0
1
0
1
1
0
1
0
6 problemas gerados por gerenciamento do ciclo de vida dos certificados digitais

Recentemente em nosso blog estivemos falando sobre o grande desafio que é fazer o gerenciamento do ciclo de vida dos certificados digitais. Assim como o forte impacto gerado quando ocorre a perda dos certificados digitais junto com o par de chaves para uma empresa.

Abordamos vários aspectos importantes que devem ser prioritários para as organizações, principalmente aquelas que detêm muitas chaves de criptografia.

Seguindo ainda este importante tema, queremos abordar neste artigo o que pode acontecer quando não são aplicadas às boas práticas de gerenciamento do ciclo de vida dos certificados digitais.

Entenda como acontece um ciclo de vida completo de um certificado digital até os problemas de gerenciar múltiplos certificados digitais.

Relembrando alguns conceitos fundamentais do gerenciamento do ciclo de vida dos certificados digitais

Um certificado digital, como você sabe, nada mais é que um “passaporte” eletrônico que permite que uma pessoa, computador ou organização troque informações seguras através da Internet utilizando uma infraestrutura de chaves públicas (PKI).

E como um documento, a exemplo do passaporte, o certificado digital fornece informações de identificação, é resistente a falsificações e pode ser verificado porque foi emitido por um órgão certificador, conhecido como Autoridade Certificadora ou AC que são confiáveis e seguras.

E após um processo de validação, os sistemas operacionais e navegadores mantêm listas destes certificados digitais para que possam ser verificados facilmente sempre que necessário. Sempre observando as autoridades que emitiram e assinaram.

Com isso, atendemos a vários requisitos de segurança e de conformidade regulamentar. Diminuindo assim, incidentes de segurança, de roubo e de exposição de dados.

Logo após termos refrescado a memória sobre a importância e o uso de um certificado digital, podemos até pensar que gerenciamento do ciclo de vida do certificado digital é algo simples, principalmente quando estamos falando de poucos certificados digitais.

Porém, a compra de certificados digitais pode ser um processo complexo. Principalmente quando falamos de certificados digitais de chave criptográfica.

É preciso considerar vários aspectos quanto ao processo de criação, armazenamento e uso dos certificados digitais.

Lembramos mais uma vez o fato que temos um “passaporte” que servirá de porta de entrada para acesso a dados sensíveis da organização, funcionários e clientes.

O gerenciamento do ciclo de vida dos certificados digitais na prática

Basicamente, o ciclo de vida de um certificado digital passa pelas seguintes etapas:

Etapa de requisição

É nesse momento onde é feita a requisição para uma autoridade certificadora, seja ela interna da organização ou mesmo externa e é a partir daí, que o certificado digital é gerado.

O processo de requisição, de forma bem simples, consiste na apresentação dos documentos necessários em uma entidade de registro (AR) credenciada, que fará a validação e emissão dos certificados digitais.

De forma geral os passos deste processo são os seguintes:

  1. A geração do par de chaves;
  2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
  3. A solicitação do certificado digital é enviada à autoridade certificadora através de um arquivo CSR;
  4. Após o recebimento do arquivo do certificado digital, ocorre a associação do certificado digital recebido com a chave privada RSA gerada no primeiro passo.

Vale destacar que estamos apresentando de forma simplificada o gerenciamento do ciclo de vida dos certificados digitais, mas temos todo um processo de assinatura que envolve criptografia e o uso de chaves públicas e privadas que garantem a segurança dos certificados digitais.

Etapa do uso

Aqui está o propósito principal dos certificados digitais. É nesse ponto que definimos onde eles são usados e gerenciados, sendo necessário a utilização de dispositivos, caso sejam armazenados em hardware.

Ou ainda, caso sejam utilizados arquivos de configuração que precisam de um cuidado especial nas situações em que estejam armazenados em software.

O mais importante nesse processo de aquisição é ter a certeza das necessidades da aplicação que utilizará o certificado digital e quais as exigências da AC para a emissão do certificado digital.

Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor às suas necessidades e que facilite o seu trabalho, pois existem diversos sistemas que podem auxiliá-lo em todo o processo de geração dos certificados digitais.

Certificado Digital na mão, o que pode dar errado?

Evoluímos para um processo que hoje em dia é fácil obter um certificado digital, o procedimento é simples, rápido e seguro.

Mas chegamos ao ponto mais importante de nosso artigo, e para as organizações com uma alta demanda de chaves criptográficas, quais são as questões mais críticas para realizar o gerenciamento do ciclo de vida dos certificados digitais?

6 problemas gerados pelo gerenciamento do ciclo de vida dos certificados digitais

Para realizar o gerenciamento do ciclo de vida dos certificados digitais de forma eficiente surgem questões que podem se tornar grandes problemas para as empresas:

  1. Quem tem a senha que protege o certificado digital?
  2. Quem verifica quando o certificado digital irá expirar?
  3. Como gerenciar múltiplos certificados? Imagine por exemplo como será gerenciar 30 ou mais certificados digitais.
  4. Quais as políticas de segurança da informação que direcionam a organização para que as chaves dos certificados digitais não vazem, ou sejam comprometidas?
  5. Como está definido a política de segurança da informação para o gerenciamento do ciclo de vida dos certificados digitais?
  6. Em caso de vazamento de informações as chaves estão seguras?

Para se ter uma ideia do impacto do ciclo de vida dos certificados digitais vejamos como exemplo a perda da validade.

O certificado digital pode perder a validade por dois motivos:

  • Perda da validade pelo vencimento do certificado digital:
    Quando o certificado digital chega ao seu fim de vida isso significa a data de expiração.

Geralmente os certificados digitais têm de 1 a 3 anos de validade e que são determinados pelas ACs ou por organizações que as ACs se submetem, no caso do Brasil o ITI regulamenta pela ICP-Brasil.

  • Perda da validade pela revogação do certificado digital:
    Quando se perde um certificado digital, ou ele é roubado, ou qualquer outro motivo que comprometa a integridade do certificado digital o mesmo deve ser revogado para que todos saibam que ele não é mais válido.

Agora vamos fazer uma provocação, quero que você pense nos seis pontos que foram descritos acima e que identificamos como potenciais problemas na gestão do ciclo de vida dos certificados digitais.

Além disso, pense nesse momento em como responder cada pergunta que foi apresentada e vá além. Imagine os desafios e riscos para uma empresa que trabalha com muitos certificados digitais.

Por fim, pare para pensar nos impactos financeiros e de credibilidade que podem ocorrer se um gestor e seu time de TI não estejam perfeitamente alinhados em seus processos e políticas de segurança.

Fica aqui o ponto de reflexão e o convite para continuar acompanhando nosso blog e também nosso perfil do Linkedin. Essa é uma discussão extensa e um grande desafio para as empresas. Tem alguma dúvida sobre gerenciamento do ciclo de vida dos certificados digitais? Deixe seu comentário.

Leia mais
Banco central lançou em abril uma resolução sobre cibersegurança

O Banco Central lançou recentemente uma resolução sobre cibersegurança, resolução Nº 4.658. No qual, define requisitos obrigatórios para a contratação de serviços de processamento e armazenamento de dados e o uso da computação em nuvem. A fim de serem atendidos por instituições financeiras e outras empresas relacionadas.

Qual é o impacto desta resolução sobre cibersegurança para as instituições financeiras? Nenhuma!

Tudo bem, pode ser um exagero dizer que não existe nenhum impacto. Porém o fato é que a realidade do mercado está muito à frente do governo e as exigências feitas hoje. Além disso, esses requisitos já são considerados estratégicos para qualquer instituição financeira que tenha a intenção de oferecer um produto ou serviço no mercado digital.

Mas essa resolução é um avanço, principalmente em um mercado que precisa de regras claras. Pois apresenta um potencial de grande impacto para a sociedade e que está passando por grandes transformações relacionadas à tecnologia e inovação.

Vamos entender a resolução sobre cibersegurança

Como grande responsável pela estabilidade do mercado financeiro, o governo tem como missão estabelecer regras e controles que possam garantir o equilíbrio e solidez financeira em nosso país.

Em virtude dessa responsabilidade, o Banco Central Central define procedimentos a serem observados e cumpridos pelas instituições financeiras autorizadas a funcionar na prestação de serviços financeiros aos clientes e ao público em geral.

Diante dessas diretrizes institucionais é natural que sejam publicadas regularmente normas que orientem o mercado e possam proteger seus cidadãos, principalmente porque temos um mercado cada vez mais digital, rápido e conectado à Internet.

A resolução sobre cibersegurança lançada em abril de 2018 segue uma realidade cada vez mais presente no mercado financeiro, a contratação de processamento e armazenamento de dados e o uso da computação em nuvem como infraestrutura de tecnologia por empresas desse segmento.

O foco principal é a segurança da informação no âmbito do ciberespaço. Na prática, resoluções sobre cibersegurança como essa buscam garantir proteção em diversos aspectos do segmento financeiro. Ela serve como parâmetro para proteger os consumidores dos produtos e serviços financeiros existentes no mercado.

Definições feitas pelo Banco Central limitam ainda a existência de empresas confiáveis e que possam assegurar o atendimento aos requisitos essenciais, defendendo desta forma e estabilidade financeira do país.

Confidencialidade, integridade e disponibilidade se tornam requisitos obrigatórios

Com a resolução sobre cibersegurança, requisitos de confidencialidade, integridade e disponibilidade passam a ser indispensáveis quanto ao uso de dados e às soluções de tecnologia a serem ofertada pelo mercado financeiro.

Ao ler a publicação é possível verificar que são definidas a abrangência junto às instituições financeiras e empresas prestadoras de serviços que fazem o uso de dados e informações sensíveis e que sejam relevantes para as atividades operacionais de cada organização.

São definidos e passam a ser requisitos obrigatórios de acordo com a resolução:

  • Objetivos de segurança cibernética;
  • Políticas e processos ligados diretamente a segurança da informação;
  • Procedimento e controles relativos à prevenção e tratamento a incidentes de segurança;
  • A disseminação da cultura da cibersegurança;
  • A implementação de programas de capacitação;
  • Entre outras diversas diretrizes que visam orientar as organizações relacionadas ao segmento financeiro, seja como fornecedor de produtos e serviços ou como empresas que realizam o outsourcing de serviços de tecnologia.

A resolução sobre cibersegurança é um documento amplo e demanda uma análise profunda para que as instituições financeiras possam atender a todos os requisitos definidos como obrigatórios pelo Banco Central.

Apesar do desafio de implementar uma norma como essa é que ela reflete uma realidade já existente no mercado, principalmente pelo fato de existir uma preocupação real ligada a segurança cibernética e com o histórico de vários incidentes relacionados a roubo e vazamento de dados e ataques virtuais.

A resolução é uma exigência do próprio mercado digital

Quando a resolução sobre cibersegurança faz uma abordagem ligada ao processamento e armazenamento de dados e ao uso da computação em nuvem, dando prioridade a questões relativas à confidencialidade, integridade e disponibilidade ela reflete o mercado atual.

Lembra do exagero no início do artigo sobre o impacto da resolução junto às empresas do segmento financeiro? Para o mercado, na prática, não existe nenhuma novidade.

São requisitos que já fazem parte da realidade de diversas empresas que realizam transações financeiras. A segurança cibernética se tornou estratégica para a existência de todas as empresas de setor.

A realidade tem nos mostrado que é preciso convergir para ações efetivas que possam garantir a segurança dos dados, a confidencialidade, integridade, disponibilidade e principalmente a proteção e a defesa dos consumidores dos produtos e serviços financeiros.

Outro ponto importante e que precisa ser ressaltado é a transformação digital que estamos passando atualmente, a ruptura de vários segmentos de mercado, as novas tecnologias que surgem e muita inovação que vem acompanhado de uma grande mudança do mercado consumidor.

Por isso, o principal impacto dessas mudanças é o uso dos dados dos clientes se tornando fundamental neste processo de transformação. Basta vermos a importância das tecnologias inovadoras, a exemplo do Big Data, Inteligência Artificial, Bitcoin e o Open Banking, para um mercado que reflete uma transformação nos hábitos de consumo e comportamento social.

Ainda mais, a computação em nuvem já faz parte da realidade de boa parte das empresas de diferentes setores e tamanhos, assim como para empreendedores. As famosas Fintechs já surgem em sua essência utilizando uma infraestrutura de TI na nuvem.

A resolução sobre cibersegurança é a convergência entre o mercado e o governo

Deste modo, o segmento financeiro e o governo precisam estar alinhados sobre todas as mudanças que estão acontecendo, por isso a necessidade de serem publicadas resoluções e outros tipos de normas que possa definir padrões e requisitos regulatórios.

Portanto o maior desafio é conciliar tudo isso com a velocidade que está acontecendo. Temos um mercado digital que lança constantemente novos produtos e serviços financeiros e, portanto, a agilidade e a integração entre o mercado e governo são obrigatórias e estratégicas.

Por fim, essa resolução irá fazer com que as instituições financeiras e o governo estejam alinhados sobre requisitos mínimos de segurança cibernética a ser aplicado nas instituições, procurando sempre, deixar o ambiente financeiro do país muito mais robusto e preparado para esses ataques que estão em constante crescimento, no Brasil e no mundo.

Mantenha-se atualizado sempre, assine nossa Newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin.

Leia mais
Problemas com a integridade das informações? Não tem certeza se elas foram modificadas?

O gerenciamento e a automação dos processos de negócio têm levado cada vez mais as empresas a fazer uso de documentos digitais, essa estratégia tem levado a redução de custos e ao aumento de produtividade. Porém, a preocupação com problemas com a integridade das informações tem gerado grandes dúvidas e insegurança para os gestores.

O uso de documentos digitais faz parte das principais estratégias adotadas para melhoria dos processos de negócio, no melhor uso dos investimentos das empresas e no uso da infraestrutura de TI dentro do processo produtivo.

Um exemplo dessa forte tendência é o Outsourcing de impressão que recomenda avaliar quais os documentos devem ser impressos e os que podem ser mantidos no ambiente digital.

Além de cortar custos o uso de documentos digitais tem tornado o fluxo de trabalho mais eficiente, contribuindo para a evolução dos negócios. Apesar dos benefícios, muitas dúvidas têm surgido e precisam ser esclarecidas para uma adoção efetiva desta estratégia.

O processamento digital de documentos tem beneficiado as empresas, mas existem muitas dúvidas

Isso lembra bastante quando a computação em nuvem surgiu, apesar de muitas empresas terem apresentado bons resultados quanto a redução de custos e aumento de produtividade, várias dúvidas faziam outras empresas adiar o uso da tecnologia.

E com a migração de documentos para o meio digital não é diferente. Da mesma forma, semelhante ao que aconteceu com a nuvem, os possíveis problemas com a integridade das informações levaram a vários questionamentos:

  • Será que meu documento armazenado não será modificado?
  • Quando eu consultar um documento será que ele não foi alterado desde o momento que eu li?
  • Quem garante que não houve manipulação de um documento aprovado?
  • Quem é o responsável pela integridade das informações?
  • Quem resolve os problemas com a integridade das informações?

Portanto, perceba que são dúvidas pertinentes e que podem impactar no negócio. Principalmente quando temas como governança corporativa, segurança de dados e compliance estão sendo cada vez mais exigidos pelas empresas em auditorias e requisitos de regulamentação.

Todas essas dúvidas e exigências regulatórias convergem a um ponto em comum, a integridade das informações.

Quem será o responsável por resolver os problemas com a integridade das informações?

Tratando-se de TI não dá para pensar em um único responsável pela integridade das informações no meio digital, é preciso utilizar de recursos de tecnologia e inovação para definir um processo de controle eficiente com resultados que possam garantir a segurança dos dados.

A melhoria dos processos de negócio deve fazer parte do planejamento estratégico de qualquer empresa, independente de tamanho ou segmento. Por isso, adotar metodologias que possam implementar fluxo de trabalho eficiente e automatizado para o meio digital é o melhor caminho.

Inclusive, associados aos métodos que fazem o mapeamento dos processos de negócio, a exemplo do BPM (Business Process Management), onde são avaliadas as principais operações de negócios, localizando áreas problemáticas e ajustando ao fluxo de trabalho das empresas, é preciso priorizar a autenticidade das informações.

Adicionalmente, o melhor caminho para eliminar problemas com a integridade das informações e sua autenticidade é o uso da assinatura digital que garante a veracidade dos dados, de forma que você no futuro consiga resgatar um documento e ter a certeza de que ele não foi alterado de forma irregular.

Assinatura digital resolve problemas com a integridade das informações no meio digital

Ao adotar a assinatura digital em um documento é utilizado um hash, que garante que para o usuário que o documento não foi alterado.

Além disso, outros mecanismos são aplicados à assinatura digital e que irão ajudar na verificação e validação do documento. Adicionando o registro da data e hora da assinatura, por exemplo, garante que o documento foi assinado por uma determinada pessoa ou empresa naquele instante. Adicionalmente, pode-se obter o instante de tempo de um serviço confiável para que tenha essa garantia.

Para entender melhor o uso da assinatura digital podemos fazer analogia ao processo de assinatura de próprio punho de um documento, inclusive temos um artigo aqui em nosso blog que explica com mais detalhes essa analogia, mas em termos práticos podemos aplicar da seguinte forma.

  1. A pessoa encaminha a você um documento com determinado conteúdo e uma assinatura feito de próprio punho.
  2. A primeira propriedade que pode ser verificada está relacionada à integridade do documento, nele pode ser observando a existência de rasuras ou modificações no documento.
  3. A segunda propriedade a ser verificada é a autenticação do assinante. Essa verificação é feita comparando a assinatura presente no documento com alguma referência de assinatura da pessoa.

Para verificar a autenticidade do documento ainda pode ser utilizado o conceito da irretratabilidade, mas o nosso objetivo é fazer uma analogia simples entre a assinatura digital com uma de próprio punho.

Por isso, a assinatura digital busca o mesmo objetivo da tradicional, ao assinar digitalmente um documento é possível através de recursos da tecnologia verificar a integridade e sua autenticidade e assim reduzir a possibilidade de problemas com a integridade das informações.

Integridade de um documento digital

Na prática, para se garantir a integridade de um documento digital quanto ao seu conteúdo é verificado se o conjunto de dados do qual ele é composto se mantém no seu conteúdo original ou na forma que foi aprovado.

Para isso a tecnologia empregada na assinatura digital faz o uso de duas tecnologias, sendo uma função de resumo criptográfico, que realiza um cálculo sobre todos os bytes do documento, para gerar um valor, determinado como resumo criptográfico e a criptografia de chave privada.

Portanto, esse código de integridade será usado sempre quando for necessário verificar a integridade deste documento eletrônico. Desta forma é possível verificar se o documento apresenta qualquer tipo de diferença em relação ao original e a criptografia garante a autenticidade deste valor.

Autenticidade de uma assinatura digital

Sendo garantido que o conteúdo é válido diante da versão apresentada é preciso legitimar a autenticidade da assinatura utilizada. Diferente da forma tradicional vamos utilizar mais uma vez a tecnologia para garantir o que foi assinado.

Para isso são utilizados basicamente chaves de criptografia que realizam toda a verificação sobre a autenticidade daquela assinatura, afastando de vez as chances de eventuais problemas com a integridade das informações.

Além disso, vale destacar a importância da assinatura digital nos processos de autenticação. Implantar tecnologias digitais associadas a políticas de segurança da informação é o primeiro passo para reduzir riscos de incidentes, garantir a confidencialidade e evitar problemas com a integridade das informações de clientes, funcionários, fornecedores e da própria empresa.

Por fim, o uso do ambiente digital é uma realidade, principalmente no momento em que estamos em um período intenso de transformação digital que tem impacto para empresas e clientes.

Para saber mais sobre assinatura digital e ficar por dentro das novidades e tecnologias E-VAL, assine nossa newsletter e continue nos acompanhando através do nosso perfil do Linkedin.

Leia mais
A inteligência artificial pode ser usada em ciberataques?

A inteligência artificial pode ser usada em ciberataques?

A resposta é tão afirmativa para esse questionamento que a Inteligência Artificial já ocupa o centro das grandes preocupações relacionadas aos ciberataques.

Isso é interessante, uma vez que à medida que a Inteligência Artificial se torna uma ameaça, ela também é um importante recurso a ser aplicada à segurança cibernética.

O que temos na verdade é a Inteligência Artificial sendo incorporada em um conjunto de produtos e serviços de segurança visando evitar ciberataques, enquanto isso, a tecnologia também pode introduzir novas ameaças.

Inteligência Artificial: herói ou vilão?

Na famosa conferência de segurança Black Hat, a empresa de segurança SparkCognition revelou o primeiro sistema antivírus “cognitivo” baseado em Inteligência Artificial (IA), chamado DeepArmor.

O DeepArmor tem como objetivo proteger as redes contra ameaças de ciberataques combinando técnicas de IA, como redes neurais, heurísticas, ciência de dados e processamento de linguagem natural, com antivírus para localizar e remover arquivos maliciosos.

Chegamos a uma grande questão, e quando os ciberataques são projetados com base na Inteligência Artificial? A mesma tecnologia que protege tem o potencial para atacar, essa é a realidade.

Para entender essa possibilidade basta lembrar o conceito da IA. A Inteligência Artificial basicamente é a simulação de processos de inteligência humana por máquinas.

Esses processos incluem o aprendizado (a aquisição de informações e regras para usar as informações), o raciocínio (usando as regras para chegar a conclusões aproximadas ou definitivas) e a autocorreção.

Os exemplos da IA atualmente demonstram a capacidade para adaptar-se em diferentes circunstâncias, no qual há diversas técnicas e ferramentas, tais como:

  • Aprendizado de máquina;
  • Aprendizado profundo;
  • Processamento de linguagem natural;
  • Entre outros.

Ao mesmo tempo que IA pode ser utilizado para nossa proteção, isso também nos faz pensar que a Inteligência Artificial representa uma série de ameaças à segurança cibernética, com usos maliciosos e de potencial risco.

A Inteligência Artificial e sua evolução

Em relação ao mercado, a Inteligência Artificial está em ampla expansão. Você já deve acompanhar o quanto essa avançada tecnologia é aplicada em diferentes setores.

Ela integra a forte transformação digital que ocorre atualmente, e os novos produtos e serviços surgem a cada ano, aumentando a expectativa das empresas que investem em sua aplicabilidade.

Em exemplos práticos, notamos a indústria evoluindo seus processos produtivos com base na automação integrada a IA, gerando produtos de melhor qualidade e reduzindo consideravelmente seus custos de produção.

Vale destacar também a aplicação da Inteligência Artificial no mercado digital. Temos os chatbots auxiliando os consumidores no atendimento e suporte e os assistentes virtuais associados a Internet das Coisas, prometendo uma grande revolução nos próximos anos.

Por outro lado, à medida que a capacidade da Inteligência Artificial aumenta e se torna mais poderosa, é possível prever ao mesmo tempo uma expansão das ameaças e ataques virtuais.

A introdução de novas ameaças à medida que os invasores adquirem o conhecimento técnico e criam as próprias vulnerabilidades com uso da Inteligência Artificial nos leva a ter a certeza sobre como será a eficácia dos ciberataques.

A evidência de ciberataques destaca a necessidade de estarmos preparados

Existe uma guerra silenciosa acontecendo e ela gira em torno da cibersegurança.

Os ciberataques em setores estratégicos dos governos, a exemplo de estações de energia,  controle de tráfego aéreo e sistemas de transporte, não são novidade e por isso, eles já deveriam estar se preparando.

O site HACKMAGEDDON, está sempre divulgando estatísticas de ataques cibernéticos. Os números de junho apresentados figura abaixo, mostram que 12,5% inclui ciberataques de espionagem, que pode incluir governos, além de que 84% dos ciberataques tem objetivos criminosos.

https://i2.wp.com/www.hackmageddon.com/wp-content/uploads/2018/07/June-2018-Stats-Featured.jpg?resize=800%2C445&ssl=1

Figura 1: Ciberataques Junho. Fonte: hackmageddon

A vulnerabilidade existente nesses setores nos mostra a necessidade de proteger e monitorar os sistemas de controle conectados à Internet de forma cada vez mais rigorosa.

O potencial para esses ataques vem crescendo há vários anos à medida que mais sistemas se conectam e surgem novas tecnologias como a Inteligência Artificial.

Essa preocupação também se aplica às empresas de setores estratégicos, uma vez que, aumenta o risco de segurança cibernética de uma infraestrutura considerada crítica.

É importante que as empresas monitorem ativamente e protejam suas redes de dados e soluções de gestão e produção, e um aspecto importante dessa preocupação é ter visibilidade completa dos ativos de TI e seus riscos de segurança.

Com a Inteligência Artificial o uso da criptografia está em risco?

Como nós já sabemos, a criptografia é um dos principais alicerces da Internet. Ele permite a troca confiável de informações entre duas entidades na web, além de proteger a identidade das pessoas on-line.

Sem essa tecnologia, as instituições financeiras não poderiam transferir dinheiro on-line e as empresas não poderiam compartilhar documentos pela Internet, entre outros vários exemplos.

Infelizmente, a criptografia está sob ataque, e não é de hoje, muito menos graças a Inteligência Artificial. As tentativas que buscam quebrar sua complexidade incluem o uso de backdoor até algoritmos que tentam “quebrar” a criptografia para obter acesso a dados confidenciais.

A Inteligência Artificial entra como mais um fator de ameaça aos sistemas considerados seguros e que nos garantem a realização de milhões de transações financeiras ao redor do mundo.

Com a Inteligência Artificial aplicada ao ciberataques, o mundo está perdido?

Não é preciso ir muito longe em nossa história para lembrarmos os casos em que o avanço tecnológico serviu tanto para o bem quanto para o mal.

O grande perigo nessa rápida evolução da tecnologia encontra-se justamente em sua velocidade. Isso demonstra que será necessário iniciativas proativas para ficarmos à frente dos cibercriminosos.

Os primeiros passos a serem dados na prevenção dos ataques virtuais utilizando IA serão o investimento em políticas de segurança e o incentivo a pesquisa e desenvolvimento, visando principalmente, a criação de instituições de pesquisa, desenvolvendo publicações e regimes de compartilhamento que favoreçam segurança, assim como promover uma cultura de responsabilidade através de normas e padrões e desenvolver soluções tecnológicas e políticas que possam ajudar a construir um futuro mais seguro com a IA.

É preciso ainda implementar grupos especializados e dedicados que integrem o governo e a iniciativa privada na verificação formal de ameaças, na divulgação de vulnerabilidades da IA e em ferramentas de segurança e hardware seguro.

A Inteligência Artificial também vai nos proteger dos ciberataques

Apesar de termos um cenário preocupante com o potencial uso da Inteligência Artificial em relação aos ciberataques, vale lembrar que ela também será usada a nosso favor.

O risco existe, mas a experiência também nos mostra que precisamos fazer a nossa parte, e como você já viu, a IA tem o potencial para nos proteger, além de trazer vários benefícios em diversas áreas.

A estratégia a ser utilizada é uma abordagem de segurança contínua, porque sempre haverá riscos, e as organizações precisam ter a capacidade de lidar com eles e reduzir esse risco a um nível gerenciável o tempo todo.

Adicionalmente, não podemos esquecer da importância dos profissionais de cibersegurança em toda essa evolução, das ferramentas, políticas e processos aplicados à segurança de dados e da prevenção contra-ataques.

A indústria e governo devem fazer mais para conscientizar sobre a profissão de segurança cibernética além das políticas e boas práticas a serem utilizadas na prevenção e tratamento a incidentes.

Existe muito a se fazer e, assim como em outras ameaças,  este texto sugere a busca constante para garantir a segurança da informação das empresas e de seus usuários.

Assine nossa Newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e nosso perfil do Linkedin.

Leia mais
CIAB FEBRABRAN 2018: Confira tudo que aconteceu no evento!

Inovação e muita tecnologia marcaram o evento da CIAB FEBRABAN 2018. Com um recorde de público, foram mais de 23.000 participantes acompanhando a 3.150 congressistas. E mais uma vez a participação da E-val foi um sucesso, pois foi melhor que o CIAB 2017 e já foi ótimo.

 

O evento que acontece a quase 30 anos, se tornou uma referência no mercado no que diz  a respeito de tecnologia de ponta, gestão e segurança. Foram mais de 150 expositores, debates e palestras discutindo vários temas da atualidade e do segmento.

Acompanhe no artigo alguns pontos de destaque, que já estavam na pauta.

Open Banking foi um dos principais temas do evento

Um dos principais temas da edição 2018 do CIAB FEBRABAN, o Open Banking surge como uma ruptura que acontece no setor financeiro e como uma grande oportunidade para o desenvolvimento de novos negócios neste setor.

Entre os principais temas abordados sobre Open Banking foram:

  • O avanço do Open Banking na Europa.

  • O estágio em que o Brasil se encontra atualmente e iniciativas que surgem.

  • Os impactos para o setor financeiro e a expectativa de transformação para o mercado e clientes.

  • Os primeiros produtos e serviços criados já disponíveis para o mercado consumidor.

Foi unânime a opinião dos especialistas durante o evento, demonstrando que o Open Banking vai trazer para o mercado grande competitividade, inovação, tecnologia de ponta, oportunidades para novos negócios e diversos benefícios para os usuários.

Ainda sobre o tema, as discussões ficaram em torno dos riscos ligados a segurança da informação e proteção de dados, o papel das Fintechs e a adequação da legislação brasileira.

A expectativa é sobre o mercado que surge com o Open Banking, ele deve agitar bastante o mercado para diversos setores, gerando bastante concorrência no setor financeiro e beneficiando principalmente os consumidores, dando a eles novas oportunidades e poder de escolha.

A transformação digital no centro das atenções

O impacto da transformação digital nos negócios também foi um assunto que movimentou o evento CIAB FEBRABAN 2018.

Diversos influenciadores e executivos de referência no mercado debateram sobre o tema da transformação digital, apresentando importantes pontos de destaque em relação à inovação de produtos e serviços, hábitos de consumo e o consumidor digital.

Muita coisa ainda está por vir, mas dentro do segmento financeiro a transformação digital já é real e cada vez mais presente nos processos de negócios e na formação de uma nova cultura digital.

Para quem pode participar do CIAB FEBRABAN 2018 foi possível perceber o quanto a combinação da inovação tecnológica junto com as novas tendências de mercado estão proporcionando aos clientes uma nova experiência de consumo.

É possível perceber através das empresas participantes do evento, a exemplo da E-Val, que para a transformação digital alcançar o sucesso serão necessárias importantes ferramentas de suporte para essa nova era.

  • Tecnologia de ponta associada a inovação

  • O mobile e as telecomunicações

  • A inteligência de dados

  • As redes sociais

  • Alta conectividade

Diante do grande impacto da transformação digital outros temas foram abordados durante o evento CIAB FEBRABAN 2018.

  • Inteligência Artificial

  • Blockchain

  • Metodologias Ágeis

  • Robótica

  • Computação em nuvem

  • Internet das Coisas (IoT)

  • Entre vários outros.

Vale destacar que os dispositivos móveis serão parte fundamental nesse processo de transformação, uma vez que temos os consumidores cada vez mais conectados, tomando decisões e realizando suas principais transações financeiras utilizando Smartphones e Wearables.

Segurança da informação e proteção de dados, uma grande preocupação no evento

Tratando-se de um segmento tão sensível quanto o financeiro os temas ligados à segurança da informação e a proteção de dados dos clientes teve um importante destaque no evento CIAB FEBRABAN 2018.

Novas tecnologias e ferramentas foram apresentadas como importantes recursos para o combate aos ataques virtuais e roubo de dados.

Entre expositores e especialistas a opinião converge quanto à importância aos temas ligados segurança da informação. Ela se torna cada vez mais prioritário e necessário para garantir a realização das transações financeiras e para assegurar a integridade dos clientes.

A participação da E-Val no CIAB FEBRABAN 2018

Consolidando ainda mais a nossa participação no evento CIAB FEBRABAN 2018 a E-Val se destacou através da inovação e tecnologia com uso das nossas soluções de segurança da informação.

Nosso estande se tornou um importante ponto de encontro entre especialistas da área de segurança, do setor financeira e empresários de diversos segmentos. Em convergência com o evento CIAB FEBRABAN 2018, a E-Val teve participação ativa em vários temas.

Além disso, tivemos uma excelente oportunidade para realizar um grande networking com diversos profissionais, onde discutimos sobre empreendedorismo, Fintechs, Inteligência Artificial e o futuro das empresas e do mercado consumidor.

Sem dúvida todas as nossas metas foram alcançadas para o evento e conseguimos superar todas as expectativas quanto ao público e aos temas abordados em todos os dias do evento.

Com a certeza da missão realizada com sucesso, só temos a agradecer a todos que nos visitaram, a organização do evento e apoiadores e já agendar com você nosso próximo encontro na edição CIAB 2019 que acontecerá entre os dias 11 e 13 de junho. Até lá.

Leia mais
A verdade que ninguém nunca contou a você sobre perda de chaves

Atualmente, o roubo de dados e requisitos de conformidade regulamentar causaram um aumento drástico no uso de chaves de criptografia nas empresas.

É muito comum, por exemplo, que uma única empresa use várias dezenas de ferramentas de criptografia diferentes, possivelmente incompatíveis, resultando em milhares de chaves de criptografia.

Em um mundo perfeito, a Gestão de Chaves Criptográficas tem a responsabilidade pela administração, proteção, armazenamento e o backup de chaves de criptografia.

Afinal, cada chave deve ser armazenada com segurança, protegida e recuperável. Porém, a realidade é outra e você deve saber bem como termina essa história quanto a perda de chaves.

A importância do armazenamento e backup de chaves de criptografia

O gerenciamento de chaves significa proteger as chaves de criptografia contra perda e acesso não autorizado.

Muitos processos devem ser usados ​​para fazer o controle e a gestão de chaves. Isso inclui alterar as chaves regularmente, gerenciar como as chaves são atribuídas e quem as recebe.

A experiência nos mostra que a perda de chaves nos leva a um grande impacto em importantes processos de negócio das empresas.

Isso faz com que ocorra a perda de acesso a sistemas e dados, bem como torna um sistema completamente inútil, a menos que seja formatado e totalmente reinstalado.

Vale destacar que é essencial para qualquer empresa atualmente, ter mais de uma pessoa responsável pelo armazenamento e backup das chaves de criptografia.

Desta forma, somos direcionados a diversas boas práticas do mercado. Temos por exemplo, as funções dos responsáveis definidas e a criação de uma política de gerenciamento de chaves de criptografia eficiente e acessível a todos.

Entretanto, temos um grande desafio pela frente. Um dos grandes problemas conhecidos é a falta de ferramentas unificadas para reduzir a sobrecarga do gerenciamento.

Um sistema de gerenciamento de chaves comprado de um fornecedor não pode gerenciar as chaves de outro fornecedor. Isso é devido ao fato que cada um implementa um mecanismo de gerenciamento de maneira própria.

Você provavelmente deve estar recordando de alguns fatos relacionados a falta de um armazenamento eficiente. Inclusive os casos de perda de chaves e os impactos para a empresa.

A perda de chaves expõe dados de pessoas e empresas

A perda ou a exposição de chaves de criptografia nunca será uma boa experiência. Imagine, por exemplo, um desenvolvedor armazenando acidentalmente as chaves em um repositório público?

Infelizmente este é um cenário provável e que pode acontecer facilmente para qualquer tipo de chaves de criptografia em diferentes empresas.

Alguém pode enviar acidentalmente as chaves em um código fonte ou através de qualquer envio de um conjunto de arquivos ou dados.

Seja na nuvem ou em data centers próprios, as empresas precisam construir uma estratégia de gerenciamento que evite a perda das chaves e/ou exposição indevida.

Como vimos anteriormente, as chaves devem ser mantidas em armazenamento seguro e com acesso limitado àqueles que precisam delas para o seu trabalho.

Por isso, algumas empresas utilizam aplicativos de proteção contra perda de chaves.

Elas servem para verificar o tráfego na rede em busca de vazamentos de dados. Assim como detectar a divulgação acidental ou maliciosa de informações confidenciais ou particulares.

Não apenas a gestão deficiente de chaves pode levar a servidores comprometidos. Mas também se as chaves usadas para criptografar dados forem perdidas, os dados criptografados com essa chave também serão perdidos.

Portanto, não existe um substituto para o gerenciamento de chaves de criptografia.

Situações comuns que levam a perda de chaves criptográficas

Por ser algo de relativa complexidade para determinados funcionários das empresas. Assim como, é possível imaginar que a perda de chaves não aconteça com tanta frequência.

Entretanto, existem situações muito comuns em nossas rotinas que nos leva a cenários de perda de chaves:

  • O responsável pelas chaves esquece a senha de acesso à chave;
  • O funcionário responsável pelas chaves não lembra onde armazenou a chave;
  • O gestor possui uma quantidade de chaves enorme para gerenciar;
  • A pessoa encarregada pela responsabilidade das chaves sai da organização e quem fica acaba com um grande problema de gerenciamento.

A importância das chaves de criptografia é óbvia para os profissionais de segurança da informção. Mas a complexidade do gerenciamento delas, pode ser quase tão assustadora quanto os próprios algoritmos de criptografia.

Tudo se resume ao quanto é importante para as empresas controlarem as chaves

Antes de mais nada, é importante ver o que é uma assinatura digital e como ela funciona.

Uma assinatura digital é o equivalente a uma assinatura escrita. Seu propósito pode ser verificar a autenticidade de um documento ou verificar se o remetente é quem ele afirma ser.

Isso nos mostra a importância das chaves de criptografia em processos produtivos, Assim como, o impacto gerado pela perda das chaves em uma rotina das empresas, de diferentes segmentos ou tamanhos.

Em termos de gerenciamento de risco, o custo principal da perda de chaves. Isso por que incidirá principalmente em tornar as empresas alvo para sofisticados ataques virtuais. levando a prejuízos não só financeiros, mas também relacionado a imagem da organização.

Uma das práticas mais recomendadas para reduzir incidentes relativos aos ataques virtuais é a realização de auditorias. Isso por que essa prática auxilia identificar se as chaves estão sendo utilizadas e da forma correta.

Esse processo consiste em auditar a criptografia de chave pública para identificar fontes e dispositivos vulneráveis, de tokens a certificados TLS.

As estratégias de mitigação disponíveis dos fornecedores podem então ser revisadas e aplicadas de acordo com as prioridades baseadas no risco.

A solução para todos os problemas é…

Não faltam orientações sobre como gerenciar identidades digitais e como identificar a melhor opção para sua empresa, tudo depende do ambiente atual e dos recursos disponíveis.

Embora o uso de uma política mais forte de gestão possa ser a opção mais segura. Isso também pode resultar em custos significativos, as empresas devem se concentrar na melhoria contínua. Além disso, pode ajudar a gerenciar seus riscos a um preço compatível com sua realidade.

As empresas devem avaliar criticamente a forma como proteger seus sistemas e considerar as causas-raiz dos incidentes de segurança em seus ambientes como parte de uma avaliação de riscos.

É comum, por exemplo, vários incidentes de segurança relacionados a contas comprometidas. Principalmente em decorrência da falta do gerenciamento correto das chaves de criptografia.

À medida que os sistemas se tornam mais seguros e as empresas adotam medidas efetivas para gerenciar seus processos. Vale lembrar que iniciativas como a autenticação e gestão de chaves estão se tornando cada vez mais importantes.

Garantir que sua empresa esteja usando os processos de autenticação e autorização apropriados, Para isso, é necessário o uso de chaves criptográficas e com base na gestão de riscos. Pois, já é o primeiro passo para reduzir os riscos de incidentes e garantir a confidencialidade dos dados de clientes e funcionários.

Aproveite o final do nosso artigo e responda a seguinte pergunta: Qual é a estratégia de gerenciamento de chaves de criptografia adotada por sua empresa atualmente?

Assine nossa Newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin.

Leia mais
6 passos simples para evitar vazamento de dados

O vazamento de dados teve destaque nos principais sites e noticiários nos últimos tempos. Recentemente por exemplo vimos um grande escândalo envolvendo o Facebook. O que nos chamou mais atenção nesse vazamento foi verificar o quanto estamos vulneráveis. Além disso, quanto isso pode ser danoso em nossas vidas e também para as empresas.

Infelizmente sempre teremos esse risco, entretanto, com algumas ações simples podemos reduzir as chances de isto acontecer. Assim como, é possível minimizar os impactos para os clientes quando esse tipo de incidente ocorrer.

  1. Conscientização é o primeiro passo para reduzir o vazamento de dados

Primeiramente, vamos falar em conscientização, muitas empresas ainda tratam a segurança dos dados com restrição. É comum esse tipo de comportamento quando são associados a necessidade de investimentos especializados. Esse é um erro estratégico.

A realidade mostra que investir em segurança da informação é fundamental, principalmente em um momento que temos clientes cada vez mais conectados e realizando operações financeiras online.

Antes de qualquer ação ou investimento a ser feito, a conscientização é o primeiro passo para garantir a segurança dos dados corporativos e dos clientes.

Portanto, é preciso entender que um vazamento de dados é um incidente que expõe dados confidenciais ou protegidos de forma não autorizada, causam prejuízos financeiros e de imagem, para as empresas e pessoas.

Além disso,  o roubo de dados pode envolver informações pessoais, de identificação pessoal, segredos comerciais ou propriedade intelectual. Os tipos de informações mais comuns em um vazamento de dados são os seguintes:

  • Números de cartão de crédito;
  • Identificadores pessoais como CPF e identidade;
  • Informações corporativas;
  • Listas de clientes;
  • Processos de fabricação;
  • Código-fonte de software.

Os ataques virtuais costumam ser associados às ameaças avançadas, visando a espionagem industrial, interrupção de negócios e roubo de dados.

Como evitar violações e roubo de dados

Por isso, não há nenhum produto ou controle de segurança que possa impedir violações de dados. Essa afirmação pode parecer estranha para nós que trabalhamos com tecnologia, afinal, para que servem os diversos ativos de hardware e software específicos para área de segurança?

Os meios mais razoáveis ​​para impedir violações de dados envolvem boas práticas e incluem noções básicas de segurança bem conhecidas, veja alguns exemplos:

  • A realização de testes contínuos de vulnerabilidade e penetração;
  • Aplicação de proteções, que inclui processos e políticas de segurança;
  • Uso de senhas fortes;
  • Uso de hardware de armazenamento seguro de chaves;
  • Uso de hardware para gerenciamento de chaves e proteção de dados;
  • Aplicação consistente dos patches de software para todos os sistemas.

Embora essas etapas ajudem a evitar intrusões, os especialistas em segurança da informação, a exemplo da E-VAL, incentivam o uso de criptografia de dados, certificados digitais e autenticação dentro do conjunto de boas práticas recomendadas.

Além disso conheça os outros 5 passos para evitar o vazamento de dados

O aumento do uso de aplicativos e o armazenamento de dados na nuvem causou um aumento da preocupação do vazamento e roubo de dados.

Por isso, os passos que vamos descrever consideram a computação em nuvem como a principal infraestrutura de TI adotada pelas empresas para hospedar seus produtos, serviços e ferramentas que fazem parte do processo produtivo.

  1. Desenvolva um plano de resposta a vazamento de dados

Pode parecer estranho a recomendação de um plano de resposta vir antes da construção de políticas e processos de segurança, mas vai fazer sentido. Na verdade, não existe uma ordem certa na elaboração dos documentos, até porque a construção será feita a várias mãos e são independentes.

Um plano de resposta a vazamento de dados consiste em um conjunto de ações destinado a reduzir o impacto do acesso não autorizado a dados e a mitigar os danos causados ​​se uma violação ocorrer.

Dentro do processo de elaboração, existem etapas, que quando bem definidas, vão servir de base para elaboração de suas políticas e processos de segurança. Para você ter uma ideia o desenvolvimento desse plano nos traz abordagens do tipo:

  • Análise de impacto nos negócios;
  • Métodos para recuperação de desastre;
  • Identificação dos dados confidenciais e críticos da sua organização;
  • Definição de ações para proteção com base na gravidade do impacto de um ataque;
  • Avaliação de riscos do seu ambiente de TI e identificação de áreas vulneráveis;
  • Análise da atual legislação sobre violação de dados;
  • E outros pontos críticos.

Citamos alguns pontos, mas um plano de resposta a vazamento de dados aborda outras áreas que também servem de base para a construção das políticas de segurança.

Como estamos considerando um ambiente na nuvem, a estratégia a ser construída no plano de resposta a vazamento de dados deve ter a participação do fornecedor da infraestrutura de nuvem.

Vale destacar ainda que muitos dos recursos disponíveis na nuvem já possuem características próprias que ajudam na construção e execução dos planos.

  1. Ter uma política de segurança da informação que contemple a proteção dos dados

Uma política de segurança geralmente é considerada um “documento vivo”, o que significa que ela nunca é concluída, sendo continuamente atualizada à medida que os requisitos de tecnologia e estratégias da empresa mudam.

A política de segurança de uma empresa deve incluir em seu conteúdo uma descrição de como a empresa realiza a proteção dos ativos e dados da empresa.

Neste documento é apresentado ainda uma definição de como procedimentos de segurança serão executados e os métodos para avaliar a eficácia da política e como as correções necessárias serão feitas.

Vale lembrar, que faz parte das políticas de segurança a adoção do termo de responsabilidade assinado pelos colaboradores para que eles se comprometam com a segurança da informação e o não vazamento de dados.

Assim como o plano de resposta a vazamento de dados, a política de segurança também é um documento amplo com vários pontos, mas que não foram descritos neste artigo.

  1. Certifique-se de ter uma equipe treinada

Assim sendo, como você deve saber, treinamento é um ponto crucial para evitar o vazamento de dados. A capacitação de funcionários aborda a segurança em vários níveis:

  • Ensina aos funcionários sobre situações que possibilitam vazamentos de dados, a exemplo das táticas de engenharia social;
  • Garante que os dados sejam criptografados à medida que ações sejam executadas conforme as políticas e planos de segurança;
  • Certifica que os processos envolvidos sejam os mais dinâmicos e automáticos, de forma atingir a conformidade das legislações;
  • Assegura a conscientização dos funcionários quanto a importância da segurança da informação, reduzindo riscos de ataques.
  1. Adote ferramentas eficazes na proteção dos dados

Em uma arquitetura de nuvem adotada pelas empresas, a existência e uso de ferramentas que contribuam para garantir a segurança da informação é obrigatória. Além de ativos de hardware e software deve-se encontrar como recursos:

  • Ferramentas para monitorar e controlar o acesso à informação;
  • Ferramentas para proteger o dado em movimento (canal SSL/TLS);
  • Ferramentas para proteger o dado em repouso (em banco de dados e arquivos);
  • Ferramentas para proteger o dado em memória;
  • Ferramentas de prevenção à perda de dados (DLP).

Em resumo, as abordagens adotadas por essas ferramentas são úteis e obrigatórias. De certo, quando o objetivo é bloquear a saída de informações confidenciais. Elas são fundamentais para reduzir o risco de vazamento de dados quando gerenciados através de serviços de infraestrutura na nuvem.

  1. Teste seu plano e as políticas, abordando todas as áreas consideradas de risco

Da mesma forma que as outras seções descritas sejam importantes, o valor de realizar verificações. Igualmente, as validações das políticas e dos planos de segurança fazem deste último passo um dos mais críticos.

Como resultado, a empresa deve realizar auditorias profundas para garantir que todos os procedimentos funcionem de forma eficiente e sem margem para erros. Porém, para muitos, a etapa de testes deve ser uma das partes mais desafiadoras. Então a área de segurança da informação deve sempre buscar evitar o vazamento de dados.

Por outro lado, é muito difícil colocar em execução todos os procedimentos descritos. Principalmente devido ao fato de que temos as operações da empresa sendo executadas em pleno vapor. Quando não planejado corretamente, os testes podem causar forte impacto na rotina da organização.

Entretanto, essa validação é fundamental para a sobrevivência da empresa em relação ao vazamento de dados e não pode ser negligenciada.

Por fim, os passos descritos no artigo certamente vão ajudar sua empresa na prevenção de incidentes de segurança. Apesar de uma aparente complexidade é plenamente possível adotá-los e ter sucesso na prevenção ao vazamento de dados.

Enfim, aproveite e assine nossa newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e aproveitando nosso perfil do Linkedin para estar sempre informado.

Leia mais
Afinal, o que é Open Banking?

O Open Banking está chegando e ele vai mudar a maneira como lidamos com dinheiro em nosso dia a dia. De forma semelhante ao que aconteceu com o Internet Banking, a nossa forma de realizar operações bancárias será transformada.

E essa mudança, que começou de forma invisível, está tomando força e vem fazendo parte das diversas inovações tecnológicas que acompanham a transformação digital atual.

Mas afinal no que consiste o Open Banking e quais são as transformações associadas a esse novo conceito? Nosso objetivo é esclarecer essa dúvida, que foi um dos temas debatidos no CIAB 2018,  e apresentar toda a tecnologia que está por trás deste novo paradigma.

O conceito do Open Banking

Com o potencial de causar uma ruptura em vários paradigmas ligados à forma como as instituições financeiras operam, o Open Banking muda conceitos e torna mais fácil a concorrência entre os bancos e a criação de novos produtos e serviços, beneficiando a todos os clientes.

O Conceito de Open Banking consiste em permitir aos bancos compartilhar dados de clientes com empresas ou aplicativos de terceiros de forma segura e em tempo real, através do uso de plataformas abertas de interface de aplicativos, conhecida também como APIs.

O objetivo desse compartilhamento basicamente é tornar esses dados acessíveis a empresas de desenvolvimento permitindo que elas possam criar uma melhor experiência para o cliente em relação às transações bancárias.

O mais importante no que diz respeito ao compartilhamento de informações dos clientes tem relação aos dados contidos nas transações. Os bancos detêm o registro oficial de tudo o que gastamos e emprestamos.

Desde contas de luz a pagamentos de hipotecas, até gastos semanais em viagens de trem e café mas, na maior parte das vezes, essa informação não é aproveitada em benefício dos clientes.

Ao possibilitar a transmissão dessa rica informação a terceiros, o Open Banking permite a criação de novas soluções. Não é um aplicativo ou um serviço por si só. É uma nova maneira de como usamos o nosso dinheiro.

Com desenvolvimento de soluções de acordo com o conceito do Open Banking é possível tornar a visão dos clientes sobre suas finanças mais precisa e eles podem comparar, analisar e gerenciar contas com mais eficiência ou tomar decisões financeiras mais sólidas.

Como funciona o Open Banking

A primeira dúvida que surge com o uso do Open Banking é quem faz o compartilhamento das informações bancárias? O titular da conta. É ele que deve dar sua aprovação explícita a qualquer tipo de troca de dados.

Na verdade é dado aos consumidores controle sobre seus dados. Essas informações incluem alguns registros simples até detalhes exatos de determinados produtos bancários.

Além disso, o Open Banking depende dos bancos que devem compartilhar suas APIs com terceiros. Em uma visão mais ampla, as APIs são o que acontece no back-end de um software para que a conexão com outras soluções.

Por isso, imagine um tubo conectando dois componentes de software e, por meio dele, o tráfego de dados bancários, de forma bem simplificada é isso que basicamente acontece.

Assim, em um ambiente bancário aberto, as APIs dos bancos estão disponíveis para desenvolvedores externos para o desenvolvimento de outros aplicativos, com o objetivo de que o cliente tenha tantos recursos quanto possível para visualizar ou entender suas finanças.

E como fica a questão da segurança?

Os especialistas dizem que o compartilhamento de informações de contas por meio de APIs é muito mais seguro do que o antigo método de inserir informações de contas manualmente, e portanto com menos riscos a ataques virtuais e roubo de dados.

De um ponto de vista técnico, o Open Banking é considerado tão seguro quanto o Internet Banking.

As APIs são confiáveis ​​e a lei exige o uso de uma autenticação forte do cliente e um procedimento que permite que o provedor de serviços de pagamento verifique a identidade do usuário e do serviço.

Vale destacar ainda que qualquer pessoa que use um serviço de Open Banking não precisará compartilhar seu login bancário ou sua senha com ninguém além do banco.

Em resumo, não compartilhamos o nosso acesso ao banco e sim os dados contidos nas transações. Portanto é muito importante que as instituições envolvidas priorizem a segurança da informação, assim como proteger os dados para que não vazem, e se vazarem não ter valor algum para quem roubar os dados.

O que isso significa para nós consumidores?

O objetivo final do Open Banking é a criação de um universo de aplicativos que usam as informações da sua conta bancária para oferecer uma gama tão ampla de produtos quanto possível, para atender às necessidades do cliente.

Os benefícios dessa transformação incluem a transferência mais fácil de fundos e a comparação de ofertas de produtos, em custos mais baixos, melhor uso da tecnologia e melhor atendimento ao cliente.

Isso quer dizer que o Open banking tem o potencial para transformar a relação dos consumidores com produtos financeiros, permitindo por exemplo:

  • Melhorar a gestão do dinheiro

No momento, se você tem contas com dois bancos diferentes, então você tem que olhar para elas separadamente. Isso porque os sistemas dos bancos são totalmente incompatíveis.

O Open Banking permitirá que você os veja ao mesmo tempo, o que deve facilitar o gerenciamento do dinheiro. É possível por exemplo, painéis que mostram a entrada e saída de dinheiro entre as contas.

  • Vai facilitar a gestão de investimentos e empréstimos

Quando você toma um empréstimo ou vai realizar algum investimento, você precisa comprovar que tem condições de pagá-lo e o limite que pode ser utilizado.

O Open Banking permitirá que você forneça todas as informações necessárias online, incluindo, por exemplo, seu histórico de gastos. Além disso permitirá também, fornecer informações sobre investimentos nos últimos anos.

  • Simplifica a realização de pagamentos

O atual sistema de pagamento é muito complicado. Atualmente, ao realizar uma compra o varejista entra em contato com um adquirente. Que por sua vez estabelece a comunicação com a administradora do cartão para receber o pagamento da sua conta.

Ao ter acesso aos dados dos bancos, o Open Banking permite pagar diretamente de uma conta bancária. De certo, pagar diretamente deve ser mais rápida e barata. Pois, atualmente vários intermediários cobram por cada serviço. O banco autentica a compra sem envolver outras organizações.

Além de poder ver todas as suas contas e investimentos em um só lugar. Aind amais, o Open Banking  procura agregar valor aos clientes com uma variedade de recursos inteligentes em diferentes camadas.

Também inclui análise de gastos e a gestão do saldo, mostra dinamicamente quanto um usuário deixou em suas contas correntes. Inclusive após a realização de pagamentos, enfim, é possível oferecer aos clientes maior controle. Assim o Open Banking irá trazer facilidade para nossas vidas por meio de aplicativos.

É o fim da desagregação e a intermediação dos serviços bancários, tornando-se mais desmembrado, mais modular.

Portanto, estamos passando de uma era de serviços bancários físicos para um banco conectado à serviços digitais. E o Open Banking começa a reformular o setor bancário e nosso papel nele. Dessa forma, é muito mais do que fornecer produtos e serviços, é tornar uma plataforma independente e conectada. Inclusive permitindo aos clientes navegarem por aí, tomando decisões financeiras com mais liberdade e segurança.

Por fim, mais um vez temos a transformação digital definindo um novo paradigma em nossas vidas. Já parou para pensar o quanto estamos sendo transformados com o impacto de tanta tecnologia?

Assine nossa Newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos e também em nosso perfil do Linkedin.

Leia mais
CIAB FEBRABAN 2018 se aproxima e debaterá o tema inteligência exponencial.

O CIAB 2018, evento promovido pela FEBRABAN, está se aproximando. O congresso acontece entre os dias 12 e 14 de junho no Transamérica Expo Center em São Paulo.

E-VAL, mais uma vez, estará presente no evento e você é nosso convidado para um bom bate papo sobre segurança, muita inovação e tecnologia.

Além da oportunidade e o prazer que teremos em apresentar a E-VAL e nossas soluções em segurança a você. Estaremos presentes no estande E21 que será montado na feira, o CIAB 2018 é uma oportunidade única, de muito aprendizado e networking.

Bons motivos para participar do CIAB 2018

Para nós da E-VAL é a possibilidade de consolidar ainda mais o nosso pioneirismo e o compromisso em investir em iniciativas que possam garantir a segurança da informação ao Sistema de Pagamentos Brasileiros (SPB), e às diversas instituições financeiras associadas.

Para você visitante, seja empresário, profissional de TI e segurança da informação e até mesmo estudante, o CIAB 2018 ocorre em uma ocasião especial. Estamos a pleno vapor em uma época ligada a Transformação Digital, no qual mudanças nos processos produtivos das empresas e fortes rupturas quanto ao comportamento do consumidor.

Conheça mais alguns bons motivos para não perder o CIAB 2018 de forma nenhuma:

  1. É um investimento profissional de retorno certo

Vai muito além de um networking de profissionais de TI e segurança da informação. Na nossa visão é a possibilidade de trocar experiências com profissionais nacionais e internacionais, especialistas que vivenciaram diferentes projetos.

Essa experiência de erros e acertos, boas práticas adquiridas e comprovadas em situações diversas. Um aprendizado para toda a vida principal.

  1. É um momento único para falar sobre Segurança da Informação e a Transformação Digital

Este ano, o tema principal da CIAB 2018 será Inteligência Exponencial. Isso quer dizer que assuntos como Inteligência Artificial, Machine Learning e outras recentes tecnologias serão abordadas com a ótica do mercado financeiro.

Vamos associar a transformação digital atual às soluções ligadas ao Mercado Financeiro, Seguros, Meios de Pagamento, Infraestrutura Digital e Sustentabilidade.

  1. Uma boa hora de pensar no futuro

Um dos pontos principais no evento da CIAB 2018 é a oportunidade de debatermos o futuro da tecnologia e do mercado financeiro.

Teremos a chance de pensarmos, em termos de segurança e proteção de dados, como integrar a computação em nuvem, as metodologias ágeis e tecnologias inovadoras como a Internet das Coisas (IoT).

É hora de buscar responder dúvidas de como garantir a proteção de dados, voz, imagens e vídeos em uma era onde temos consumidores cada vez mais conectados e exigentes. Sem perder performance e reduzir riscos.

  1. Será o momento do empreendedorismo

A FEBRABAN traz para o evento um tema atual e importante para nossa economia, o empreendedorismo. O “Fintech Day” será a plataforma de conexão de startups com os grandes bancos. Com 14 startups tecnológicas reunidas em um lounge que também abrigará um campeonato de pitches e será palco para a final do Hackathon que ocorrerá durante o congresso.

Mais uma vez, vale ressaltar o momento que estamos vivendo atualmente. Temos o grande impacto da alta conectividade através dos dispositivos móveis, com movimentações financeiras convergindo para smartphones e wearables e novos produtos e serviços sendo criados com tecnologias de ponta.

O CIAB 2018 será o ponto de encontro para se atualizar e ampliar relacionamentos e parcerias. Ele será o maior congresso de tecnologia da informação para o setor financeiro.

O sucesso do CIAB 2018 FEBRABAN acompanhada com a parceria da E-VAL é composto por um público altamente qualificado, formado por executivos do setor financeiro das áreas de tecnologia, pesquisas, inovação tecnológica, segurança da informação, meios de pagamento, serviços bancários, seguros, entre outros que frequentam os três dias do congresso e da exposição.

A trajetória do CIAB mostra o quanto a E-VAL está no caminho certo de estar presente no maior evento da América Latina de tecnologia da informação para o setor financeiro.  Em 2017, por exemplo, o evento bateu recordes de participantes, de palestrantes e patrocinadores.

Mais de 21 mil pessoas circularam pela exposição, uma área de 30 mil m2, estiveram presentes 3,74 mil congressistas, entre os quais 120 eram estrangeiros e teve o apoio de 43 patrocinadores.

Definitivamente você não pode perder o CIAB 2018, estaremos juntos, durante esses três dias de evento, debatendo muito sobre Segurança da Informação, inovação e tecnologia que vai transformar o mercado consumidor nos próximos anos.

Não deixe de visitar o estande da E-VAL, estaremos a sua disposição com nossas soluções, prontas para ajudar a sua empresa em garantir a segurança de dados em suas transações financeiras e nos processos produtivos. Nos vemos no CIAB 2018!

Leia mais
Sigilo e verificação de origem utilizando criptografia assimétrica

Quando falamos em criptografia é muito comum pensar apenas em técnicas de manutenção do sigilo da informação. No entanto, a criptografia pode ser utilizada em muitas outras situações. Nesse post trataremos do caso particular da aplicação de técnicas de criptografia assimétrica para a verificação de origem de uma mensagem.

Inicialmente, precisamos dizer que uma das características mais marcantes da criptografia assimétrica é a presença de um par de chaves, com uma parte pública e outra privada. Enquanto a parte pública pode ser divulgada a todos os interessados, a parte privada deve ser protegida e mantida secreta pela entidade detentora do par, seja ela uma pessoa ou sistema.

Esse par de chaves é algo muito especial, pois quando uma das chaves é utilizada para cifrar um dado, somente a chave parceira do par pode ser utilizada no processo inverso. E é essa característica que possibilita a existência de vários esquemas criptográficos na comunicação entre duas entidades.

Para facilitar o entendimento, vamos usar a analogia clássica, que pressupõe a existência de dois usuários, Alice (A) e Bob (B), cada qual com seu par de chaves. Alice e Bob trocam cartas (mensagens) entre si, e toda carta é colocada em um envelope que possui um cadeado especial, que quando fechado com uma das chaves, só pode ser aberto com a chave parceira do par.

Perceba que como temos dois pares de chaves, um para cada usuário, temos um total de 4 chaves que podem ser utilizadas para fechar o cadeado do envelope! Então qual chave deve ser utilizada? Bem, depende de qual serviço de segurança se deseja implementar no envio desta carta.

Se o desejo for garantir o sigilo da carta, Alice deve fechar o cadeado do envelope da carta utilizando a chave pública de Bob. Desta forma, a única chave que abre o cadeado do envelope é a chave parceira, ou seja, a chave privada de Bob. Lembrando que a chave privada de Bob, por definição, deve ser de conhecimento somente de Bob. Assim, somente Bob pode abrir o cadeado do envelope e retirar a carta.

Se o desejo for verificar a origem da carta, Alice pode fechar o envelope usando sua chave privada. Desta forma, a única chave que abre o envelope é a chave parceria, ou seja, a chave pública de Alice. Lembrando que a chave pública de Alice, por definição, é de conhecimento público. Assim, todos poderiam abrir o envelope utilizando a chave pública de Alice. Note que nessa situação, apesar da carta estar em um envelope lacrado com cadeado, não há sigilo do conteúdo, já que qualquer um pode abrir o cadeado do envelope utilizado a chave pública de Alice. O que há é a verificação da origem da carta (ou autoria do remetente), ou seja, para Bob verificar se a carta veio de Alice, basta abrir o cadeado do envelope com a chave pública de Aline.

Interessante notar que o serviço de sigilo também poderia ser implementado com criptografia simétrica (aquela que possui uma única chave), por ser muito mais rápida. Assim, é comum observar protocolos de segurança que utilizam esquemas híbridos com criptografia simétrica e assimétrica para implementação dos serviços de sigilo, verificação de origem, autenticação e irretratabilidade, aproveitando as vantagens de cada um: velocidade da criptografia simétrica e flexibilidade de uso da criptografia assimétrica.

Por fim, após toda essa explicação, pelo menos uma questão ficou em aberto: como Bob tem certeza que está com uma cópia da chave pública de Alice e como Alice tem certeza que está com a chave pública de Bob? A maneira utilizada para confiar na chave pública de alguém é pegar a cópia da chave pública da pessoa de alguém de confiança, com uma marca na chave que informa: “esta é a chave pública de fulano”. A combinação entre a chave pública da entidade com as informações de identificação da entidade é denominada certificado digital, um tópico para outro post.

Também escrevemos um post que pode ser de seu interesse, pois fala sobre criptografia de dados e sua importância no mercado financeiro, clique aqui e acesse.

Assine nossa Newsletter e fique por dentro das novidades e tecnologias E-VAL. Continue acompanhando nossos conteúdos no blog e aproveitando nosso perfil do Linkedin.

Leia mais