0
1
0
1
1
0
1
0
6 razões para começar a usar EKM o quanto antes

Antes de descrever as razões para começar a usar EKM (Enterprise Key Management), vale destacar que o objetivo do gerenciamento das chaves criptográficas consiste basicamente na administração de tarefas envolvidas com a proteção, o armazenamento, o backup e a organização de chaves de criptografia.

E para entender o objetivo do nosso artigo, é importante lembrar que além de suas funções ligadas à segurança da informação, outra razão que resultou no aumento do uso de criptografia nas empresas é atender a requisitos de conformidade regulamentar, a exemplo do padrão de segurança de dados do PCI.

Sendo assim, uma única empresa pode usar várias dezenas de ferramentas de criptografia diferentes e resultando em milhares de chaves criptográficas. Cada chave deve estar armazenada com segurança, protegida e recuperável.

O porquê da solução EKM

Explicar a você de forma clara e objetiva o porquê do desenvolvimento de uma solução para o gerenciamento das chaves criptográficas vai servir de base para justificar as razões para começar a usar EKM o quanto antes. Para isso, basta uma lista das principais características de funcionamento de uma chave criptográfica.

  • As chaves de criptografia utilizam-se de algoritmos para proteger seus dados. Existem dois tipos básicos de algoritmos criptográficos: simétrico (única chave) e assimétrico (um par de chaves).
  • Os algoritmos de chave simétrica usam uma única chave para proteger a comunicação e obter confidencialidade, integridade e autenticação. Uma chave privada é uma variável usada com um algoritmo para criptografar e decriptografar códigos. Enquanto o algoritmo não precisa ser mantido em segredo, o mesmo não se pode dizer da chave utilizada.
  • Por sua vez, os algoritmos assimétricos fornecem a cada usuário uma chave pública e uma chave privada. Os usuários podem distribuir livremente a chave pública, mantendo a chave privada em segredo. Esses pares de chaves atingem todos os quatro objetivos da criptografia: confidencialidade, integridade, autenticação e não-repúdio.
  • Uma infraestrutura de chave pública suporta a distribuição e a identificação de chaves de criptografia públicas, que permitem que usuários e computadores troquem dados com segurança por redes como a Internet e verifiquem a identidade da outra parte.

Caso você seja um simples usuário que utiliza esse recurso de segurança, essas características são transparentes. Porém, para quem faz a administração das ferramentas e chaves criptográficas em escala empresarial a gestão é um grande desafio.

Basta pensar que o gerenciamento de chaves significa proteger as chaves de criptografia contra perda, corrupção e acesso não autorizado. Muitos processos podem ser usados ​​para controlar o gerenciamento de chaves, incluindo alterar as chaves regularmente e gerenciar como as chaves são atribuídas e quem as recebe.

Além disso, as organizações devem avaliar se uma chave deve ser usada para todos os tipos de backup ou se cada tipo deve ter sua própria chave. E por fim, vale destacar que, quando chaves são perdidas ou corrompidas, isso pode levar à perda de acesso a sistemas e dados, bem como tornar um sistema completamente inútil.

Por essa razão vale investir em uma solução EKM, ou seja, uma ferramenta de gerenciamento das chaves criptográficas. As razões para começar a usar EKM são simples: fazer isso sem uso de ferramentas de software e com um número ilimitado de chaves de criptografia é praticamente impossível e totalmente improdutivo.

6 razões para começar a usar EKM

Diante dessa complexidade, o emprego de uma solução de EKM se torna essencial para armazenar, fazer backup de chaves de criptografia. Finalmente, vale apresentar algumas razões para começar a usar EKM.

  1. Proteger dados sensíveis contra o acesso indevido;
  2. Minimizar impactos em caso de vazamento de dados;
  3. Aplicar a criptografia sem uma solução para gerenciar as chaves pode aumentar os riscos de perda das chaves;
  4. Evitar falhas humanas sobre a guarda das chaves;
  5. Gerenciar, armazenar, distribuir chaves criptográficas através da ferramenta;
  6. Diminuir custos operacionais.

E como foi dito anteriormente, o emprego de uma solução de gerenciamento de chaves criptográficas auxilia processos vinculados a conformidade em diversos setores, a exemplo do mercado financeiro e saúde, duas áreas com forte regulamentação e que dependem do uso de criptografia para manter seus dados seguros.

Por fim, o uso de uma solução EKM permite implantar boas práticas para apoiar profissionais de segurança na estratégia de gerenciamento de chaves de criptografia.

Em grandes empresas, os principais processos de gerenciamento devem ser capazes de serem distribuídos em várias funções de negócios com os mesmos padrões, regras e níveis de qualidade. Desta forma, recursos como uma solução EKM cada vez mais apoiam empresas e gestores de TI nos processos definidos para garantir a proteção de dados.

Mantenha-se atualizado sempre, assine nossa newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin.

Leia mais
10 cuidados que você e sua empresa devem ter ao escolher uma solução de assinatura digital

O mundo tradicional baseado em papel está sendo deixado de lado através dos processos digitais e solução de assinatura digital em muitos setores importantes, incluindo o setor financeiro, imobiliário, saúde, contabilidade, construção, entre outros.

Para isso, uma ampla variedade de soluções de assinatura digital passou a ser oferecida no mercado, visando evitar falsificações e adulterações. A assinatura digital fornece integridade de dados para provar que o documento não foi modificado e a autenticação necessária para identificar quem o assinou.

No entanto, escolher a solução de assinatura eletrônica certa para o seu negócio pode ser um grande desafio. Pensando nisso, fizemos uma lista com 10 recomendações que você deve considerar em sua decisão.

10 recomendações ao escolher solução de assinatura digital

  1. Usabilidade é o primeiro passo

Uma das principais coisas a considerar ao escolher uma solução de assinatura eletrônica é a facilidade de uso. Escolha um software que seja simples e intuitivo: um que seja projetado para oferecer uma experiência positiva para o cliente cada vez que for utilizado.

  1. Verifique se a solução tem validade jurídica

Para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, bem como a realização de transações eletrônicas seguras, é necessário utilizar uma assinatura digital com seu respectivo certificado digital, proveniente sempre de uma fonte autorizada e confiável.

Por essa razão, na escolha da solução de assinatura digital é preciso verificar o suporte da ferramenta aos fatores técnicos que possam garantir a validade jurídica da assinatura digital. É preciso garantir características fundamentais de validade jurídica, não repúdio de autoria e integridade do conteúdo

  1. A validade jurídica garantida pelo ITI

Complementando a recomendação anterior, além da preocupação com a validade jurídica é preciso ficar atento se a solução de assinatura digital tem a chancela do ITI, o Instituto Nacional de Tecnologia da Informação.

O ITI é uma autarquia federal, ligada à Casa Civil da Presidência da República, que tem por missão principal manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. Ao ITI compete a responsabilidade de ser a primeira autoridade da cadeia de certificação digital.

  1. Experiência da empresa no desenvolvimento de projetos de certificação digital

Outro fator importante na escolha da solução de assinatura digital tem relação com o fornecedor. É preciso verificar sua experiência em projetos de certificação digital de forma a garantir que a solução além de ter a validade jurídica, ela também se adapte às necessidades da empresa. Lembrando que a assinatura digital é utilizada em diferentes segmentos do mercado e aplicada a variados processos de uso.

  1. Verificar a possibilidade de integração entre a solução e o seu sistema

Como foi dito na recomendação anterior, assinatura e certificados digitais já foram incorporados a diferentes processos em empresas de diferentes segmentos. Isso quer dizer que a solução de assinatura digital deve ser flexível suficiente para ser integrada aos sistemas internos, auxiliando no ciclo produtivo das empresas.

  1. Comparar o volume de assinaturas da sua empresa com a capacidade da solução

Ter em mente as necessidades da empresa faz com que se tenha os requisitos a serem atendidos pela solução de assinatura digital. E um dos pontos fundamentais é a capacidade de assinaturas suportada pelo software e o volume a ser usado pela empresa. Essa compatibilidade se torna fundamental na otimização dos investimentos a serem feitos pelas empresas na escolha da ferramenta.

  1. Analisar quais atualizações ou adaptações serão necessárias para receber a solução na empresa

Voltando a falar sobre capacidade de adaptação entre solução de assinatura digital e sistemas internos, vale analisar quais são os impactos na integração das soluções e suas futuras atualizações. Mudanças de requisitos ou correções de bugs costumam impactar diretamente a integração de softwares de diferentes fornecedores, comprometendo a execução de importantes atividades nas empresas.

  1. Aceitação de clientes

Apesar de aparentemente ser um requisito ou uma demanda entre sua empresa e seus clientes, a solução de assinatura digital precisa se adaptar a situações em que uma das partes não aceitem documentos assinados digitalmente. A ideia é fazer o tratamento de exceções de forma amigável aos usuários. Esse tratamento pode ser incorporado a um processo interno da empresa.

  1. Pesquisar quais outros clientes a empresa fornecedora atende

Mais uma vez a experiência é levada em consideração nessa recomendação. A reputação no mercado se torna um requisito a ser verificado pelo comprador da solução de assinatura digital. Verifique se existem reclamações e a forma como elas são tratadas. Aproveite a experiência de outros clientes para fazer a sua escolha.

  1. Analise o pós-vendas e suporte do fornecedor da solução

A última recomendação é muitas vezes ignorada por grande parte das empresas e isso causa uma grande dor de cabeça aos gestores.

Não basta atender a todos as recomendações descritas anteriormente se no momento mais crítico o fornecedor da solução de assinatura digital deixa sua empresa na ‘mão’. O suporte e pós-venda são fundamentais no tratamento de problemas e dúvidas dos usuários da solução.

O que achou de nossas dicas? Elas são a base que você precisa para fazer a escolha da melhor solução de assinatura digital para sua empresa. Lembre-se sempre que você está fazendo o investimento em um software para melhorar seu processo produtivo, sua escolha precisa ser estratégica e sempre ampliando a produtividade dos funcionários e trazendo resultados positivos para a organização.

Você ainda ficou com dúvidas sobre como fazer a melhor escolha da solução de assinatura eletrônica ou de assinatura digital? entre em contato com E-VAL, temos um time de especialistas para ajudá-lo.

Outra dica importante é assinar nossa newsletter e ficar por dentro das novidades e tecnologias da E-VAL. Aqui em nosso blog estamos sempre publicando dicas e novidades sobre segurança e mercado financeiro

Leia mais
A verdade que ninguém nunca contou a você sobre redução de custos de armazenamento

Antes mesmo de alcançar o objetivo da redução de custos de armazenamento, as empresas têm percebido a necessidade de criar uma estratégia completa para o gerenciamento de documentos corporativos. Não basta querer eliminar o papel, é preciso organizar a casa para alcançar os benefícios.

Desta forma, surge a necessidade nas empresas de desenvolverem uma gestão de informações empresariais que consiste em um conjunto de processos de negócios e práticas usadas para gerenciar documentos criados a partir dos dados de uma organização.

Para ajudar nisso, a tecnologia de informação tem facilitado o manuseio seguro e controlado de documentos e entender como tudo isso funciona será o objetivo da leitura de nosso artigo, vamos lá?

A importância do gerenciamento de documentos corporativos

A importância do gerenciamento de documentos corporativos tem crescido nos últimos anos e isso tem acontecido à medida que requisitos de conformidade aumentam. Além disso, a necessidade de sistemas e estratégias aprimorados de gerenciamento de documentos se tornaram um aspecto cada vez mais crítico das operações das empresas.

O aspecto da redução de custos de armazenamento não tem sido colocado de lado em virtude das exigências, mas as empresas aprenderam que esse importante benefício tem se tornado uma consequência a partir da melhoria dos processos de negócios da organização.

Um sistema de gerenciamento de documentos corporativos permite que uma empresa e seus usuários criem um documento ou capturem uma cópia impressa em formato eletrônico. Com isso, as organizações passaram a ter a capacidade de:

  • Criar;
  • Armazenar;
  • Editar;
  • Imprimir;
  • Processar;
  • Gerenciar documentos em imagem, vídeo e áudio, bem como em formato de texto.

A relação com a redução de custos de armazenamento começa a surgir quando as empresas passam a ter uma estrutura tecnológica que pode incluir:

  • Scanners para captura de documentos;
  • Impressoras para criação cópia impressa;
  • Dispositivos de armazenamento;
  • Programas e servidores de computador para gerenciar os bancos de dados que contêm os documentos.

Com isso, a administração do conteúdo digital em todo o seu ciclo de vida, da criação ao armazenamento permanente ou exclusão passa a ter um gerenciamento que possa simplificar o acesso, eliminar gargalos, otimizar a segurança, manter a integridade, minimizar a sobrecarga e, por consequência, reduzir custos de armazenamento.

O gerenciamento de documentos no contexto da conformidade

No contexto da conformidade regulatória, o gerenciamento de documentos corporativos deve abordar as seguintes etapas dentro de um ciclo de desenvolvimento:

  1. Como os documentos são criados, organizados, indexados, protegidos, preservados, autenticados e recuperados no caso de um desastre;
  2. Quanto tempo eles devem ser retidos;
  3. Onde eles devem ser armazenados;
  4. Como as mudanças podem ser rastreadas.

Em geral, para os sistemas de gerenciamento de documentos corporativos é criado um local central para manter documentos e fornecer ferramentas de fluxo de trabalho para controlar qualquer modificação ou outro trabalho feito neles.

Exemplos de requisitos de conformidade para o gerenciamento de documentos

Os requisitos de gerenciamento de documentos corporativos variam dependendo de quais leis ou regulamentações pertencem a um determinado setor.

Algumas associações estabeleceram padrões de gerenciamento de documentos independentes de regulamentações estaduais ou federais.

Alguns exemplos mais conhecidos sobre conformidade para o gerenciamento de documentos:

Além disso, associações ligadas às corretoras de valores mobiliários e da bolsa de valores exigem que as empresas ligadas aos serviços financeiros devem usar um sistema de armazenamento eletrônico que possa armazenar imagens de registros em papel ou transfira registros eletrônicos para armazenamento eletrônico, que deve ser capaz de preservar, recuperar e reproduzir os registros.

Qual é o papel da TI no gerenciamento de documentos?

A TI está na base do gerenciamento de documentos corporativos, juntamente com o treinamento, processos e procedimentos que sustentam um esforço geral de conformidade.

Como acontece com qualquer abordagem bem-sucedida de conformidade regulatória e também na busca pela redução de custos de armazenamento, os departamentos de TI devem trabalhar com todos os setores do negócio.

Isso quer dizer que existe um trabalho em conjunto com áreas estratégicas, a exemplo da jurídica, financeira, recursos humanos, entre outras. Tudo isso para criar o ambiente de gerenciamento de documentos corporativo mais eficaz e estratégico.

A importância da assinatura digital no processo de gerenciamento de documentos

Como você sabe uma assinatura digital é a técnica usada para validar a autenticidade e integridade de uma mensagem, software ou documento digital. E, portanto, ela faz parte do processo de gerenciamento de documentos.

Nessa fase da gestão de documentos, uma assinatura digital destina-se a resolver o problema de adulteração e representação em comunicações digitais.

Assim, as assinaturas digitais podem fornecer as garantias adicionais de evidência de origem, identidade e status de um documento eletrônico, transação ou mensagem, bem como o reconhecimento do consentimento informado pelo signatário.

Vale destacar que uma assinatura digital pode ser usada com qualquer tipo de mensagem ou documento, seja criptografada ou não, servindo simplesmente para que o destinatário possa ter certeza da identidade do remetente e que a mensagem tenha chegado intacta.

No caso de documentos as assinaturas digitais tornam difícil para o signatário negar ter assinado algo (não-repúdio), assumindo que sua chave privada não tenha sido comprometida, já que a assinatura digital é única para ambos, o documento e o assinante, e os une.

Um certificado digital, um documento eletrônico que contém a assinatura digital da autoridade emissora de certificados, vincula uma chave pública a uma identidade e pode ser usado para verificar se uma chave pública pertence a uma pessoa ou entidade específica.

Enfim a redução de custos de armazenamento

Depois que se coloca a casa em ordem é chegada a hora de colher os resultados. Além de um processo eficiente e uma gestão estratégica de documentos a empresa alcança outros tipos de benefícios.

A redução de custos de armazenamento é percebida a partir do momento que sabe-se exatamente os arquivos que precisam ser armazenados, atualizados, copiados (backup), autenticados via assinatura digital, etc.

Portanto, como foi dito logo no início do artigo, a redução de custos de armazenamento se torna realmente eficiente e estratégica quando vem associada a um processo de gerenciamento de documentos, levando não somente a economia, mas a uma série de outros benefícios.

De que forma sua empresa está fazendo a gestão de documentos e aplicando as boas práticas de segurança, a exemplo da assinatura digital? Ela tem alcançado a redução de custos de armazenamento de forma eficiente?

Por fim, outro ponto importante a ser considerado são os custos de busca pela informação, onde um software pode encontrar rapidamente o documento digitalizado e também não deixa de ser uma garantia que o mesmo será encontrado, já que muitas empresas têm perdas consideráveis por não encontrarem um documento fisicamente armazenado.

Assine nossa Newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e siga nosso perfil do Linkedin

Leia mais
Tudo o que você precisa saber sobre compensação de cheques por imagem

Para quem pensou que o talão de cheques tinha sido aposentado fique sabendo que agora é possível fazer compensação de cheques por imagem em até 1 dia útil. Nos últimos anos com a facilidade e a modernização de recursos como cartão de crédito, débito e suas famosas “maquininhas” o uso de cheques no comércio tem diminuído.

Porém, o montante transacionado ainda é bastante alto em relação aos demais meios de pagamento, suas transações somaram valores superiores a R$ 674 bilhões.

Diante do volume de negócios que ainda acontece com o uso dos cheques, o Banco Central do Brasil, junto com a Federação Brasileira de Bancos (FEBRABAN) investem constantemente em melhorias no uso deste recurso, a exemplo da compensação de cheques por imagem.

É possível que você não saiba ou não lembre o que significa a compensação de um cheque

Para as novas gerações de consumidores, explicar o que significa um cheque ou o que é uma compensação pode ser um desafio. Mas se você for ligado a setores como o varejo é possível que você saiba do que estamos falando.

O cheque consiste em uma ordem de pagamento à vista. Pode ser recebido em dinheiro diretamente na agência em que o emitente mantém conta. Ou pode ser depositado em outra agência, para ser compensado e creditado na conta do beneficiário.

O Banco Central explica em seu site que a compensação de cheques é o acerto de contas entre instituições financeiras, referente aos cheques depositados em estabelecimentos diferentes dos sacados. Portanto, o cheque é mais uma forma de pagamento a ser aceito em nosso sistema financeiro. Acredita-se no fim dele nos próximos anos, mas vamos falar sobre sua evolução recente.

Até pouco tempo, a compensação de cheques era feita diretamente nas agências bancárias e o prazo para que essa ordem de pagamento fosse convertida em saldo em nossa conta corrente acontecia em torno de dois ou três dias, isso se não ocorresse algum tipo de problema quanto a sua autenticidade ou disponibilidade de saldo na conta do emissor para sua compensação, etc.

A modernização dos cheques

Como foi dito anteriormente, devido sua importância para o mercado, o BC brasileiro buscou inovar de forma tecnológica o uso dos cheques e basicamente tiveram duas evoluções em seu processo de compensação.

  1. Compensação de cheque em 1 dia útil

O prazo de bloqueio do valor do cheque não pode ser superior a um dia útil, contado a partir do dia seguinte ao do depósito.

  1. A compensação de cheques acontece por imagem

A regulamentação atual determina que a compensação de cheques seja efetuada unicamente por intermédio de imagem digital e outros registros eletrônicos do cheque.

Quanto a redução do tempo de compensação, basicamente foi uma decisão que permitiu que a quantia representada pelos cheques entrasse em circulação no mercado de forma mais ágil, o que ajuda na economia através da compra de produtos e serviços. Porém, para que isso fosse possível, seria preciso modernizar o processo de compensação. E isso foi feito e regulamentado alguns anos atrás.

O sistema de compensação de cheques por imagem

A implementação da compensação de cheques por imagem diminuiu o tempo do processo, reduziu os gastos com transporte, eliminando as trocas físicas que antes eram feitas. Em vez de enviar os cheques para bancos, agências e referidas praças de origem, a compensação digital por imagem passou a ser encaminhada eletronicamente com documentos assinados através de certificado digital.

O funcionamento da compensação de cheques por imagem basicamente consiste:

  1. O banco que recebe o cheque capta as informações através do código de barras e procede com a digitalização do documento;
  2. Esta digitalização gera um arquivo que, após ser assinado digitalmente com certificados ICP-Brasil, é enviado diretamente para a Câmara de Compensação que o processa e envia o resultado para o banco de origem;
  3. Por sua vez, este lê as informações e responde ao sistema de compensação de cheque modernizada, autorizando o pagamento;
  4. Todo esse processo acontece sem que o cheque tenha de sair do banco onde foi entregue.

A compensação de cheques por imagem nos leva ao conceito da captura de documentos que representa um dos vários processos usados ​​para converter um documento físico em outro formato, geralmente uma representação digital.

A capacidade de capturar documentos e disponibilizar suas informações tornou-se cada vez mais importante por vários motivos, em particular, requisitos de conformidade regulamentar, segurança de informações e ambiente de negócios competitivo.

E não podemos esquecer o ponto fundamental nesse processo de compensação de cheques por imagem que consiste no uso de certificação digital, que valida todo o processo e garante a redução de casos de clonagem e roubo, além de minimizar os gastos com transporte e tratamento de papéis.

Características e benefícios do processo de compensação de cheques por imagem

A solução a ser usada na compensação de cheques por imagem, deve ser aderente aos requisitos de alto desempenho para o processamento de lotes recebidos e remetidos permitindo a integração da assinatura digital com os sistemas de captura centralizado ou nas agências. E por isso, deve apresentar características e benefícios como:

  • Gerenciamento e Monitoração: Gerenciamento de logs de operações e transações e identificação do estado de cada componente e solução;
  • Estabilidade: Utilização nas maiores instituições financeiras do país sendo responsável pelos processos de geração e validação de Assinaturas Digitais;
  • Facilidade de integração;
  • Segurança e Interoperabilidade conforme os padrões de acordo com a ICP- Brasil e o Manual da COMPE;
  • Agilidade com diversos mecanismos de otimização do processamento de Assinaturas Digitais.

São diversas as vantagens na modernização do processo de Compensação de Cheque por Imagem. Para as instituições financeiras, isso significa redução de custos, ganho de qualidade e produtividade. Para os consumidores, a facilidade do processo de compensação e a disponibilidade do dinheiro em tempo reduzido, favorecendo até mesmo a economia do país que passa a ter dinheiro circulante em prazos menores.

Gostou deste conteúdo? Inscreva-se na nossa news e receba novidade sobre tecnologia para instituições financeiras

Leia mais
8 problemas gerados por não ter proteção de dados

Proteger os dados se tornou um pré-requisito obrigatório e estratégico para todas as empresas que pretendem realizar transações através da Internet e isso inclui instituições privadas e públicas desde a esfera municipal até a federal.

É cada vez mais frequente incidentes de segurança envolvendo órgãos do governo. Muitos de nós não sabemos, mas em submundo bem silencioso é travado uma verdadeira guerra cibernética entre os países. E com base neste tema, que vamos falar sobre a importância de proteger os dados.

A proteção de seu país está em constante em risco

Em um estudo recente, publicado pelo Fundo Monetário Internacional (FMI) levantou-se um dado alarmante mostrando que os bancos centrais pelo mundo estão sofrendo constantes ataques e que já resultaram desde o roubo de milhões de dólares até o comprometimento de dados de milhares de clientes e funcionários.

Nos últimos anos, o setor financeiro e o governo tem sido principal alvo desses ataques em virtude da migração de suas operações para o mundo online, onde o risco de invasão e roubo de dados é muito maior.

É preciso uma forte adaptação por parte dessas instituições, uma vez que temos a quebra de um forte paradigma, onde bancos e setores estratégicos do governo deixam de focar suas principais operações, que basicamente aconteciam de forma offline ou de forma restrita em redes privadas, para a Internet, um mundo aberto e bem arriscado.

Na realidade, nos últimos anos todas essas instituições estão passando por uma grande ruptura em seus modelos de negócio e por essa razão proteger os dados se tornou uma prioridade.

Os invasores podem ser hackers recreativos, crackers ou terroristas. Isso pode acontecer para entidades e interesses empresariais, bem como para o setor público e o governo, a exemplo de instituições bancárias, energia, agências estatais, hospitais, empresas, educação e até assuntos sociais.

Todas essas instituições dependem fortemente de sua presença online e por isso passaram a correr riscos. Com a informação fluindo através da Internet em diferentes redes em todo o mundo, há uma necessidade crescente de proteger informações pessoais, fundos e ativos, bem como a segurança nacional.

Está claro que adotar uma estratégia para proteger os dados é necessária. Os cidadãos devem ter confiança no uso de serviços públicos online e, se sentirem que estão sob ameaça em áreas como saúde e assistência social, o uso deles diminuirá.

Em virtude dessa crescente ameaça às organizações do setor público e financeiro devem aderir aos padrões apropriados de segurança cibernética que possam garantir assim a proteção e segurança necessária para o uso do ambiente online para suas operações.

Proteção de dados deve ser uma prioridade

Para o governo, a segurança cibernética não é apenas um desafio, é um grande obstáculo para a tão esperada transformação digital. Além disso, os riscos são altíssimos: a invasão de informações do setor público pode pôr em perigo principalmente a segurança nacional.

Para se ter uma ideia das consequências dos ataques virtuais e do roubo de informações através das instituições financeiras e do governo, vamos listar 8 problemas gerados pelo fato de não se proteger os dados.

  1. Invadir de sistemas vitais com o objetivo de desativá-los;
  2. Causar estragos em toda a infraestrutura digital do país;
  3. Obter acesso a sistemas para roubar dados sensíveis;
  4. Roubar números de documentos (RH, CPF, CNH, outros) ou declarações fiscais;
  5. Fazer transferências financeiras ilegais;
  6. Interromper operações estratégicas do governo;
  7. Manipular dados e códigos para introduzir instruções prejudiciais;
  8. Obter os registros de funcionários e os arquivos de segurança nacional.

O impacto de sofrer ataques virtuais através de instituições financeiras e órgãos do governo vai muito além dos prejuízos financeiros. A exposição das informações de cada cidadão, por exemplo, é um dano irreversível e que por sua extensão se torna impossível de mensurar o tamanho da perda.

Enfrentando o desafio da segurança cibernética

As ameaças estão crescendo em volume, intensidade e sofisticação e os recentes ataques demonstram que novas tentativas de invasão devem acontecer frequentemente.

Surge uma grande dúvida. Como os governos podem reverter a crescente lacuna entre investimento em segurança e eficácia? Tradicionalmente, a segurança cibernética tem se concentrado na prevenção de intrusões, na defesa com uso de firewalls, no monitoramento de portas e afins.

Porém, o cenário de ameaças em evolução exige uma estratégia mais dinâmica para proteger os dados. Uma nova abordagem neste sentido envolve três áreas fundamentais construídas em torno de ser seguro, vigilante e resiliente. Esses três princípios refletem o fato de que os mecanismos de defesa devem evoluir.

As ações do governo não podem confiar apenas na segurança do perímetro, elas também devem desenvolver recursos sólidos para detecção, resposta, reconhecimento, recuperação e proteção de dados.

É preciso manter a confiabilidade

A segurança cibernética tem a ver com a construção de um ambiente seguro com o uso da tecnologia, de modo a garantir a confiança e estabilidade da sociedade.

Consequentemente, a construção da confiabilidade requer atividades e operações que possam garantir:

  • Redução e prevenção de ameaças e vulnerabilidades;
  • Implementação de políticas de proteção;
  • Resposta a incidentes;
  • Recuperação rápida em caso de incidentes;
  • Garantia de dados e informações;
  • Aplicação das leis relacionadas à cibersegurança;
  • Operações de inteligência relacionadas à segurança do espaço cibernético;
  • Entre outras ações.

É preciso ter um plano de resposta a incidentes

As organizações precisam ter a compreensão realmente clara do que fazer no caso de um incidente de segurança. Para isso é preciso ter um plano de resposta a incidentes que seja bem planejado e testado regularmente.

No entanto, vale destacar que as ameaças e ataques que ocorrem atualmente não seguem os padrões normais de detecção e resposta. Os requisitos tradicionais são focados apenas em ameaças comuns.

Para as instituições financeiras e de governo, a realidade mostra que temos ameaças que foram aperfeiçoadas e que representam um grande risco. E para combater esse cenário será preciso desenvolver uma estrutura sólida para gerenciar os riscos e aplicar novos padrões para detectar e responder a ameaças muito mais avançadas.

Isso vai muito além de simplesmente testar os sistemas quanto a vulnerabilidades. Significa, por exemplo, entender quais são os dados com maior risco, quais são os tipos de criminosos estariam mais interessados ​​nesse tipo de informação, que tipo de ataques poderiam ser usados e por fim desenvolver ações preventivas e corretivas para proteger os dados.

As agências devem fazer esforços significativos para estudar as ameaças emergentes, observando os principais indicadores de risco e entendendo os atores, criminosos, países estrangeiros e hacktivistas, que ameaçam os sistemas do governo e financeiro.

Seja uma ameaça interna ou externa, as organizações estão descobrindo que apenas o uso de firewalls não é eficaz para antecipar a natureza das ameaças.

A ação evolutiva das ameaças cibernéticas exige uma defesa colaborativa em rede, o que significa compartilhar informações sobre vulnerabilidades, formas de ataque e soluções entre a comunidade, governos, empresas e fornecedores de segurança.

Assim, a segurança cibernética quando desenvolvida de forma eficiente em cada país engloba praticamente todos os cidadãos, proporcionando a todos a sensação de confiança e de credibilidade nas instituições.

Agora você já conhece os problemas gerados por não proteger os dados. Mantenha-se atualizado sempre, assine nossa newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin.

Leia mais
Entendendo o blockchain e suas aplicações aos bancos

Além do Bitcoin e de outras criptomoedas, a aplicação do Blockchain tem crescido em diferentes segmentos do mercado. O uso dessa tecnologia tem permitido a criação de novos modelos de negócios, com base na disrupção de muitos conceitos e muita inovação.

A convergência entre um cenário de inovação com o uso da tecnologia e a possível substituição dos sistemas monetários atuais chega prometendo profundas mudanças para o futuro do setor bancário.

O Blockchain como ferramenta de inovação

Entender como funciona o Blockchain é o primeiro passo para aproveitar a tecnologia e toda a inovação que vem pela frente. Embora o Blockchain esteja muito associado ao Bitcoin, sua arquitetura mostra um controle sobre os dados transacionais de maneira segura, verificável e permanente, o que possibilita ampliar seu uso em diferentes aplicações.

Basicamente, a tecnologia trabalha como um banco de dados descentralizado que é gerenciado por computadores pertencentes a uma rede ponto a ponto (P2P). Cada um dos computadores na rede distribuída mantém uma cópia das transações (Ledger – livro razão) para evitar a interrupção da operação em caso de algum ponto de falha. Vale destacar que durante esse processo, todas as cópias são atualizadas e validadas simultaneamente.

Com isso, os aplicativos Blockchain passam a ser utilizados em muitos setores como uma maneira segura e econômica de criar e gerenciar um banco de dados distribuídos, mantendo registros de transações digitais de todos os tipos.

Como Blockchain funciona

Sua arquitetura transacional em um primeiro momento parece ser complexa. Porém, ela se mostra segura e com a preocupação em garantir a persistência de suas transações.

Um ledger blockchain consiste em dois tipos de registros: transações e blocos individuais. O primeiro bloco consiste em um cabeçalho e um conjunto de dados que pertencem as transações que ocorrem dentro de um período de tempo definido. O timestamp do bloco é usado para ajudar a criar uma cadeia alfanumérica chamada hash.

Após o primeiro bloco ter sido criado, cada bloco subseqüente no ledger usa o hash do bloco anterior para calcular seu próprio hash. Antes que um novo bloco possa ser adicionado à cadeia, sua autenticidade deve ser verificada por um processo computacional chamado de validação ou consenso.

Neste ponto da execução do processo, a maioria dos nós na rede deve concordar que o hash do novo bloco foi calculado corretamente. A validação garante que todas as cópias do ledger distribuído compartilhem o mesmo estado. Uma vez que um bloco foi adicionado, ele pode ser referenciado em blocos subsequentes, mas não pode ser alterado. Se alguém tentar trocar um bloco, os hashes dos blocos anteriores e subsequentes também serão alterados e todo processo será invalidado.

Quando ocorre um consenso que não é mais possível seguir com as transações, outros computadores na rede estão cientes de que um problema ocorreu e nenhum novo bloco será adicionado à cadeia até que o problema seja resolvido. Normalmente, o bloco que causa o erro será descartado e um novo processo transacional será repetido.

Blockchain tem base em 4 fundamentos

A tecnologia aplicada ao Blockchain está baseada em 4 fundamentos principais:

  1. O registro compartilhado de todas as transações (ledger);
  2. A conformidade para a validação de todas as transações;
  3. Um contrato seguro que determina as regras de funcionamento das transações e operações;
  4. A criptografia, que é a base de confiança de todo o processo.

Na prática, a tecnologia empregada possui vários dispositivos para evitar fraudes. Ele criptografa cada bloco de transações, e cada bloco contém um hash antes dele, o que torna a adulteração de transações resolvidas imediatamente detectável.

Essa abordagem também torna praticamente impossível inserir uma entrada falsa porque um invasor teria que descriptografar e refazer cada transação subsequente. Por último, os servidores Blockchain devem manter a tolerância a falhas para excluir potenciais agentes mal-intencionados. Essa abordagem também adiciona resiliência a uma rede se um servidor individual estiver inoperante ou agindo de forma irregular.

Uma mudança na economia com base no Blockchain

A tecnologia Blockchain tem sido a base tecnológica das criptomoedas, especificamente  o Bitcoin e a Ethereum, e está sendo explorada como tecnologia fundamental para uma série de outros sistemas, como pagamentos móveis, registros de propriedade e contratos inteligentes.

Hoje, bancos e instituições financeiras em todo o mundo estão pesquisando como podem através do Blockchain melhorar a segurança de dados e rede. Outras indústrias, incluindo saúde, governo e tecnologia, estão investindo em projetos que possam utilizar a tecnologia para permitir a troca segura de dados, como informações pessoais de saúde, ativos digitais, como entretenimento baixado e escrituras de imóveis.

A indústria e outras empresas similares também vêem o potencial de alavancar o Blockchain para gerenciar outras áreas estratégicas, bem como rastrear materiais à medida que eles se movimentam em suas cadeias de suprimentos.

Os benefícios associados à inovação

Um dos benefícios de um sistema Blockchain é que ele promete eliminar ou reduzir consideravelmente, o atrito e os custos de uma ampla variedade de aplicações, mais especificamente dos serviços financeiros, porque elimina uma autoridade central, por exemplo um banco central, na condução e validação de transações.

Especialistas citam ainda vários benefícios importantes vinculado ao uso do Blockchain. Sendo a segurança considerada uma das principais vantagens dessa tecnologia.

É quase impossível corromper um Blockchain porque as informações são compartilhadas e continuamente reconciliadas por milhares, até mesmo milhões de computadores, e a arquitetura do sistema não possui um único ponto de falha. Se um nó ficar inativo, não será um problema, porque todos os outros nós têm uma cópia do ledger.

Como será o futuro com o Blockchain e os bancos

A economia baseada no Blockchain apresenta um cenário atual e um futuro brilhante em que a criptomoeda substitui os sistemas monetários atuais, potencialmente em uma base global. Isso tem profundas implicações para o setor bancário e a forma como fazemos transações financeiras. O sistema de troca peer-to-peer do Blockchain é inerentemente autogovernado com base na propriedade compartilhada e igualdade entre os participantes.

Como as transações P2P através do Blockchain não exigem a ajuda de um intermediário, ele reduz o custo de cada transação. Além disso, os algoritmos usados ​​para validar a precisão das transações distribuídas tornam o Blockchain menos vulnerável a fraudes e cibercrimes do que os sistemas bancários convencionais.

Nos próximos anos, a tecnologia empregada pelo Blockchain ainda deve revolucionar muito em diferentes aspectos e setores. Nesse cenário, as máquinas usarão o Blockchain para se tornarem participantes do mercado autônomos. Em pouco tempo, espera-se que os avanços em inteligência artificial (IA) permitam que as máquinas da Internet of Things (IoT) possam se programar e pagar pela própria manutenção, comprar suas próprias peças de reposição e manter suas próprias transações. Tudo isso usando Blockchain.

E na sua opinião, como sua empresa poderia aproveitar a tecnologia em torno do Blockchain para alavancar seus negócios de forma disruptiva e inovadora? Continue nos acompanhando nosso blog e inscreva-se em nossa newsletter para ficar por dentro das novidades.

 

Leia mais
O que você não sabia sobre software de criptografia

O uso de software de criptografia tem sido um dos métodos mais eficientes para fornecer segurança de dados, especialmente para proteção realizada de ponta a ponta transmitida entre redes.

Empresas e indivíduos também costumam usar a criptografia para proteger dados confidenciais armazenados em computadores, servidores e dispositivos móveis, como telefones ou tablets.

Se você ainda tem dúvidas sobre o uso eficiente de software de criptografia na realização de diferentes transações pela Internet, aproveite esse artigo para esclarecer todos os pontos.

Os softwares de criptografia são amplamente usados na Internet para proteger os usuários

Temos como exemplo de uso de software de criptografia a proteção de dados como senhas, informações de pagamento e outras informações pessoais que devem ser consideradas privadas e sensíveis.

Como funciona a criptografia

Os dados, geralmente compostos de texto simples, são codificados usando um algoritmo e uma chave de criptografia. Esse processo gera um texto cifrado que só pode ser visualizado em sua forma original se decifrado com a chave correta.

A decifrar é simplesmente o processo inverso da criptografia, seguindo as mesmas etapas, mas invertendo a ordem em que as operações são aplicadas. Um software de criptografia basicamente se enquadra em duas categorias: simétrica e assimétrica.

  • Criptografia Simétrica

Também conhecida como “chave secreta”, usa-se apenas uma única chave, também chamado de segredo compartilhado. Isso porque o sistema que executa a criptografia deve compartilhá-la com qualquer entidade que pretenda descriptografar os dados criptografados.

A criptografia de chave simétrica é geralmente muito mais rápida do que a criptografia assimétrica, mas o remetente deve trocar a chave usada para criptografar os dados com o destinatário antes que ele possa executar a descriptografia no texto cifrado.

Conhecida como criptografia de chave pública, ela usa duas chaves diferentes, ou seja, um par de chaves conhecidas por chave pública e chave privada. A chave pública pode ser compartilhada com todos, enquanto a chave privada deve ser mantida em segredo.

Os benefícios do uso de software de criptografia

O principal objetivo da criptografia é proteger a confidencialidade dos dados digitais armazenados em sistemas de computadores, transmitidos pela Internet ou por qualquer outra rede de computadores.

Diversas empresas e organizações recomendam ou exigem que dados confidenciais sejam criptografados para impedir que pessoas não autorizadas acessem os dados.

Na prática, o exemplo mais conhecido é o padrão de segurança de dados utilizados no setor de cartões de pagamento. Ele exige que os dados do cartão de pagamento dos clientes sejam criptografados quando transmitidos em redes públicas.

Algoritmos de criptografia desempenham um papel fundamental na garantia de segurança dos sistemas de TI e nas comunicações, pois podem fornecer não apenas confidencialidade, mas também elementos considerados chaves em relação à segurança aos dados:

Muitos protocolos da Internet definem mecanismos para criptografar dados que se movem de um sistema para outro, chamados de dados em trânsito.

A criptografia sendo utilizada em aplicativos de comunicação

Alguns aplicativos adotam o uso de criptografia de ponta a ponta (E2EE) para garantir que os dados enviados entre duas partes não possam ser visualizados por um invasor que intercepte o canal de comunicação.

O uso de um circuito de comunicação criptografado, conforme fornecido pela camada de transporte segura (Transport Layer Security – TLS), entre o cliente da Web e o software do servidor da Web, nem sempre é suficiente para garantir a segurança.

Normalmente, o conteúdo real que está sendo transmitido é criptografado pelo software antes de ser passado a um cliente da Web e descriptografado apenas pelo destinatário.

Os aplicativos de mensagens que fornecem o E2EE incluem o WhatsApp do Facebook e o sinal do Open Whisper Systems. Os usuários do Facebook Messenger também podem receber mensagens E2EE com a opção “Conversas secretas”.

Desafios da criptografia atual

Para qualquer chave de criptografia atual, o método mais básico de ataque é a força bruta. É feito uma sequência de tentativas seguidas até encontrar a chave certa.

O comprimento da chave determina o número de chaves possíveis, daí a viabilidade desse tipo de ataque. Há dois elementos importantes que dizem sobre quão forte é a criptografia usada, que são os algoritmos utilizados e o tamanho da chave, à medida que o tamanho da chave aumenta, também são necessários maiores recursos na tentativa de quebrar a chave.

Os atacantes atualmente também tentam quebrar uma chave-alvo por meio da criptoanálise, um processo que tenta encontrar uma fraqueza na chave que possa ser explorada com uma complexidade menor que um ataque de força bruta.

Mais recentemente, agências de segurança, a exemplo do FBI, criticaram empresas de tecnologia que oferecem criptografia de ponta a ponta, alegando que esse tipo de criptografia impede que as autoridades policiais acessem dados e comunicações, mesmo com um mandado.

O Departamento de Justiça dos EUA divulgou a necessidade de “criptografia responsável” que pode ser liberada pelas empresas de tecnologia sob uma ordem judicial.

Próximos passos

O gerenciamento de chaves é um dos maiores desafios na estratégia de uso de software de criptografia, pois as chaves para descriptografar o texto cifrado precisam estar armazenado em algum lugar no ambiente, e os invasores geralmente têm uma boa ideia de onde procurar.

Por isso, as organizações que precisam acessar dados criptografados geralmente colocam chaves de criptografia em procedimentos armazenados em um sistema de gerenciamento de banco de dados, onde a proteção pode ser inadequada.

Os próximos passos para o aperfeiçoamento do uso da criptografia consistem no desafio de desenvolver um plano de segurança de informações que possa definir estrutura mais confiáveis de armazenamento de chaves, sendo esse um dos elos mais fracos na aplicação da criptografia corporativa.

Políticas e métodos de segurança devem buscar as melhores práticas visando diminuir as tentativas mal-intencionadas de quebrar e usar as chaves criptográficas e invalidar o uso do software de criptografia.

Agora você já conhece um pouco mais sobre software de criptografia. Mantenha-se atualizado sempre, através da assinatura de nossa newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin. Por isso, as organizações que precisam acessar dados criptografados geralmente colocam chaves de criptografia em procedimentos armazenados em um sistema de gerenciamento de banco de dados, onde a proteção pode ser inadequada.

Os próximos passos para o aperfeiçoamento do uso da criptografia consiste no desafio de desenvolver um plano de segurança de informações que possa definir estrutura mais confiáveis de armazenamento de chaves, sendo esse um dos elos mais fracos na aplicação da criptografia corporativa.

Políticas e métodos de segurança devem buscar as melhores práticas visando diminuir as tentativas mal intencionadas de quebrar e usar as chaves criptográficas e invalidar o uso do software de criptografia.

Agora você já conhece um pouco mais sobre software de criptografia. Mantenha-se atualizado sempre, através da assinatura de nossa newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin.

Leia mais
Tire suas dúvidas sobre o fim do boleto sem registro

Se você emite boletos ou simplesmente realiza pagamentos saiba que a data limite para o fim da transição para o novo formato no processo de emissão deste tipo de cobrança está próximo. É o fim do boleto sem registro.

Após mais de 20 anos utilizando o mesmo padrão o Banco Central e a FEBRABAN junto com às instituições financeiras decidiram atualizar a forma como os boletos bancários são emitidos. A transição deu início em julho de 2017 e chega ao fim em novembro de 2018 com a conclusão de todo o processo.

O que muda com o novo padrão de boletos bancários

A mudança parece ser simples e está concentrado na forma como os boletos bancários são emitidos. O objetivo principal da nova cobrança desenvolvida é atualizar o procedimento para trazer mais segurança e transparência aos pagamentos.

O boleto sem registro consiste basicamente na emissão da cobrança pelo beneficiário e o envio para a pessoa responsável pelo pagamento. A instituição bancária só tem conhecimento da transação quando ocorrer a efetivação do pagamento.

A diferença em relação ao novo modelo é justamente a notificação para os bancos logo após a emissão do boleto. Porém, a mudança para o novo padrão não se concentra apenas na comunicação junto às instituições financeiras. Lembre-se que o objetivo é a modernização.

A nova plataforma de boletos implementa a modernização

A geração de boletos como forma de pagamento começou a ser utilizado em 7 de outubro de 1993 e, por isso, exigia uma modernização. De acordo com o Banco Central a mudança beneficia principalmente os consumidores. O BC aponta como benefícios:

Para o emissor

  • Melhoria na capilaridade e possibilidade de recebimentos;
  • Melhoria no ambiente de crédito;
  • Redução das fraudes de emissão de boletos;
  • Redução das inconsistências nos pagamentos;
  • Mitigação dos erros de cálculos de multas e de encargos por atraso;
  • Fim da necessidade da emissão da 2ª via do boleto.

Para o pagador

  • Cliente DDA pode visualizar todos os seus boletos de forma eletrônica;
  • Possibilidade de pagamento de boleto vencido em qualquer canal de recebimento do Banco;
  • Ainda mais segurança no pagamento, com duplo controle contra as fraudes;
  • Garantia da diferenciação do boleto de cobrança do boleto de proposta;
  • Redução de inconsistências de pagamento e pagamento em duplicidade;
  • Fim da necessidade da emissão da 2ª via do boleto para pagamento.

O Banco Central afirma que a Nova Plataforma da Cobrança possibilita aos consumidores maior conveniência e segurança nas operações.

A principal mudança a ser sentida pelos consumidores é que um boleto vencido poderá ser pago em qualquer instituição financeira ou em um dos canais de atendimento disponíveis, tais como agência, internet, mobile e ATMs, acabando com a necessidade de emitir uma segunda via do boleto.

O fim do boleto sem registro visa reduzir as fraudes

Outro importante objetivo com o fim do boleto sem registro é reduzir as fraudes de boleto.

Dois incidentes se tornaram comuns com o boleto sem registro:

  1. O golpe junto aos consumidores que consiste em alterar o código de barras da cobrança, desviando, assim, o pagamento para outra conta bancária. O truque costuma ser feito através de um vírus instalado na máquina do consumidor final que altera o código do boleto.
  2. Os bancos alegam também que sofrem com inconsistências que causam bastante prejuízos. Isso acontece quando o cliente muda o valor do boleto ou mesmo a data de vencimento.

Com o novo modelo, ocorre a identificação do sacado, como o CPF ou CNPJ do cliente que efetuará o pagamento e a comunicação dessas informações ao banco.

Essa abordagem que identifica os responsáveis tanto pela emissão quanto pelo pagamento é importante para reduzir o número de fraudes, portanto, essa é uma medida que busca trazer proteção e garantia tanto para as empresas, como para os consumidores.

Estamos na reta final da transição para o novo modelo e desta forma teremos em breve o fim do boleto sem registro. Muitos alegam que essa mudança deve aumentar a burocracia e os custos relativos a essa modalidade de pagamento, podendo prejudicar principalmente os pequenos empresários.

Porém, como pode ser visto na leitura do artigo, temos uma evolução necessária e que busca pontos importantes como a segurança e a facilidade para os consumidores.

É natural que ocorra no começo uma resistência e preocupações, entretanto, a experiência nos mostra que ajustes serão feitos e todos serão beneficiados ao final.

Gostou deste conteúdo? Envie-nos sugestões pelo e-mail conteudo@evaltec.com.br ! Inscreva-se na nossa news e receba novidade sobre tecnologia para instituições financeiras. 

 

Leia mais
6 problemas gerados por gerenciamento do ciclo de vida dos certificados digitais

Recentemente em nosso blog estivemos falando sobre o grande desafio que é fazer o gerenciamento do ciclo de vida dos certificados digitais. Assim como o forte impacto gerado quando ocorre a perda dos certificados digitais junto com o par de chaves para uma empresa.

Abordamos vários aspectos importantes que devem ser prioritários para as organizações, principalmente aquelas que detêm muitas chaves de criptografia.

Seguindo ainda este importante tema, queremos abordar neste artigo o que pode acontecer quando não são aplicadas às boas práticas de gerenciamento do ciclo de vida dos certificados digitais.

Entenda como acontece um ciclo de vida completo de um certificado digital até os problemas de gerenciar múltiplos certificados digitais.

Relembrando alguns conceitos fundamentais do gerenciamento do ciclo de vida dos certificados digitais

Um certificado digital, como você sabe, nada mais é que um “passaporte” eletrônico que permite que uma pessoa, computador ou organização troque informações seguras através da Internet utilizando uma infraestrutura de chaves públicas (PKI).

E como um documento, a exemplo do passaporte, o certificado digital fornece informações de identificação, é resistente a falsificações e pode ser verificado porque foi emitido por um órgão certificador, conhecido como Autoridade Certificadora ou AC que são confiáveis e seguras.

E após um processo de validação, os sistemas operacionais e navegadores mantêm listas destes certificados digitais para que possam ser verificados facilmente sempre que necessário. Sempre observando as autoridades que emitiram e assinaram.

Com isso, atendemos a vários requisitos de segurança e de conformidade regulamentar. Diminuindo assim, incidentes de segurança, de roubo e de exposição de dados.

Logo após termos refrescado a memória sobre a importância e o uso de um certificado digital, podemos até pensar que gerenciamento do ciclo de vida do certificado digital é algo simples, principalmente quando estamos falando de poucos certificados digitais.

Porém, a compra de certificados digitais pode ser um processo complexo. Principalmente quando falamos de certificados digitais de chave criptográfica.

É preciso considerar vários aspectos quanto ao processo de criação, armazenamento e uso dos certificados digitais.

Lembramos mais uma vez o fato que temos um “passaporte” que servirá de porta de entrada para acesso a dados sensíveis da organização, funcionários e clientes.

O gerenciamento do ciclo de vida dos certificados digitais na prática

Basicamente, o ciclo de vida de um certificado digital passa pelas seguintes etapas:

Etapa de requisição

É nesse momento onde é feita a requisição para uma autoridade certificadora, seja ela interna da organização ou mesmo externa e é a partir daí, que o certificado digital é gerado.

O processo de requisição, de forma bem simples, consiste na apresentação dos documentos necessários em uma entidade de registro (AR) credenciada, que fará a validação e emissão dos certificados digitais.

De forma geral os passos deste processo são os seguintes:

  1. A geração do par de chaves;
  2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
  3. A solicitação do certificado digital é enviada à autoridade certificadora através de um arquivo CSR;
  4. Após o recebimento do arquivo do certificado digital, ocorre a associação do certificado digital recebido com a chave privada RSA gerada no primeiro passo.

Vale destacar que estamos apresentando de forma simplificada o gerenciamento do ciclo de vida dos certificados digitais, mas temos todo um processo de assinatura que envolve criptografia e o uso de chaves públicas e privadas que garantem a segurança dos certificados digitais.

Etapa do uso

Aqui está o propósito principal dos certificados digitais. É nesse ponto que definimos onde eles são usados e gerenciados, sendo necessário a utilização de dispositivos, caso sejam armazenados em hardware.

Ou ainda, caso sejam utilizados arquivos de configuração que precisam de um cuidado especial nas situações em que estejam armazenados em software.

O mais importante nesse processo de aquisição é ter a certeza das necessidades da aplicação que utilizará o certificado digital e quais as exigências da AC para a emissão do certificado digital.

Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor às suas necessidades e que facilite o seu trabalho, pois existem diversos sistemas que podem auxiliá-lo em todo o processo de geração dos certificados digitais.

Certificado Digital na mão, o que pode dar errado?

Evoluímos para um processo que hoje em dia é fácil obter um certificado digital, o procedimento é simples, rápido e seguro.

Mas chegamos ao ponto mais importante de nosso artigo, e para as organizações com uma alta demanda de chaves criptográficas, quais são as questões mais críticas para realizar o gerenciamento do ciclo de vida dos certificados digitais?

6 problemas gerados pelo gerenciamento do ciclo de vida dos certificados digitais

Para realizar o gerenciamento do ciclo de vida dos certificados digitais de forma eficiente surgem questões que podem se tornar grandes problemas para as empresas:

  1. Quem tem a senha que protege o certificado digital?
  2. Quem verifica quando o certificado digital irá expirar?
  3. Como gerenciar múltiplos certificados? Imagine por exemplo como será gerenciar 30 ou mais certificados digitais.
  4. Quais as políticas de segurança da informação que direcionam a organização para que as chaves dos certificados digitais não vazem, ou sejam comprometidas?
  5. Como está definido a política de segurança da informação para o gerenciamento do ciclo de vida dos certificados digitais?
  6. Em caso de vazamento de informações as chaves estão seguras?

Para se ter uma ideia do impacto do ciclo de vida dos certificados digitais vejamos como exemplo a perda da validade.

O certificado digital pode perder a validade por dois motivos:

  • Perda da validade pelo vencimento do certificado digital:
    Quando o certificado digital chega ao seu fim de vida isso significa a data de expiração.

Geralmente os certificados digitais têm de 1 a 3 anos de validade e que são determinados pelas ACs ou por organizações que as ACs se submetem, no caso do Brasil o ITI regulamenta pela ICP-Brasil.

  • Perda da validade pela revogação do certificado digital:
    Quando se perde um certificado digital, ou ele é roubado, ou qualquer outro motivo que comprometa a integridade do certificado digital o mesmo deve ser revogado para que todos saibam que ele não é mais válido.

Agora vamos fazer uma provocação, quero que você pense nos seis pontos que foram descritos acima e que identificamos como potenciais problemas na gestão do ciclo de vida dos certificados digitais.

Além disso, pense nesse momento em como responder cada pergunta que foi apresentada e vá além. Imagine os desafios e riscos para uma empresa que trabalha com muitos certificados digitais.

Por fim, pare para pensar nos impactos financeiros e de credibilidade que podem ocorrer se um gestor e seu time de TI não estejam perfeitamente alinhados em seus processos e políticas de segurança.

Fica aqui o ponto de reflexão e o convite para continuar acompanhando nosso blog e também nosso perfil do Linkedin. Essa é uma discussão extensa e um grande desafio para as empresas. Tem alguma dúvida sobre gerenciamento do ciclo de vida dos certificados digitais? Deixe seu comentário.

Leia mais
Banco central lançou em abril uma resolução sobre cibersegurança

O Banco Central lançou recentemente uma resolução sobre cibersegurança, resolução Nº 4.658. No qual, define requisitos obrigatórios para a contratação de serviços de processamento e armazenamento de dados e o uso da computação em nuvem. A fim de serem atendidos por instituições financeiras e outras empresas relacionadas.

Qual é o impacto desta resolução sobre cibersegurança para as instituições financeiras? Nenhuma!

Tudo bem, pode ser um exagero dizer que não existe nenhum impacto. Porém o fato é que a realidade do mercado está muito à frente do governo e as exigências feitas hoje. Além disso, esses requisitos já são considerados estratégicos para qualquer instituição financeira que tenha a intenção de oferecer um produto ou serviço no mercado digital.

Mas essa resolução é um avanço, principalmente em um mercado que precisa de regras claras. Pois apresenta um potencial de grande impacto para a sociedade e que está passando por grandes transformações relacionadas à tecnologia e inovação.

Vamos entender a resolução sobre cibersegurança

Como grande responsável pela estabilidade do mercado financeiro, o governo tem como missão estabelecer regras e controles que possam garantir o equilíbrio e solidez financeira em nosso país.

Em virtude dessa responsabilidade, o Banco Central Central define procedimentos a serem observados e cumpridos pelas instituições financeiras autorizadas a funcionar na prestação de serviços financeiros aos clientes e ao público em geral.

Diante dessas diretrizes institucionais é natural que sejam publicadas regularmente normas que orientem o mercado e possam proteger seus cidadãos, principalmente porque temos um mercado cada vez mais digital, rápido e conectado à Internet.

A resolução sobre cibersegurança lançada em abril de 2018 segue uma realidade cada vez mais presente no mercado financeiro, a contratação de processamento e armazenamento de dados e o uso da computação em nuvem como infraestrutura de tecnologia por empresas desse segmento.

O foco principal é a segurança da informação no âmbito do ciberespaço. Na prática, resoluções sobre cibersegurança como essa buscam garantir proteção em diversos aspectos do segmento financeiro. Ela serve como parâmetro para proteger os consumidores dos produtos e serviços financeiros existentes no mercado.

Definições feitas pelo Banco Central limitam ainda a existência de empresas confiáveis e que possam assegurar o atendimento aos requisitos essenciais, defendendo desta forma e estabilidade financeira do país.

Confidencialidade, integridade e disponibilidade se tornam requisitos obrigatórios

Com a resolução sobre cibersegurança, requisitos de confidencialidade, integridade e disponibilidade passam a ser indispensáveis quanto ao uso de dados e às soluções de tecnologia a serem ofertada pelo mercado financeiro.

Ao ler a publicação é possível verificar que são definidas a abrangência junto às instituições financeiras e empresas prestadoras de serviços que fazem o uso de dados e informações sensíveis e que sejam relevantes para as atividades operacionais de cada organização.

São definidos e passam a ser requisitos obrigatórios de acordo com a resolução:

  • Objetivos de segurança cibernética;
  • Políticas e processos ligados diretamente a segurança da informação;
  • Procedimento e controles relativos à prevenção e tratamento a incidentes de segurança;
  • A disseminação da cultura da cibersegurança;
  • A implementação de programas de capacitação;
  • Entre outras diversas diretrizes que visam orientar as organizações relacionadas ao segmento financeiro, seja como fornecedor de produtos e serviços ou como empresas que realizam o outsourcing de serviços de tecnologia.

A resolução sobre cibersegurança é um documento amplo e demanda uma análise profunda para que as instituições financeiras possam atender a todos os requisitos definidos como obrigatórios pelo Banco Central.

Apesar do desafio de implementar uma norma como essa é que ela reflete uma realidade já existente no mercado, principalmente pelo fato de existir uma preocupação real ligada a segurança cibernética e com o histórico de vários incidentes relacionados a roubo e vazamento de dados e ataques virtuais.

A resolução é uma exigência do próprio mercado digital

Quando a resolução sobre cibersegurança faz uma abordagem ligada ao processamento e armazenamento de dados e ao uso da computação em nuvem, dando prioridade a questões relativas à confidencialidade, integridade e disponibilidade ela reflete o mercado atual.

Lembra do exagero no início do artigo sobre o impacto da resolução junto às empresas do segmento financeiro? Para o mercado, na prática, não existe nenhuma novidade.

São requisitos que já fazem parte da realidade de diversas empresas que realizam transações financeiras. A segurança cibernética se tornou estratégica para a existência de todas as empresas de setor.

A realidade tem nos mostrado que é preciso convergir para ações efetivas que possam garantir a segurança dos dados, a confidencialidade, integridade, disponibilidade e principalmente a proteção e a defesa dos consumidores dos produtos e serviços financeiros.

Outro ponto importante e que precisa ser ressaltado é a transformação digital que estamos passando atualmente, a ruptura de vários segmentos de mercado, as novas tecnologias que surgem e muita inovação que vem acompanhado de uma grande mudança do mercado consumidor.

Por isso, o principal impacto dessas mudanças é o uso dos dados dos clientes se tornando fundamental neste processo de transformação. Basta vermos a importância das tecnologias inovadoras, a exemplo do Big Data, Inteligência Artificial, Bitcoin e o Open Banking, para um mercado que reflete uma transformação nos hábitos de consumo e comportamento social.

Ainda mais, a computação em nuvem já faz parte da realidade de boa parte das empresas de diferentes setores e tamanhos, assim como para empreendedores. As famosas Fintechs já surgem em sua essência utilizando uma infraestrutura de TI na nuvem.

A resolução sobre cibersegurança é a convergência entre o mercado e o governo

Deste modo, o segmento financeiro e o governo precisam estar alinhados sobre todas as mudanças que estão acontecendo, por isso a necessidade de serem publicadas resoluções e outros tipos de normas que possa definir padrões e requisitos regulatórios.

Portanto o maior desafio é conciliar tudo isso com a velocidade que está acontecendo. Temos um mercado digital que lança constantemente novos produtos e serviços financeiros e, portanto, a agilidade e a integração entre o mercado e governo são obrigatórias e estratégicas.

Por fim, essa resolução irá fazer com que as instituições financeiras e o governo estejam alinhados sobre requisitos mínimos de segurança cibernética a ser aplicado nas instituições, procurando sempre, deixar o ambiente financeiro do país muito mais robusto e preparado para esses ataques que estão em constante crescimento, no Brasil e no mundo.

Mantenha-se atualizado sempre, assine nossa Newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin.

Leia mais