza√ß√£o
de produtos e serviços financeiros; e

c) o comprometimento da alta administração com a melhoria contínua dos
procedimentos relacionados com a seguran√ßa cibern√©tica; 

VII – as iniciativas para compartilhamento de informa√ß√Ķes sobre os incidentes
relevantes, mencionados no inciso IV, com as demais institui√ß√Ķes referidas no art. 1¬ļ.

A nuvem armazena todos os tipos de informa√ß√Ķes, desde identifica√ß√£o pessoal a n√ļmeros de cart√Ķes de cr√©dito e senhas. Em alguns casos, as pessoas n√£o sabem onde esses dados s√£o armazenados e, o mais importante, como pode ser f√°cil acess√°-los.

Da√≠ a import√Ęncia da Resolu√ß√£o 4.568 do Bacen, que exige que, al√©m de definir uma pol√≠tica de seguran√ßa cibern√©tica, a empresa deve garantir, por meio de mecanismos de valida√ß√£o e controle, a efetividade do plano de a√ß√£o e de resposta a incidentes.

A computação em nuvem é o foco

Aprovada pelo Conselho Monet√°rio Nacional (CMN), a Resolu√ß√£o 4.568 prev√™ que as institui√ß√Ķes financeiras que utilizarem provedores de nuvem p√ļblica no Brasil ou exterior dever√£o implementar e manter sua pol√≠tica de seguran√ßa cibern√©tica de acordo com as diretrizes e os princ√≠pios estabelecidos pelo Bacen.

Considerada um importante avan√ßo, a resolu√ß√£o orienta o mercado financeiro sobre os fundamentos relativos a aquisi√ß√£o, uso, controle, responsabilidade, restri√ß√Ķes e conscientiza√ß√£o frente aos avan√ßos da tecnologia e √† crescente utiliza√ß√£o da computa√ß√£o em nuvem em um processo que est√° cada vez mais globalizado e requer a aten√ß√£o quanto aos riscos de seguran√ßa.

De acordo com a Resolu√ß√£o 4.568 do Bacen, as institui√ß√Ķes financeiras que contemplem a contrata√ß√£o de servi√ßos relevantes de processamento e armazenamento de dados e de computa√ß√£o em nuvem devem adotar procedimentos como:

  • pr√°ticas de governan√ßa corporativa e gest√£o proporcionais √† relev√Ęncia do servi√ßo a ser contratado e aos riscos a que estejam expostas;
  • a capacidade do prestador de servi√ßo de nuvem em assegurar o cumprimento da legisla√ß√£o e regulamenta√ß√£o;
  • garantir a confidencialidade, integridade, disponibilidade e recupera√ß√£o dos dados e das informa√ß√Ķes processados ou armazenados;
  • a ader√™ncia a certifica√ß√Ķes exigidas pela institui√ß√£o para a presta√ß√£o do
    serviço a ser contratado;
  • o acesso aos relat√≥rios elaborados por empresa de auditoria especializada e independente contratada pelo prestador de servi√ßo, relativos aos procedimentos e controles utilizados na presta√ß√£o dos servi√ßos de nuvem contratados.

Em vigor desde 26 de abril de 2018, a Resolu√ß√£o 4.568 do Bacen estabelece importantes crit√©rios a serem cumpridos quanto √† seguran√ßa cibern√©tica, permitindo que as institui√ß√Ķes reguladas avancem de maneira estruturada em um mundo cada vez mais digital, melhorando a rela√ß√£o de confian√ßa com o mercado e os consumidores.

Com as a√ß√Ķes previstas pela resolu√ß√£o, √© poss√≠vel efetivar a gest√£o de riscos, o compliance e os controles internos, estabelecendo, assim, a governan√ßa cibern√©tica com foco na prote√ß√£o de dados e privacidade de seus usu√°rios.

Mande suas d√ļvidas! nossos especialistas ir√£o respond√™-las e contribuir√£o para o desenvolvimento dos seus projetos de inova√ß√£o e a melhoria cont√≠nua da sua empresa.

Leia mais
SAIBA MAIS SOBRE ARMAZENAMENTO DE CERTIFICADOS DIGITAIS

Como realizar o armazenamento de certificados digitais e garantir a segurança da empresa? O caminho passa sempre pela adoção de boas práticas.

Basicamente, o armazenamento de certificados digitais e chaves criptogr√°ficas fornece uma camada de seguran√ßa cr√≠tica que protege todos os ativos virtuais de uma empresa. As viola√ß√Ķes em virtude de ataques baseados em confian√ßa s√£o causadas justamente pelo armazenamento inadequado e a m√° gest√£o.

Quando tem sucesso, um ataque realizado contra um certificado digital pode ter efeitos desastrosos para qualquer organização. Além dos aspectos ligados à segurança, os certificados expirados provocam grandes prejuízos em negócios perdidos.

Por isso, n√£o basta implementar uma pol√≠tica de uso de certificados digitais e chaves criptogr√°ficas: √© preciso desenvolver de forma assertiva processos de armazenamento e gerenciamento.

Continue a leitura deste post para saber mais sobre armazenamento de certificados digitais.

O armazenamento de certificados digitais e os ataques baseados em confian√ßa

Como voc√™ sabe, os certificados digitais e as chaves de criptografia s√£o essenciais para os neg√≥cios. Eles protegem os dados, mant√™m as comunica√ß√Ķes privadas e estabelecem confian√ßa entre as partes em comunica√ß√£o.

Na pr√°tica, os certificados digitais s√£o usados ‚Äč‚Äčpara diversas finalidades. Entre elas est√£o a checagem de identidade, criptografia de arquivos, autentica√ß√£o da web, seguran√ßa de e-mail e verifica√ß√£o de assinatura de software.

Apesar de sua import√Ęncia, muitas empresas est√£o vulner√°veis ‚Äč‚Äča viola√ß√Ķes, permitindo que o gerenciamento de certificados e chaves seja visto como um problema operacional, em vez de ser considerado como uma vulnerabilidade de seguran√ßa que precisa ser corrigida imediatamente.

De fato, existe muito mais uma falha nas políticas e nos processos de armazenamento de certificados digitais do que uma vulnerabilidade ocasionada pela ausência de updates de segurança ou bugs que possam comprometer qualquer tipo de estrutura tecnológica de uma organização.

Os hackers se concentram em chaves e certificados como vetores de ataque. Com m√°s inten√ß√Ķes, eles as roubam para obter um status confi√°vel e, em seguida, usam isso para evitar a detec√ß√£o e ignorar os controles de seguran√ßa.

O ataque acontece justamente quando ocorre a quebra de confiança

Cibercriminosos usam ataques baseados em confian√ßa para se infiltrar em empresas, roubar informa√ß√Ķes valiosas e manipular dom√≠nios. Se chaves privadas usadas para assinar um certificado digital ca√≠rem em m√£os erradas, o sistema pode ser violado e o site derrubado.

Se chaves privadas são perdidas, tempo e energia significativos serão desperdiçados para acessar sistemas ou renovar certificados.

Para voc√™ ter uma ideia, se os certificados de assinatura de c√≥digo usados ‚Äč‚Äčpara assinar um aplicativo para iPhone ou Android forem comprometidos, um desenvolvedor n√£o autorizado poder√° lan√ßar um malware com a ajuda da identidade corporativa violada.

Para reduzir o risco de ataques baseados em confiança, os certificados digitais e as chaves criptográficas precisam ser protegidos e armazenados com segurança para evitar que sejam perdidos ou caiam em mãos erradas.

As op√ß√Ķes de armazenamento de certificados digitais e as pr√°ticas recomendadas

Toda vez que um certificado digital √© emitido, um par de chaves ‚ÄĒ privada e p√ļblica ‚ÄĒ √© gerado.

A melhor prática é manter a chave privada segura. Caso alguém consiga usá-la, poderá criar sites de phishing com o certificado da sua organização na barra de endereços, fazer autenticação em redes corporativas se passando por você, assinar aplicativos ou documentos em seu nome e ler seus e-mails criptografados.

Em muitas empresas, os certificados digitais e as chaves de criptografia s√£o as identidades de seus funcion√°rios e, portanto, uma extens√£o da identifica√ß√£o de sua organiza√ß√£o. A prote√ß√£o delas equivale a proteger suas impress√Ķes digitais ao usar credenciais biom√©tricas.

Voc√™ n√£o permitiria que um hacker pegasse sua impress√£o digital. Ent√£o, por que deix√°-lo ter acesso ao seu certificado digital?

O armazenamento de certificados digitais

As modalidades mais utilizadas para armazenamento de certificados digitais no Brasil s√£o duas: A3, em token ou cart√£o, e A1, em arquivo no computador ou outro dispositivo.

A3 armazenado em token

Trata-se de um tipo de certificado que fica armazenado em um token criptográfico, um dispositivo semelhante a um pendrive, que deve ser conectado diretamente a uma porta USB do computador do usuário ou servidor onde rodará o sistema. Não é possível fazer cópia, sob pena de bloqueio da mídia.

A3 armazenado em cart√£o

Este tipo de certificado fica armazenado em um cart√£o inteligente com chip, igual aos novos cart√Ķes banc√°rios, que dever√° ser conectado a uma leitora que deve ficar ligada em uma porta USB do computador do usu√°rio ou servidor onde rodar√° o sistema. Tamb√©m n√£o √© poss√≠vel fazer c√≥pia, sob pena de bloqueio da m√≠dia criptogr√°fica.

A1 armazenado em arquivo no computador ou outro dispositivo

√Č um arquivo eletr√īnico gravado no computador do usu√°rio ou servidor onde rodar√° o sistema. Geralmente possui as extens√Ķes .PFX ou .P12 e n√£o necessita de tokens ou cart√Ķes para ser transportado de um lado para outro.

A1 armazenamento em nuvem

Com ele, é possível acessar o seu certificado e assinar documentos digitalmente por meio de qualquer dispositivo: desktops, smartphones e tablets. Também ganha-se em segurança e elimina-se a preocupação com danos físicos, roubos e perdas.

N√£o perca seus certificados digitais

O armazenamento de certificados digitais precisa ser eficiente e tratado como uma prioridade na organização. A escolha da melhor forma de armazenar dependerá das políticas e dos processos de segurança implementados na empresa e, principalmente, de quem usa os certificados e para que eles são usados.

Desta forma, quaisquer regulamenta√ß√Ķes que sua empresa precisa cumprir, custos e recursos internos ser√£o assegurados por meio do armazenamento dos certificados digitais.

A E-VAL é uma empresa especializada em certificação digital, segurança da informação, desenvolvimento de software e business intelligence que se consolidou no mercado de tecnologia e acompanha a adoção e evolução do uso de criptografia e certificação digital no Brasil.

Entre em contato conosco para fazer as suas perguntas sobre armazenamento de certificados digitais! Os especialistas da E-VAL ter√£o o maior prazer em respond√™-las, contribuindo para o desenvolvimento dos seus projetos de inova√ß√£o e a melhoria cont√≠nua da sua empresa.

Leia mais
COMO A FALTA DE INVESTIMENTO EM SEGURANÇA AFETA UMA EMPRESA?

Perdas de credibilidade e dinheiro são exemplos  dos impactos da falta de investimento em segurança. Saiba mais!

A falta de investimento em segurança e uma violação de dados podem ter três grandes consequências: financeira, reputacional e legal.

De fato, a seguran√ßa cibern√©tica deixou de ser apenas uma quest√£o de tecnologia e se transformou em um aspecto essencial para os neg√≥cios. J√° se foram os dias em que as empresas podiam passar as responsabilidades da prote√ß√£o de dados apenas para o departamento de TI. Ela se tornou estrat√©gica e afeta a todos os setores.

O impacto da falta de investimento em segurança

A falta de investimento em segurança resulta em perdas financeiras substanciais decorrentes de:

  • roubos de informa√ß√Ķes corporativas;
  • roubo de informa√ß√Ķes financeiras (por exemplo, dados banc√°rios ou detalhes de cart√Ķes);
  • roubos de dinheiro;
  • interrup√ß√Ķes de neg√≥cios (por exemplo, incapacidade de realizar transa√ß√Ķes online);
  • perdas de neg√≥cios ou contratos;

As empresas que sofrem viola√ß√Ķes cibern√©ticas geralmente tamb√©m ter√£o custos associados √† repara√ß√£o de sistemas, redes e dispositivos.

Isso √© especialmente importante, pois as empresas est√£o cada vez mais digitais, o que significa que est√£o expostas a um n√ļmero maior de amea√ßas, se n√£o gerenciarem o risco de seguran√ßa adequadamente e n√£o realizarem o investimento necess√°rio.

Danos à reputação são maiores que os financeiros

Muitas empresas ainda não perceberam ou mensuraram o real impacto da perda de credibilidade. A confiança é um elemento essencial no relacionamento com o cliente. Os ataques virtuais e os roubos de dados podem prejudicar a reputação de sua organização e quebrar totalmente a confiança que o consumidor tem em você.

Isso, por sua vez, pode levar a consequências como:

  • perda de clientes;
  • perda de vendas;
  • redu√ß√£o significativa nos lucros;
  • fal√™ncia.

O efeito dos danos √† reputa√ß√£o por conta da falta de investimento em seguran√ßa pode at√© impactar seus fornecedores ou afetar os relacionamentos que voc√™ tem com parceiros, investidores e terceiros envolvidos com os seus neg√≥cios.

Entender a import√Ęncia de mudar a mentalidade quanto ao investimento em seguran√ßa cibern√©tica se tornou vital. Em plena era da transforma√ß√£o digital, as empresas n√£o podem correr o risco de  sofrer um ataque ou n√£o saber como realizar o tratamento de um incidente.

Consequências legais da falta de investimento em segurança

N√£o podemos esquecer que a falta de investimento em seguran√ßa tamb√©m resulta em consequ√™ncias legais. A Lei Geral de Prote√ß√£o de Dados (LGPD) exige que sua empresa gerencie todas as informa√ß√Ķes pessoais que ela possui, seja de sua equipe ou seus clientes.

Se esses dados forem acidental ou deliberadamente comprometidos e voc√™ n√£o conseguir implantar as medidas de seguran√ßa apropriadas, poder√° enfrentar multas e san√ß√Ķes regulamentares que podem inviabilizar seu neg√≥cio.

As recentes viola√ß√Ķes globais impactaram mais de 200 mil computadores em 150 pa√≠ses e custaram milh√Ķes; nada poderia deixar mais clara a import√Ęncia do investimento em seguran√ßa cibern√©tica, pois isso impacta as empresas como um todo, n√£o apenas os departamentos de TI.

O risco de ataques é real e atinge a qualquer empresa

N√£o basta ler este post, concordar que √© preciso investir em seguran√ßa e n√£o fazer nada. √Č preciso ter consci√™ncia de que o risco √© real e afetar√° em algum momento o ciclo das opera√ß√Ķes de sua empresa.

Basta uma simples análise de risco para ver o que pode acontecer com sua organização, colaboradores e, principalmente, clientes:

  • perda f√≠sica de dados. Voc√™ pode perder o acesso imediato por motivos que v√£o desde inunda√ß√Ķes at√© falta de energia el√©trica. Isso tamb√©m pode acontecer por raz√Ķes mais simples, como uma falha de disco;
  • acesso n√£o autorizado aos dados. Lembre-se de que, se voc√™ tiver informa√ß√Ķes confidenciais de clientes, muitas vezes √© contratualmente respons√°vel por proteg√™-las como se fossem suas;
  • intercep√ß√£o de informa√ß√Ķes em tr√Ęnsito. Os riscos incluem dados transmitidos entre sites da empresa ou entre a organiza√ß√£o e os seus colaboradores, parceiros e contratados, em casa ou outros locais;
  • seus dados podem cair nas m√£os de outras pessoas. Voc√™ compartilha essas informa√ß√Ķes com terceiros, incluindo contratados e parceiros, entre outros? O que os protege enquanto eles est√£o em suas m√£os ou nas de seus parceiros?
  • corrup√ß√£o de dados, intencional ou n√£o. Isso pode modific√°-los de modo que favore√ßam uma parte externa ou por conta de um erro de software.

Toda empresa precisa ter um programa de investimentos em segurança

√Č necess√°rio encarar a falta de seguran√ßa cibern√©tica como um risco ao neg√≥cio e n√£o apenas um problema de tecnologia. Diante disso, √© preciso seguir diretrizes que ajudem a organiza√ß√£o a atingir n√≠veis de prote√ß√£o adequados.

N√£o importa o tamanho da sua empresa: ela precisa ter um plano de investimentos para garantir a seguran√ßa de seus ativos de informa√ß√£o.

Esse plano é responsável por todas as políticas e os processos de criação de um programa de segurança cibernética e fará com que você pense de maneira holística sobre a proteção de dados de sua organização.

De maneira geral, um programa fornece a estrutura para manter sua empresa em um n√≠vel de seguran√ßa adequado, avaliando os riscos que voc√™ enfrenta, decidindo o que deve priorizar e planejando como ter pr√°ticas atualizadas.

Investir em segurança significa proteger sua confidencialidade, integridade e disponibilidade

Ter um programa de investimentos em seguran√ßa significa que voc√™ tomou medidas para reduzir o risco de perder dados de v√°rias maneiras e definiu um ciclo de vida para gerenciar as informa√ß√Ķes e a tecnologia em sua organiza√ß√£o.

Felizmente, as tecnologias de segurança cibernética estão disponíveis para empresas de diferentes tamanhos e segmentos, se adaptando às suas realidades de negócios e ajudando a enfrentar os desafios da proteção de dados.

Como minimizar o impacto de ataques cibernéticos em empresas

Como vimos, viola√ß√Ķes de seguran√ßa podem devastar at√© mesmo as empresas mais resilientes.

√Č extremamente importante gerenciar os riscos de acordo com a natureza dos neg√≥cios antes e depois que um ataque acontece, realizar os investimentos necess√°rios e criar um plano efetivo de prote√ß√£o e resposta a incidentes cibern√©ticos. Ele pode ajudar sua empresa a:

  • prevenir e reduzir o impacto de ataque virtuais;
  • relatar os incidentes √†s autoridades respons√°veis;
  • recuperar os sistemas afetados;
  • colocar seu neg√≥cio em funcionamento no menor tempo poss√≠vel.

Realizar um investimento em seguran√ßa significa treinamentos, educa√ß√£o e conscientiza√ß√£o dos usu√°rios da sua organiza√ß√£o de maneira cont√≠nua e, claro, aquisi√ß√£o de tecnologias e servi√ßos, sempre buscando garantir a prote√ß√£o de dados dos clientes e a continuidade dos neg√≥cios, possibilitando o crescimento cont√≠nuo da empresa.

Voc√™ tem d√ļvidas a respeito desse assunto? Nossos especialistas ter√£o o maior prazer em respond√™-las e contribuir para os seus projetos de seguran√ßa da informa√ß√£o.

Leia mais
POR QUE VOC√ä DEVE GERENCIAR CHAVES CRIPTOGR√ĀFICAS?

Em tempos de transformação digital, a gestão das chaves criptográficas se tornou vital para empresas que buscam crescimento sustentável.

As empresas movem cada vez mais dados sens√≠veis pela internet e migram fortemente sua infraestrutura para a nuvem, em diferentes tipos de modelos de servi√ßo. Na medida em que isso acontece, cresce a necessidade de uso de chaves criptogr√°ficas.

Diante dessa realidade, os profissionais de seguran√ßa protegem ativamente esses dados com t√©cnicas testadas e comprovadas, que s√£o usadas em diferentes fases do ciclo de produtividade das organiza√ß√Ķes, sempre com o objetivo de garantir a privacidade.

No entanto, a garantia de proteção e disponibilidade de dados pode não ser possível apenas com o uso da criptografia.

Por mais que exista uma tecnologia avan√ßada contra viola√ß√£o de dados, sem o gerenciamento de chaves criptogr√°ficas, o risco de vazamentos ou roubos de informa√ß√Ķes ainda ser√° grande.

Por que gerenciar chaves criptográficas é importante?

Gerenciamento significa proteger as chaves criptográficas contra perda, roubo, corrupção e acesso não autorizado. Entre os seus objetivos, temos:

  • garantir que as chaves sejam mantidas em seguran√ßa;
  • mudar as chaves regularmente;
  • controlar como e para quem as chaves s√£o atribu√≠das;
  • decidir sobre a granularidade das chaves.

Na prática, o gerenciamento das chaves criptográficas significa avaliar se uma chave deve ser usada para todas as fitas de backup ou se cada uma deve receber a sua própria, por exemplo.

√Č preciso garantir que a chave criptogr√°fica ‚ÄĒ e qualquer coisa relacionada a ela ‚ÄĒ seja adequadamente controlada e protegida. Portanto, n√£o h√° como n√£o pensar em gest√£o.

Se tudo n√£o estiver devidamente protegido e gerenciado, √© como ter uma fechadura de √ļltima gera√ß√£o na porta da sua casa e deixar a chave embaixo do tapete.

Para ficar mais clara a import√Ęncia do gerenciamento de chaves criptogr√°ficas, basta lembrarmos dos quatro objetivos da criptografia: confidencialidade, integridade, autentica√ß√£o e n√£o-rep√ļdio. Com ela, podemos proteger as informa√ß√Ķes pessoais e os dados corporativos confidenciais.

De fato, não faz sentido algum usar uma tecnologia que garante a segurança de dados sem que não exista um gerenciamento eficiente.

Gerenciamento de chaves criptográficas é um desafio, mas não é impossível

De fato, o gerenciamento de chaves criptogr√°ficas n√£o √© t√£o simples quanto chamar um chaveiro. Voc√™ tamb√©m n√£o pode escrever as chaves em um peda√ßo de papel. √Č preciso fornecer acesso ao menor n√ļmero poss√≠vel de pessoas e garantir que ele seja restrito.

A gest√£o criptogr√°fica bem-sucedida no mundo corporativo exige boas pr√°ticas em v√°rias frentes.

Primeiro, você deve escolher o algoritmo de criptografia e o tamanho de chave corretos para ter confiança em sua segurança.

Depois, deve garantir que a implementa√ß√£o da estrat√©gia de criptografia corporativa esteja de acordo com os padr√Ķes estabelecidos para esse algoritmo. Isso significa ser aprovado por uma autoridade certificadora reconhecida ‚ÄĒ no caso do Brasil, as que est√£o homologadas pelo ITI, dentro do ICP-Brasil.

Por fim, deve garantir um gerenciamento de chaves criptogr√°ficas eficiente, associado a pol√≠ticas e processos de seguran√ßa, que possam certificar um uso produtivo da tecnologia.  

Para ter uma maior confiança em sua estratégia de gerenciamento de chaves criptográficas, as primeiras perguntas a serem feitas são as seguintes:

Muitos serviços de gerenciamento retêm chaves privadas na camada de serviço, o que significa que seus dados podem estar acessíveis aos administradores dessa atividade. Isso é ótimo para disponibilidade, mas não para confidencialidade.

No final das contas, como acontece com qualquer tecnologia, a efici√™ncia da criptografia depende completamente de sua implementa√ß√£o. Se ela n√£o for feita corretamente ou se os componentes usados ‚Äč‚Äčn√£o estiverem devidamente protegidos, ela estar√° em risco, assim como os dados.

Da cria√ß√£o das pol√≠ticas √† gest√£o de chaves criptogr√°ficas

Uma abordagem comum para proteger dados na empresa por meio do gerenciamento de chaves criptográficas é fazer um balanço, entender as ameaças e criar uma política de segurança.

As empresas precisam saber quais dispositivos e aplicativos s√£o confi√°veis ‚Äč‚Äče como a pol√≠tica pode ser aplicada entre eles e na nuvem. Tudo come√ßa em saber o que voc√™ tem.

A maioria das organiza√ß√Ķes n√£o sabe quantas chaves tem, onde usa criptografia e quais aplicativos e dispositivos s√£o realmente confi√°veis. √Č uma total falta de gerenciamento das chaves criptogr√°ficas, dos dados e de sua estrutura.

Sem d√ļvidas, a parte mais importante de um sistema de criptografia √© o seu gerenciamento de chaves, especialmente quando a organiza√ß√£o tem a necessidade de criptografar uma grande quantidade de dados. Isso faz com que a infraestrutura se torne mais complexa e desafiadora.

Padronizar o processo é fundamental

A padronização dos produtos é fundamental. Mesmo a criptografia implementada de maneira adequada significa pouco se um invasor entrar na máquina de alguém ou se um funcionário for desonesto.

Em alguns casos, a criptografia pode habilitar um invasor e inutilizar todo o investimento em seguran√ßa, causando um estrago que vai muito al√©m de preju√≠zos financeiros. A padroniza√ß√£o √© vital para criar pol√≠ticas e processos √ļteis, reduzindo a possibilidade de brechas que podem resultar em ataques virtuais e roubos de dados.

A criptografia realmente cria mais oportunidades de neg√≥cios para diferentes tipos de empresas, n√£o apenas atenuando preocupa√ß√Ķes como ataques virtuais, mas criando um ciclo de acesso aos dados organizado, eficiente e estrat√©gico.

Em tempos de transforma√ß√£o digital e tantas disrup√ß√Ķes tecnol√≥gicas e de mercado, adotar um gerenciamento das chaves criptogr√°ficas √© vital para empresas que buscam um crescimento sustent√°vel.

Agora você já conhece um pouco mais sobre gestão de chaves criptográficas. Mantenha-se sempre atualizado sobre este assunto por meio de nossa página no LinkedIn.

Leia mais
Como as empresas se preparam em relação à LGPD?

Aprovada pelo governo brasileiro, a Lei Geral de Prote√ß√£o a Dados (LGPD) tem o objetivo de garantir a privacidade de cada cidad√£o. Seus requisitos se aplicam a todas as empresas que lidam com as informa√ß√Ķes de pessoa f√≠sica,.

Provavelmente, nos √ļltimos meses voc√™ deve ter recebido notifica√ß√Ķes sobre altera√ß√Ķes nas pol√≠ticas de privacidade de empresas de destaque, como Google, Facebook e Microsoft. A raz√£o desses e-mails em sua caixa de entrada ainda n√£o √© a LGPD, mas sim a GDPR, a lei de prote√ß√£o de dados da Uni√£o Europeia.

A lei europeia serviu de base para a nossa. Elas t√™m em comum a finalidade de devolver aos cidad√£os o controle pessoal de seus dados e definir a regulamenta√ß√£o para as empresas sobre o uso dessas informa√ß√Ķes.

H√° muita coisa para falar sobre a legisla√ß√£o brasileira, que est√° prevista para entrar em vigor em 2020. Por√©m, antes de abordar detalhes sobre conformidade, multas e responsabilidades, vem uma quest√£o que preocupa gestores como voc√™.  

Como as empresas se preparam em relação à LGPD? Continue a leitura até o final, porque podemos ajudar nessa jornada.

LGPD impacta consumidores e empresas

Da mesma forma que aconteceu na Europa, a LGPD pegou v√°rias empresas desprevenidas e muitas ainda n√£o fazem a menor ideia de como agir.

Multas pesadas por n√£o conformidade ou viola√ß√Ķes de privacidade impactar√£o fortemente as receitas das empresas, dependendo do tamanho delas e da interpreta√ß√£o do √≥rg√£o regulador no momento da fiscaliza√ß√£o ou da investiga√ß√£o de algum tipo de incidente.

Como a LGPD afetar√° as empresas

√Ä primeira vista, pode parecer que a LGPD se aplica apenas a grandes organiza√ß√Ķes que realizam muitos neg√≥cios. Mas essa √© uma percep√ß√£o errada e pode prejudicar pequenas e m√©dias empresas.

Como foi dito logo no in√≠cio do post, n√£o importa o tamanho da sua empresa: se voc√™ coletar qualquer tipo de dado pessoal sobre um cidad√£o brasileiro ‚ÄĒ de endere√ßos de e-mail at√© registros m√©dicos ‚ÄĒ, √© legalmente obrigado a cumprir o que diz a LGPD.

At√© o ano de 2020, as empresas precisar√£o implementar procedimentos e sistemas para garantir que os dados dos cidad√£os sejam coletados, armazenados, processados ‚Äč‚Äče compartilhados de forma segura e, principalmente, com a aprova√ß√£o deles.

De fato, a maioria das empresas est√° muito distante disso e, seguindo a tradi√ß√£o brasileira, muitas delas se preocupar√£o apenas quando a data limite estiver pr√≥xima.

O problema √© que mesmo os registros que as empresas encaram como inofensivos ser√£o considerados dados protegidos, se puderem ser usados ‚Äč‚Äčpara identificar um consumidor. Por essa raz√£o, o impacto ser√° grande para todas as organiza√ß√Ķes.

Fa√ßa um pequeno exerc√≠cio mental para visualizar o tamanho da dimens√£o da lei: quais s√£o as empresas onde voc√™ tem algum tipo de dado pessoal armazenado atualmente? Praticamente por todos os lugares onde j√° passou ou navegou foi coletado um dado seu. Nome, e-mail, CPF, identidade, passaporte e cart√£o de cr√©dito s√£o alguns exemplos.

Como a LGPD afetar√° os consumidores

Ataques virtuais e roubo de dados deixam grande parte da população vulnerável. Muitas pessoas sofrem com as consequências de fraudes e compras indevidas.

A LGPD promover√° a conscientiza√ß√£o dos consumidores quanto √† import√Ęncia de seus dados e garantir√° os direitos necess√°rios sobre o uso de informa√ß√Ķes pessoais.

O que √© poss√≠vel fazer para se preparar?

Se a sua empresa atualmente faz ou pensa em fazer neg√≥cios no Brasil, existem medidas que voc√™ pode adotar para se manter em conformidade com a LGPD.

Realize uma análise completa do seu negócio

Consulte um especialista jur√≠dico para entender a LGPD e descobrir como ela pode afetar seus neg√≥cios. Ent√£o, olhe para os sistemas que voc√™ j√° possui e descubra se existem pontos fracos. Al√©m de uma consultoria jur√≠dica √© importante levantar o fluxo de dados da empresa para ajudar no diagn√≥stico.

Eduque toda a sua equipe

Os profissionais devem ser instru√≠dos sobre as responsabilidades que eles t√™m quando lidam com informa√ß√Ķes pessoais identific√°veis ‚Äč‚Äčou sens√≠veis de funcion√°rios, clientes e parceiros.

√Č vital que toda a equipe entenda por que a prote√ß√£o de dados e as mudan√ßas exigidas pela lei precisam ser uma prioridade para a empresa.

Escolha um ponto focal

As empresas de médio porte podem considerar a nomeação de um responsável pela conformidade, que revisaria as constantes mudanças nas leis de privacidade de dados.

J√° as empresas menores podem contratar um especialista externo para preencher essa fun√ß√£o, conforme necess√°rio.

De qualquer forma, √© importante que todas as empresas possam identificar um ponto de contato principal cuja responsabilidade √© abordar quest√Ķes de prote√ß√£o de dados.

Categorize os dados

Determine quais dados da sua empresa são afetados pela LGPD. Por exemplo, os dados dos cidadãos podem estar em contratos, documentos de RH, registros financeiros ou históricos de pedidos de compra.

Verifique onde esses dados est√£o armazenados, como s√£o processados ‚Äč‚Äče quem tem acesso a eles. A partir da√≠, voc√™ pode definir pol√≠ticas para toda a empresa sobre como essas informa√ß√Ķes devem ser manipuladas.

Revise seus contratos

Por fim, revise contratos com fornecedores e prestadores de serviços. O gerenciamento interno de dados deve ser feito por todos que fazem parte do ciclo produtivo.

Al√©m disso, pergunte quais procedimentos seu fornecedor implementou para cumprir a lei e como ele abordar√° as viola√ß√Ķes.

A possível inviabilidade do negócio

As empresas precisam reformular o modo como pensam sobre os dados do cliente e a sua pr√≥pria responsabilidade. Ent√£o, se implementada adequadamente, a LGPD pode ser uma oportunidade de melhoria para as organiza√ß√Ķes.

Adote uma abordagem baseada em risco. A privacidade tem que ser um componente para o qual voc√™ est√° preparado e no qual deve acreditar.

As multas s√£o cobradas com base no que est√° previsto na LGPD, o que leva as empresas a riscos significativos. Os valores atribu√≠dos para cada situa√ß√£o podem inviabilizar totalmente a exist√™ncia da organiza√ß√£o ou comprometer a credibilidade dela diante do mercado e dos consumidores.

Entre em contato conosco. Nossos especialistas poder√£o ajud√°-los, contribuindo para o desenvolvimento dos seus projetos de prote√ß√£o de dados e a melhoria cont√≠nua da sua empresa.

Leia mais
Como uma solução de assinatura digital impacta o seu negócio

Um dos primeiros impactos sentidos por uma empresa que adota uma solução de assinatura digital é a modernização. Basta pensarmos como você faz com que seus funcionários e clientes assinem os documentos considerados importantes atualmente.

Algumas empresas ainda enviam e-mails com documentos anexos para que clientes e fornecedores imprimam c√≥pias, assinem, digitalizem, anexem a outra mensagem e mandem de volta. Por√©m, essa realidade est√° em transforma√ß√£o com a ado√ß√£o da tecnologia da assinatura digital.

Essa mudança de paradigma deverá se potencializar nos próximos anos, integrando inovação, proteção aos dados e novas tecnologias aos processos de todas as empresas que têm visão de futuro e desejam participar ativamente das mudanças promovidas pela Transformação Digital.

Mudança na forma de fazer negócios

Em apenas poucos anos, a forma como fazemos negócios mudou drasticamente. Com a força do mundo digital, equipes inteiras agora trabalham remotamente de qualquer lugar do planeta. Equipamentos como scanner e, com toda a certeza, o antigo aparelho de fax deixaram de fazer parte do vocabulário dos mais modernos escritórios.

Somos orientados pela conectividade da internet e pela mobilidade dos dispositivos. Ent√£o, por que n√£o facilitar o ciclo produtivo das empresas por meio da assinatura digital? For√ßar um cliente a ir ao escrit√≥rio ou cart√≥rio apenas para assinar um documento n√£o impacta apenas em sua comodidade; tamb√©m interfere na efici√™ncia e no ganho de produtividade.

Como a tecnologia de assinatura digital impacta o seu negócio

Simplificando o conceito, a assinatura digital é uma representação digital legalmente vinculada à sua própria assinatura. Ele torna um documento autêntico e permite que você assine quase tudo com apenas alguns cliques.

A assinatura digital permite, por exemplo, que propostas, contratos e ordens de compra sejam assinadas digitalmente, garantindo de maneira r√°pida e eficiente documentos legais em diferentes tipos de processos.

Na pr√°tica, isso quer dizer que os documentos assinados digitalmente desempenhar√£o um papel crucial no seu neg√≥cio. Ent√£o, daremos uma olhada em algumas das principais vantagens das assinaturas eletr√īnicas:

Otimização do ciclo de negócios

A velocidade com que uma empresa assina um documento pode ter um grande impacto no seu ciclo de negócios.

Uma assinatura eletr√īnica garantir√° que seu documento seja assinado o mais r√°pido poss√≠vel.

A otimização dos processos de negócios permitirá que você planeje seu ciclo produtivo com mais precisão e tenha mais controle sobre o canal de vendas e outros setores.

Ampliação de eficiência e produtividade

Uma assinatura digital elimina a necessidade de imprimir, assinar p√°ginas individuais, digitalizar o documento assinado e envi√°-lo de volta por e-mail.

O tempo gasto em processos √© reduzido consideravelmente, al√©m da elimina√ß√£o de retrabalhos em decorr√™ncia de erros, reimpress√Ķes e reenvios.

A eficiência administrativa e o aumento de produtividade são sentidos em pouco tempo após a implementação da tecnologia.

Redução de custos

N√£o ter que imprimir cada proposta em papel soa muito bem para a maioria dos gestores atuais, pois os custos administrativos com processos manuais de assinatura pesa diretamente sobre o or√ßamento de qualquer empresa.

Independentemente do setor ou tamanho, se voc√™ tem um sistema de gerenciamento de impress√£o, assinatura e arquivamento f√≠sico, sua organiza√ß√£o perde dinheiro e recursos desnecessariamente. 

Inovação nos processos de armazenamento

O que acontece depois da impress√£o e assinatura de um documento? √Č isso mesmo, voc√™ arquiva!

Pense em todo o espaço de arquivamento que sua organização precisa. E esses arquivos se acumulam até que seu escritório pareça mais uma biblioteca.

Com uma assinatura digital, a maior parte dos dados √© armazenada em formato eletr√īnico. Inclusive, √© poss√≠vel utilizar a infraestrutura de nuvem para o armazenamento. Se necess√°rio, o documento poder√° ser impresso.

Mobilidade estratégica para o negócio

Atualmente, clientes est√£o cada vez mais m√≥veis e conectados. Rastre√°-los apenas para obter um documento assinado pode ser um desafio.

Na medida em que mais empresas começam a trabalhar remotamente, faz sentido permitir que seus clientes assinem documentos de maneira digital, independentemente de sua localização.

Não podemos esquecer da segurança

Al√©m de melhorar a efici√™ncia no ciclo de neg√≥cios, a assinatura digital contribui diretamente para a empresa quando se trata de seguran√ßa. A solu√ß√£o garante que os dados sejam criptografados, protegendo o documento contra adultera√ß√Ķes.

De acordo com os especialistas da E-VAL, a criptografia de assinatura digital permite que voc√™ saiba se um √ļnico caractere do seu documento foi alterado ou exclu√≠do. Al√©m disso, ela torna poss√≠vel rastrear e expor qualquer falsifica√ß√£o.

Da mesma forma, se um signat√°rio negar ter autenticado seu documento, a assinatura poder√° ser analisada para confirmar a origem.

Desde a criação e distribuição até a edição, validação e armazenamento, todo o ciclo de vida do documento assinado digitalmente é transparente e seguro.

Usando assinatura digital, os gestores podem rastrear o status de seus documentos em tempo real, incluindo:

  • quando o documento foi aberto;

  • o momento em que o signat√°rio inicia a valida√ß√£o do documento;

  • e o momento em que a valida√ß√£o √© conclu√≠da ou interrompida.

Faça de sua empresa um negócio digital

Fa√ßa com que seu neg√≥cio seja o mais f√°cil e eficiente poss√≠vel para seu cliente. Os consumidores atuais n√£o querem apenas resultados; eles tamb√©m desejam uma excelente experi√™ncia.

√Č por isso que os clientes da E-VAL n√£o precisam de impressora ou fax para fechar bons neg√≥cios. A nossa solu√ß√£o de assinatura digital permite que os consumidores aceitem e assinem suas propostas de forma din√Ęmica, segura e eficiente.

Entre em contato agora mesmo com os nossos consultores e saiba como podemos melhorar estrategicamente a eficiência de sua empresa!

Leia mais
Criptografia de dados e gerenciamento de chaves

O uso de criptografia para proteção de dados em repouso ou de meios de comunicação é uma realidade para as empresas e os usuários de serviços como armazenamento na nuvem, troca de mensagens e muitos outros.

Por√©m, para os respons√°veis por estes servi√ßos, s√£o apresentadas muitas op√ß√Ķes de mecanismos criptogr√°ficos e, consequentemente, h√° muitas escolhas a serem feitas.

Escolhas inadequadas podem resultar em pouco ou nenhum ganho, criando uma falsa sensação de segurança.

Figura com informa√ß√Ķes de seguranca_chaves_algoritmos_procedimentos_pessoas

Figura 1 РSegurança: [chaves + algoritmos + procedimentos + pessoas]

Por exemplo: criptografar uma base de dados e manter a chave criptogr√°fica em um arquivo no servidor.

Neste artigo, pretendemos abordar alguns aspectos relevantes para a¬†seguran√ßa da informa√ß√£o que est√£o relacionados √†s¬†chaves criptogr√°ficas para¬†mostrar a import√Ęncia do correto gerenciamento delas para a programa√ß√£o dos servi√ßos criptogr√°ficos.

Para facilitar o entendimento, dividiremos este artigo em tr√™s partes, iniciando com os conceitos b√°sicos sobre criptografia, servi√ßos criptogr√°ficos e, por √ļltimo,¬†gerenciamento de chaves criptogr√°ficas.

1. Conceitos b√°sicos de criptografia

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação.

Para isso, emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta).

Mantendo este segredo seguro, impedimos que pessoas não autorizadas tenha acesso à informação original (decifrar).

Segredo

A seguran√ßa dos servi√ßos criptogr√°ficos √© baseada no segredo da chave criptogr√°fica, que permite cifrar e decifrar, e n√£o no m√©todo de transformar a informa√ß√£o, ou seja o algoritmo utilizado, que deve ser p√ļblico.

Chaves simétricas e assimétricas

Em criptografia, existem dois tipos b√°sicos de algoritmos:¬†os de chave sim√©trica e assim√©trica.¬†Os primeiros utilizam uma √ļnica chave para cifrar e decifrar os dados e os segundos adotam par de¬†chaves, sendo uma para cifrar e a outra para decifrar.

O diagrama a seguir mostra o uso de uma chave simétrica para a cifra de uma mensagem. Podemos ver que a chave utilizada por João é a mesma adotada por Alice.

Figura com algoritmo de chave simétrica, contendo os textos antes da cifragem, as chaves compartilhadas e o texto cifrado.

Figura 2 РAlgoritmo de chave simétrica

O pr√≥ximo diagrama mostra o uso de uma chave assim√©trica. A chave utilizada por Alice para cifrar √© a chave p√ļblica de Jo√£o, que usa a sua chave privada para decifrar.

Figura com algoritmo de chave assim√©trica, contendo os textos antes da cifragem, as chaves p√ļlbica e privada e o texto cifrado.

Figura 3 РAlgoritmo de chaves assimétricas

Um ponto interessante deste tipo de algoritmo √© que, ap√≥s cifrar com a chave p√ļblica, apenas a privada pode decifrar.

Como exemplos de uso para estes algoritmos, podemos citar uma base de dados que utiliza o algoritmo AES (chave simétrica) para cifrar uma determinada informação no banco de dados e a assinatura digital de documentos que usa o algoritmo RSA (chave assimétrica).

Também gostaríamos de ressaltar que o segredo nestes dois tipos de algoritmos está em proteger a chave simétrica e a privada (no caso das chaves assimétricas).

Outro aspecto é que estes algoritmos são complementares e servem como base para a programação dos serviços criptográficos.

Resumo criptogr√°fico e assinatura digital

O resumo criptográfico é um valor que representa uma informação e que é gerado por meio de um algoritmo, como o SHA256, que analisa os dados bit-a-bit e cria um valor que não pode ser falsificado na prática.

Cadeados representando hash criptogr√°fico

Figura 4 – Resumo criptogr√°fico

Porém, o resumo criptográfico não pode ser usado sozinho, pois apesar de não ser viável falsificá-lo, é possível substitui-lo.

Então, para ser utilizado na prática, o resumo criptográfico é cifrado com a chave privada (assimétrica), gerando uma assinatura digital.

Assim, todos que t√™m a chave p√ļblica podem gerar o resumo criptogr√°fico e compara-lo com o presente na assinatura digital, verificando se os dados s√£o v√°lidos.

Figura com a representação de uma assinatura digital, contendo os textos, as cifras as chaves, o hash e a assinatura digital

Figura 5 – Assinatura digital

Um exemplo √© o SHA256withRSA, que utiliza o¬†algoritmo de resumo SHA256 e o algoritmo de criptografia RSA para gerar a assinatura digital. Por√©m, isso ainda n√£o √© suficiente, pois n√£o temos como identificar a quem pertence uma determinada chave p√ļblica.

Para isso, é necessário um novo elemento: o certificado digital.

O certificado digital consiste basicamente em¬†uma informa√ß√£o textual que identifica uma entidade (pessoa, empresa ou¬†servidor), uma chave p√ļblica e¬†um prop√≥sito de uso. Ele tem uma assinatura digital.

Um ponto importante aqui é que a assinatura do certificado digital deve ser feita por uma entidade terceira (autoridade certificadora digital) confiável. Assim, introduzimos o conceito de relação de confiança. De acordo com ele, se confiamos em uma entidade A e esta confia em uma entidade B, então também confiamos na entidade B.

Figura contendo uma explicação de relação de confiança, no qual se uma entidade confia em outra então há confiança entre as entidades.

Figura 6 РRelação de confiança

Assim, concluímos os conceitos básicos de criptografia. Na próxima parte, falaremos sobre os serviços criptográficos que podem ser criados a partir deles.

2. Serviços criptográficos

Os mecanismos criptogr√°ficos b√°sicos, como criptografia sim√©trica e resumo criptogr√°fico, s√£o utilizados para suportar servi√ßos de confidencialidade, integridade, autoriza√ß√£o e irretratabilidade ou n√£o-rep√ļdio.

Assim, temos que um mecanismo criptográfico pode ser utilizado para suportar vários serviços. Outro fator importante é que os serviços criptográficos devem ser utilizados em conjunto para garantir a segurança.

A seguir, descreveremos brevemente os serviços criptográficos básicos:

Confidencialidade

Este serviço provê a confidencialidade dos dados por meio de criptografia, garantindo que não possam ser visualizados por terceiros e que apenas pessoas autorizadas tenham acesso a eles.

Como exemplo, temos a cifra de arquivos, sistemas de arquivos e bases de dados com chaves simétricas.

Ou tamb√©m temos, informa√ß√Ķes cifradas com a chave p√ļblica do certificado, assim s√≥ quem t√™m a chave privada correspondente poder√° abrir a informa√ß√£o.

Integridade

O serviço de integridade deve garantir que uma determinada informação não foi modificada de maneira não autorizada após a sua criação, durante a transmissão ou o armazenamento.

Seja a alteração acidental ou intencional, a inserção, remoção ou substituição de dados deve ser detectada. Mecanismos criptográficos como o resumo criptográfico, também conhecido como hash e a assinatura digital fornecem o suporte para este serviço.

Autenticação

O serviço de autenticação verifica a identidade de um usuário ou sistema que solicita autorização para acesso a uma informação.

A assinatura digital é um mecanismo criptográfico geralmente utilizado para suportar este serviço, pois já foi validado a identificação do antes da emissão do certificado digital, seja feito por uma Autoridade Certificadora confiável ICP-Brasil ou outra que a organização confie, tal como, Autoridade Certificadora Interna.

Nas Autoridades Certificadoras ICP-Brasil, é no processo de emissão do certificado digital que a pessoa necessita comparecer a uma validação presencial, com documentos originais que comprovem a identidade do requerente.

Irretratabilidade

O serviço de irretratabilidade fornece os meios para garantir que quem criou uma informação não possa negar a autenticidade dela.

Neste sentido, está ligada à assinatura digital, na qual o proprietário da chave privada não pode negar que a realizou para um determinado fim.

Assim, terminamos a descrição dos serviços criptográficos. Na próxima parte, apresentaremos os principais fatores a serem considerados no gerenciamento de chaves criptográficas.

Autorização

Adicionalmente, ap√≥s a¬†autentica√ß√£o, √©¬†poss√≠vel utilizar a informa√ß√Ķes do usu√°rio autenticado no sistema para definir a autoriza√ß√£o as informa√ß√Ķes. O servi√ßo de autoriza√ß√£o fornece a aprova√ß√£o ou permiss√£o para a execu√ß√£o de uma atividade.

Como exemplo, o servi√ßo de autoriza√ß√£o pode ser empregado para definir as permiss√Ķes de uso de uma chave criptogr√°fica que, consequentemente, permitiria o acesso a uma determinada informa√ß√£o.

3. Gerenciamento de chaves criptogr√°ficas

As chaves criptogr√°ficas s√£o o fundamento da criptografia e nestas reside a seguran√ßa dos dados cifrados. Brechas podem levar ao comprometimento das chaves e, consequentemente, ao vazamento de informa√ß√Ķes sigilosas.

O aumento no uso da criptografia para prote√ß√£o de dados, principalmente devido √†¬†regulamenta√ß√£o do governo, faz com que as empresas tenham que lidar com m√ļltiplas solu√ß√Ķes para cifra.

Por conta da diversidade de fornecedores, as organiza√ß√Ķes tamb√©m precisam definir v√°rios procedimentos para gerenciar as chaves criptogr√°ficas, sendo que nem sempre eles s√£o adequados.

O gerenciamento de chaves criptográficas consiste em armazenar, proteger, organizar, garantir o uso adequado delas, gerir seu ciclo de vida e manter cópias de segurança de forma segura e consistente.

No gerenciamento de chaves, devemos levar em consideração alguns pontos que descreveremos a seguir:

Armazenamento seguro das chaves

As chaves devem ser armazenadas de forma segura, ou seja, cifradas e com controle de acesso.

A criptografia deve preferencialmente ser realizada por meio de chaves (KEK) protegidas em um hardware criptogr√°fico.

Identificação das chaves

Deve ser possível identificar uma chave, seu tipo, a sua finalidade, quem está autorizado a utiliza-la e o período de uso.

Autenticação de usuário e autorização de uso

O uso das chaves criptográficas deve ser permitido apenas após a identificação do usuário.

Assim, para o gerenciamento adequado das chaves, o sistema deve fornecer mecanismos de autenticação e autorização ou permitir a integração com sistemas já existentes, como o Active Directory da Microsoft.

Ciclo de vida das chaves criptogr√°ficas

O ciclo de vida das chaves criptogr√°ficas deve ser controlado para que elas sejam utilizadas de forma adequada durante o per√≠odo de validade ‚ÄĒ¬†ou seja, somente pessoas ou sistemas autorizados podem utiliza-las¬†durante um tempo pr√©-definido e com mecanismos seguros para que n√£o haja comprometimento.

Assim, descreveremos o ciclo de vida das chaves, segundo recomendação NIST.

O ciclo de vida de uma chave inicia com a geração e finaliza com a destruição, passando por um ou mais dos estados descritos a seguir:

  • gera√ß√£o: momento de cria√ß√£o¬†da chave, que ainda n√£o est√°¬†pronta para uso;
  • pr√©-ativa√ß√£o: a chave foi gerada, mas ainda n√£o est√°¬†pronta para uso, porque aguarda o per√≠odo de utiliza√ß√£o ou a emiss√£o de um certificado;
  • ativada: a chave est√°¬†dispon√≠vel para uso;
  • suspensa:¬†o¬†uso da chave est√°¬†suspenso temporariamente. Neste estado,¬†ela n√£o pode mais realizar opera√ß√Ķes de cifra ou assinatura, mas pode ser utilizada para recupera√ß√£o de dados ou verifica√ß√£o de assinaturas realizadas anteriormente.
  • inativada:¬†a¬†chave n√£o pode ser mais utilizada para cifra ou assinatura digital, sendo mantida para o processamento de dados cifrados ou assinados antes da inativa√ß√£o.
  • comprometida:¬†indica que a chave tem a sua seguran√ßa afetada¬†e n√£o pode mais ser usada em opera√ß√Ķes criptogr√°ficas. Em alguns casos, como nas chaves sim√©tricas, pode ser utilizada para recuperar os dados cifrados para posterior cifra com outra chave.
  • destru√≠da:¬†este estado indica que uma chave n√£o √© mais necess√°ria. A destrui√ß√£o da chave √© o est√°gio final e¬†pode ser atingido devido ao fim do ciclo de¬†uso dela ou do comprometimento de sua seguran√ßa.

Cópias de segurança das chaves criptográficas

A função principal das cópias de segurança é garantir a recuperação das chaves e, consequentemente, dos dados cifrados em caso de perda ou devido a falhas.

Assim como as chaves, que devem ser armazenadas de forma segura durante o uso, as cópias de segurança também precisam ser protegidas. Elas podem ser guardadas em arquivos cifrados ou hardwares criptográficos próprios para esta finalidade, que devem ficar em locais seguros.

Terminamos aqui nosso artigo sobre criptografia de dados e gerenciamento de chaves criptogr√°ficas.

Se você deseja saber mais sobre o assunto, leia também:

  1. O que é uma requisição de certificado digital e como é feita?
  2. Criptografia nativa é a melhor forma de proteger dados?
  3. 6 problemas gerados por gerenciamento do ciclo de vida dos certificados digitais
Leia mais
Criptografia para registros financeiros e dados de pagamento

Atualmente, enormes quantidades de dados eletr√īnicos pessoais e financeiros, al√©m de fluxos de moeda digital em ecossistemas de pagamentos, fazem parte de nossas rotinas, √† medida que bilh√Ķes de transa√ß√Ķes s√£o processadas.

Por essa raz√£o, a criptografia se tornou algo t√£o vital para as nossas movimenta√ß√Ķes financeiras e informa√ß√Ķes pessoais.

Sistema de pagamento online seguro requer criptografia de ponta a ponta

Como voc√™ deve saber, o ecossistema de pagamentos online √© o principal alvo dos cibercriminosos. A criptografia √© necess√°ria justamente para manter a integridade das transa√ß√Ķes interbanc√°rias, em lojas virtuais ou outras plataformas de venda de produtos e servi√ßos pela internet.

Talvez o que voc√™ ainda n√£o saiba √© o impacto do roubo de dados pessoais. O acesso a informa√ß√Ķes confidenciais de forma ilegal movimenta bilh√Ķes de d√≥lares todos os anos.

Por padr√£o, a infraestrutura de pagamentos √© um alvo muito visado por hackers. Por√©m, esse cen√°rio se altera pela inclus√£o dos ataques virtuais √†s redes sociais ou por meio de outros sites que tenham grandes quantidades de usu√°rios e armazenem informa√ß√Ķes pessoais.

Normalmente, quando um consumidor informa os dados do seu cartão de crédito ou débito para fazer uma compra, eles ficam abertos quando deixam o terminal do comerciante e não são protegidos até serem criptografados em um gateway na plataforma de processamento.

Esse √© um modelo de seguran√ßa que coloca os dados do portador do cart√£o em risco, caso caia nas m√£os de cibercriminosos, que usam m√©todos como malwares de rede. Ele tamb√©m coloca todo o ecossistema de pagamentos em risco.

No caso de uma viola√ß√£o de dados bem-sucedida, os comerciantes enfrentam repercuss√Ķes financeiras e de reputa√ß√£o junto aos consumidores e ao pr√≥prio mercado.

Desta forma, a criptografia sobre registros financeiros e dados é um dos principais recursos para garantir um sistema online seguro, principalmente quando implementada de ponta a ponta em um processo de pagamento ou no tráfego de dados pessoais ou confidenciais.

Recentemente houve um vazamento de dados enorme, no qual foi reportado que dados de aproximadamente 800 milh√Ķes de conta de e-mail foram roubados e se voc√™ quiser verificar se dados do seu e-mail tamb√©m foram roubados, verifique em: https://haveibeenpwned.com

Segurança pode ser aprimorada, mas precisa ser prioridade

Embora as solu√ß√Ķes tecnol√≥gicas sejam fundamentais para proteger o sistema de pagamentos, a colabora√ß√£o da ind√ļstria tamb√©m √© um componente integral na luta coletiva contra o cibercrime.

As organiza√ß√Ķes precisam priorizar a seguran√ßa por v√°rios motivos:

  • a facilidade de compra e uso de servi√ßos na internet gerou um grande tr√°fego de transa√ß√Ķes, composto, principalmente, por dados pessoais e de pagamento;

  • ainda falta criptografia de dados quando informa√ß√Ķes importantes s√£o armazenadas na nuvem;

  • o aumento consider√°vel de aplicativos mobile desenvolvidos e implantados na nuvem criou oportunidades de neg√≥cios, mas muitas organiza√ß√Ķes ainda aprendem sobre a necessidade de proteger dispositivos contra vulnerabilidades de seguran√ßa;

  • muitas organiza√ß√Ķes ainda estabelecem parcerias com provedores de servi√ßos sem investirem em pol√≠ticas e processos de seguran√ßa com o objetivo de proteger os usu√°rios e seus dados pessoais e de pagamento.

O resultado deste cen√°rio √© um grande aumento de incidentes de seguran√ßa e roubo de dados, resultando em implica√ß√Ķes financeiras, regulat√≥rias, legais, operacionais e de comprometimento de marca.

Solução está disponível para todos

Apesar do risco de ataques virtuais e roubo de dados, a solu√ß√£o est√° dispon√≠vel.

As empresas precisam se tornar proativas na redu√ß√£o de amea√ßas de seguran√ßa na medida em que aceleram sua jornada para a transforma√ß√£o digital, adotando plataformas flex√≠veis, escal√°veis e din√Ęmicas no gerenciamento de produtos e servi√ßos dispon√≠veis na internet.

Os tomadores de decis√£o ‚ÄĒ n√£o apenas os profissionais de TI, mas especialmente os executivos ‚ÄĒ tamb√©m precisam entender e se comprometer com a responsabilidade compartilhada em rela√ß√£o √† seguran√ßa da informa√ß√£o.

Criptografia de registros financeiros podem ajudar na segurança dos processos de pagamento

A tokeniza√ß√£o e a criptografia de dados para pagamento s√£o exemplos de tecnologias de seguran√ßa que s√£o fortes e desempenham pap√©is importantes na limita√ß√£o dos atuais ataques virtuais e roubos de informa√ß√Ķes que acontecem no mercado digital.

A tecnologia de tokeniza√ß√£o, por exemplo, substitui informa√ß√Ķes confidenciais ‚ÄĒ como um n√ļmero de cart√£o de cr√©dito ‚ÄĒ por um valor ou “token” sem sentido que pode ser armazenado em um banco de dados. Ele geralmente tem o mesmo formato, de forma que permane√ßa compat√≠vel com os sistemas atuais de processamento de cart√Ķes.

A criptografia vai al√©m, mantendo todas as informa√ß√Ķes fora dos sistemas comerciais e criptografando totalmente a cadeia de transa√ß√Ķes do terminal para o banco. Assim, quando um cliente informa seus dados de pagamento ou um colaborador passa um cart√£o de cr√©dito em um terminal, eles s√£o criptografados e s√≥ podem ser abertos com o uso de uma chave.

A tokeniza√ß√£o e a criptografia de dados s√£o ferramentas valiosas na prote√ß√£o de dados sens√≠veis de transa√ß√Ķes com cart√Ķes. Tratam-se solu√ß√Ķes que, quando implementadas de forma eficiente, podem fornecer o maior n√≠vel de confidencialidade nas transa√ß√Ķes financeiras e no envio de informa√ß√Ķes pessoais.

Para saber mais sobre criptografia e proteção de dados, siga a nossa página no LinkedIn e continue nos acompanhando aqui no blog.

Leia mais
O que fazer em caso de violação de dados?

As informa√ß√Ķes mais comprometidas em uma viola√ß√£o de dados s√£o as pessoais, como n√ļmeros de cart√£o de cr√©dito, CPFs e hist√≥ricos de assist√™ncia m√©dica, e as corporativas, como listas de clientes, processos de fabrica√ß√£o e c√≥digo-fonte de softwares.

O acesso n√£o autorizado a essas informa√ß√Ķes caracteriza uma clara viola√ß√£o de dados, resultando em roubo de identidade ou viola√ß√£o de requisitos de conformidade frente ao governo ou a setores regulat√≥rios. Incidentes como esse levam as empresas a sofrerem multas e outros lit√≠gios civis, al√©m, √© claro, de perdas de dinheiro e de credibilidade.

O problema √© que qualquer empresa pode sofrer ataques virtuais atualmente. Por mais que a√ß√Ķes preventivas sejam tomadas, a grande quest√£o levantada ‚ÄĒ e que deve ser uma prioridade para organiza√ß√Ķes de diferentes tamanhos e setores ‚ÄĒ √©: o que fazer em caso de viola√ß√£o de dados?

Recentemente houve um vazamento de dados enorme, no qual foi reportado que dados de aproximadamente 800 milh√Ķes de conta de e-mail foram roubados e se voc√™ quiser verificar se dados do seu e-mail tamb√©m foram roubados, verifique em: https://haveibeenpwned.com.

Principais causas de violação de dados

Uma ideia comum √© que a viola√ß√£o de dados se caracteriza como um invasor atacando um site corporativo e roubando informa√ß√Ķes confidenciais. No entanto, nem tudo acontece dessa forma.

Para voc√™ ter uma ideia, basta um funcion√°rio n√£o autorizado visualizar as informa√ß√Ķes pessoais de um cliente na tela do computador um autorizado para constituir uma viola√ß√£o de dados.

O roubo ou a violação de dados acontece por diferentes motivos:

  • senhas fracas;
  • corre√ß√Ķes de software que s√£o exploradas;
  • computadores e dispositivos m√≥veis roubados ou perdidos.
  • usu√°rios se conectam a redes sem fio n√£o autorizadas;
  • engenharia social, especialmente ataques realizados por e-mail phishing;
  • infec√ß√Ķes por malware.

Os criminosos podem usar as credenciais obtidas por meio de seus ataques para entrar em sistemas e registros confidenciais ‚ÄĒ acesso que, muitas vezes, n√£o √© detectado por meses, se n√£o indefinidamente.

Al√©m disso, invasores podem segmentar seus ataques por meio de parceiros de neg√≥cios para obter acesso a grandes organiza√ß√Ķes. Tais incidentes geralmente envolvem hackers comprometendo empresas menos seguras para obter acesso ao alvo principal.

A prevenção ainda é o melhor remédio

Garantir um ambiente completamente seguro é um grande desafio.

Atualmente, temos diversos recursos e tecnologias que conseguem minimizar consideravelmente o risco de ataques. Por√©m, esse √© um ambiente muito din√Ęmico em diferentes aspectos que possibilitam os ataques virtuais. Por essa raz√£o, a preven√ß√£o √© o melhor caminho.

Os meios mais razo√°veis ‚Äč‚Äčpara impedir viola√ß√Ķes de dados envolvem pr√°ticas de seguran√ßa e bom senso. Isso inclui no√ß√Ķes b√°sicas de seguran√ßa bem conhecidas:

  • realizar testes cont√≠nuos de vulnerabilidade e penetra√ß√£o;
  • aplicar prote√ß√£o contra malwares;
  • usar senhas fortes;
  • aplicar os patches de software necess√°rios em todos os sistemas;
  • usar criptografia em dados confidenciais.

Medidas adicionais para prevenir as viola√ß√Ķes e minimizar o impacto incluem pol√≠ticas de seguran√ßa bem escritas para os funcion√°rios e treinamentos cont√≠nuos para promov√™-las.

Al√©m disso, as organiza√ß√Ķes devem ter um plano de resposta a incidentes que possa ser implementado no caso de uma invas√£o ou viola√ß√£o. Ele deve incluir um processo formal para identificar, conter e quantificar um incidente de seguran√ßa.

Como lidar com as consequências

Considerando que uma violação de dados pode acontecer em qualquer empresa e a qualquer momento, um plano de ação é a melhor tática.

O problema mais básico é que as pessoas ainda não consideram os ataques cibernéticos como inevitáveis, porque acreditam que suas defesas são boas o suficiente ou não acham que serão alvos.

Outro problema √© que as organiza√ß√Ķes n√£o entendem o verdadeiro valor dos planos eficazes de resposta a incidentes. Isso significa que elas podem levar semanas para entender o que aconteceu.

As etapas recomendadas durante uma violação de dados são:

  • identifica√ß√£o do que acontece;
  • reuni√£o de todos os setores relacionados;
  • colocar as coisas sob controle;
  • redu√ß√£o dos efeitos colaterais;
  • gest√£o da comunica√ß√£o externa;
  • recupera√ß√£o das opera√ß√Ķes de neg√≥cios;
  • identifica√ß√£o das li√ß√Ķes aprendidas;
  • melhoria dos processos.

A prioridade √© interromper a viola√ß√£o de dados confidenciais, garantindo que todos os recursos necess√°rios estejam dispon√≠veis para impedir qualquer perda adicional de informa√ß√Ķes.

Identificação

Entenda o que aconteceu ‚ÄĒ como os invasores entraram ou como os dados foram divulgados ‚ÄĒ e certifique-se de que n√£o h√° vazamento.

Saber qual √© a sua situa√ß√£o, definir a postura a ser adotada e ser capaz de tomar as a√ß√Ķes necess√°rias a partir dessa posi√ß√£o s√£o os primeiros passos a serem dados.

Contenção

Os atacantes vieram de fora? Garantir que nada mais saia da empresa tamb√©m deve ser um dos est√°gios iniciais da resposta aos incidentes. As pr√≥ximas a√ß√Ķes ser√£o executadas a partir desse ponto.

Erradicação

Lide com o problema, focando na remoção e na restauração dos sistemas afetados.

Assegure que sejam tomadas medidas para remover material malicioso e outros conte√ļdos il√≠citos, fazendo, por exemplo, uma recria√ß√£o completa do disco r√≠gido e verificando os sistemas e arquivos afetados com o software antimalware.

Comunicação

O próximo passo é alinhar os discursos quando se trata da comunicação externa.

A pol√≠tica de TI deve incluir cuidados relacionados √†s redes sociais e aos demais canais de comunica√ß√£o da organiza√ß√£o. Toda informa√ß√£o relacionada ao problema deve sair por um lugar s√≥, sempre alinhada com as a√ß√Ķes realizadas pela empresa.

√Č muito comum, atualmente, incluir o setor jur√≠dico da organiza√ß√£o nas quest√Ķes de comunica√ß√£o e no tratamento das situa√ß√Ķes junto aos clientes e √≥rg√£os oficiais.

No site da saferweb, que √© um associa√ß√£o civil com foco na promo√ß√£o e defesa dos Direitos Humanos na Internet no Brasil, voc√™ pode encontrar uma rela√ß√£o de delegacias de crimes virtuais para fazer a den√ļncia.

Além dos órgãos oficiais, lembre-se de avisar quem foi afetado pelo vazamento, sejam colaboradores, fornecedores ou mesmo clientes.

Não se esqueça que a lei geral de proteção de dados LGPD também trata desse assunto.

Li√ß√Ķes aprendidas

Se a sua empresa conseguiu resolver o problema de violação de dados e se recuperar rapidamente, então ela está no caminho certo para restaurar os negócios e minimizar os impactos.

Por√©m, em alguns casos, o problema chega at√© a imprensa e toma uma propor√ß√£o maior, afetando a reputa√ß√£o e os neg√≥cios da empresa. Siga as nossas dicas e os exemplos de outras organiza√ß√Ķes que j√° enfrentaram situa√ß√Ķes semelhantes, entendendo o que deu errado e certificando-se de que voc√™ tem as melhores t√°ticas para evitar uma recorr√™ncia.

Outra dica importante é assinar nossa newsletter e ficar por dentro das novidades!

Leia mais
Por que o gerenciamento de chaves parece ser tão difícil?

A prote√ß√£o de dados leva as empresas a implementarem v√°rias solu√ß√Ķes de criptografia. Nesse sentido, um aspecto que n√£o pode ser negligenciado √© a necessidade de um gerenciamento de chaves adequado.

Descuidos acontecem principalmente por conta do uso generalizado da criptografia em virtude dos requisitos de governan√ßa e conformidade. Isso mostra que avan√ßamos quanto √† preocupa√ß√£o com a prote√ß√£o de dados, mas exp√Ķe o grande desafio que √© o gerenciamento de chaves.

Afinal √© comum gerenciar chaves em planilhas excel, o que pode trazer um grande risco para as organiza√ß√Ķes, pois na perda do controle, ou mesmo na perda de chaves criptogr√°ficas podem fazer a empresa perder seus dados.

Principais desafios do gerenciamento de chaves

O gerenciamento √© vital para o uso efetivo da criptografia. A perda ou a corrup√ß√£o das chaves pode levar √† perda de acesso a sistemas e torn√°-los completamente inutiliz√°veis.

O gerenciamento de chaves é um desafio que aumenta de acordo com o tamanho e a complexidade do seu ambiente. Quanto maior for a sua base de usuários, mais difícil será fazer uma gestão eficiente.

Alguns dos maiores desafios envolvem:

Treinamento e aceitação dos usuários

Os usuários não gostam de mudanças. Embora não seja realmente parte do processo de gerenciamento de chaves, a aceitação deles pode ser um grande impedimento para o sucesso de um projeto.

Portanto, √© preciso mapear o impacto da ado√ß√£o e do uso da criptografia em seu ciclo produtivo e as dificuldades na recupera√ß√£o ou redefini√ß√£o das chaves ou senhas.

Ou√ßa o feedback dos usu√°rios e desenvolva um treinamento apropriado para abordar as preocupa√ß√Ķes ou dificuldades espec√≠ficas deles. Desenvolva benchmarks de sistema para verificar o desempenho antes e depois de o produto ser implementado.

Em outras palavras, gerencie as expectativas dos usu√°rios.

Administração do sistema, manutenção e recuperação de chaves

Esses problemas podem ter um grande impacto sobre a organiza√ß√£o e devem ser endere√ßados ao fornecedor antes de sua compra. Em uma escala empresarial, o gerenciamento manual de chaves simplesmente n√£o √© vi√°vel.

Idealmente, o gerenciamento deve se integrar à infraestrutura existente, ao mesmo tempo em que fornece administração fácil, entrega e recuperação de chaves seguras.

A recupera√ß√£o √© um processo fundamental, principalmente em situa√ß√Ķes como a de um colaborador que deixa a organiza√ß√£o sem uma devolu√ß√£o adequada ou quando uma chave √© danificada e n√£o pode mais ser usada. Tamb√©m deve ser um processo simples, por√©m muito seguro.

No gerenciamento, o procedimento de gera√ß√£o deve ser restrito a uma pessoa. Na pr√°tica, temos, por exemplo, o processo de um produto que permite que uma chave de recupera√ß√£o seja dividida em v√°rias partes.

A partir da√≠ as partes individuais da chave de recupera√ß√£o podem ser distribu√≠das para diferentes agentes de seguran√ßa. Os propriet√°rios devem estar presentes quando ela √© usada. Esse processo √© simples, mas seguro, porque requer que v√°rias partes recriem a chave.

Al√©m disso, as senhas esquecidas podem criar um impacto adicional junto √† equipe de suporte. Assim, o processo n√£o deve ser apenas simples, mas tamb√©m flex√≠vel. Colaboradores remotos e fora da rede precisam ser considerados, bem como os internos. Neste caso, a recupera√ß√£o de chave remota √© um recurso indispens√°vel.

Melhores pr√°ticas

Ao lidar com problemas no gerenciamento de chaves, a quem as organiza√ß√Ķes podem procurar para obter ajuda?

As especificidades do gerenciamento de chaves s√£o amplamente tratadas pelos softwares criptogr√°ficos, em que os padr√Ķes e as melhores pr√°ticas est√£o bem estabelecidos.

Al√©m disso, a exemplo do Instituto Nacional de Padr√Ķes e Tecnologia (NIST) e do Infraestrutura de Chaves P√ļblicas Brasileira (ICP-Brasil), s√£o desenvolvidos padr√Ķes para ag√™ncias governamentais que podem ser aplicados em qualquer comunidade empresarial. Geralmente, esse √© um bom ponto de partida ao discutir produtos de criptografia com seus fornecedores.

Enquanto isso, aqui estão algumas práticas recomendadas do setor para você começar:

  • a usabilidade e a escalabilidade do gerenciamento de chaves corporativas devem ser o foco principal na an√°lise de produtos. A capacidade de alavancar os ativos existentes deve desempenhar um papel importante na tomada de decis√Ķes. A integra√ß√£o com um ambiente para autentica√ß√£o reduzir√° os custos e eliminar√° a necessidade de sistemas redundantes;

  • a autentica√ß√£o de dois fatores √© uma medida de seguran√ßa necess√°ria para organiza√ß√Ķes financeiras. Devido ao maior poder de processamento e √†s capacidades dos computadores atuais, a for√ßa das senhas sozinha n√£o √© mais suficiente.

Gerenciamento significa proteger as chaves de criptografia contra perda, corrupção e acesso não autorizado. Por isso, ao final dos procedimentos e das técnicas aplicadas ao processo de gestão, é preciso garantir:

  • que as chaves s√£o mantidas com seguran√ßa;

  • que elas passam por procedimentos de mudan√ßas regularmente;

  • que o gerenciamento inclui para quem as chaves s√£o atribu√≠das.

Uma vez que as chaves existentes tenham sido controladas, as pol√≠ticas e os processos de provisionamento, monitoramento, auditoria e encerramento precisam ser rigorosamente aplicados. Por isso, o uso de ferramentas automatizadas pode aliviar muito a carga da responsabilidade.

Por fim, profissionais de seguran√ßa da informa√ß√£o, de infraestrutura, de banco de dados, desenvolvedores e outros profissionais que precisam usar chaves de criptografia devem ser treinados, j√° que a falta de conscientiza√ß√£o sobre os riscos de falhas na prote√ß√£o √© um dos principais fatores para problemas. Se n√£o houver controle sobre o acesso, n√£o haver√° seguran√ßa. 

Para mais informa√ß√Ķes sobre gerenciamento de chaves, assine a nossa newsletter e fique por dentro das novidades!

Leia mais