Criptoagilidade: estratégias e melhores práticas para manter um inventário de ativos criptográficos

Confira neste artigo

Criptoagilidade é a capacidade de uma organização responder rapidamente a uma grande ameaça de criptografia em um período de tempo relevante para os negócios.

Basicamente, as organizações estão usando criptografia de maneira muito ampla em seus ambientes, e as mais amplamente usadas são a Transport Layer Security, a Secure Socket Shell e a criptografia de ponta a ponta. As empresas confiam nelas para suas comunicações de missão crítica.

Normalmente, os sistemas de comunicação de missão crítica também farão uso da criptoagilidade. Sem ela, se os sistemas criptográficos de uma organização estiverem comprometidos, eles poderão ser atacadas, levando à perda de negócios.

Portanto, se houver um evento como um algoritmo que é inesperadamente quebrado, ou uma biblioteca de criptografia que possui um bug que afeta um grande número de sistemas ou ainda que há um comprometimento da autoridade de certificação.

Assim, tudo exigirá a substituição de um grande número de chaves e, potencialmente, os certificados que a CA compromete, e as organizações deverão poder responder rapidamente.

Importância da agilidade criptográfica

As técnicas criptográficas não ficam seguras para sempre. Por exemplo, o aumento do poder de computação também leva à capacidade aumentada de programas hostis de quebrar com êxito funções criptográficas seguras anteriormente.

Antes que isso aconteça, os sistemas criptográficos baseados anteriormente, como criptografia de chave pública, troca de chaves e assinaturas digitais, devem ser transferidos para novos sistemas de criptografia para permanecerem seguros.

A criptoagilidade também é uma prática relativamente sustentável, o que significa que esse processo não se tornará um passivo.

Um dos principais pontos fortes da computação quântica é seu poder de decifrar sistemas criptográficos clássicos. Como resultado, a computação quântica está começando a representar uma ameaça para a criptografia moderna.

Então,ter apenas uma estratégia de criptografia corporativa não é viável se uma organização deseja garantir conexões seguras. Ser capaz de mudar para um sistema de criptografia diferente é fundamental.

Os sistemas de criptografia quântica e a distribuição de chaves quânticas (QKD) são capazes de ajudar contra alguns dos principais problemas enfrentados pela criptografia moderna; no entanto, o QKD se concentra apenas na distribuição segura de chaves.

Embora a segurança pós-quantum não seja um problema para todas as organizações hoje em dia, alguns especialistas acreditam que aqueles que precisam proteger dados ao longo do tempo devem ter como objetivo a cripto-agilidade acima de tudo.

Quais são os benefícios da Criptoagilidade?

O maior benefício é que você é capaz de aproveitar a criptografia de segurança de maneira sustentável. Você não vai se tornar um passivo; em vez disso, é um ativo.

O desafio das organizações é que esses protocolos criptográficos sejam amplamente utilizados em nossas organizações e em sistemas pertencentes a diferentes grupos. Para você desenvolver essa agilidade criptográfica, você precisa orquestrar todas essas pessoas e grupos diferentes.

Mesmo se for uma organização que possui 50 administradores e mil sistemas, apenas a coordenação com todos eles se ocorrer um desastre ou se você estiver apenas tentando convencê-los a adotar novas práticas, pode levar algum tempo.

 

Como obter a Criptoagilidade

Uma das primeiras coisas tem haver diretamente com tecnologia é sobre definir políticas.

O aspecto único desses ativos criptográficos que torna as políticas necessárias é que a única maneira de fazer com que todas essas equipes mudem seus hábitos é fazê-las entender o que precisam fazer e entender que são responsáveis ​​por isso.

Ao definir políticas, você pode garantir que toda a organização esteja informada de que essas são as formas necessárias para proteger seus sistemas e que eles são responsáveis ​​por isso.

Depois de definir essas políticas, todo grupo é responsável por manter um inventário de todos os seus ativos. A única maneira de conseguir responder rapidamente e substituir todos os ativos criptográficos que você possui é saber onde eles estão, se existem ou não.

Você precisará de uma organização centralizada, normalmente feito pelo grupo de segurança, que fornecerão a capacidade de desenvolver esse inventário e o uso de ferramentas.

E depois que a empresa tiver esse inventário, ela deve revisá-lo, isso porque a medida que ela implementam seus inventários, elas descobrem que têm vulnerabilidades e precisam resolvê-las imediatamente.

Em resumo, para configurar e obter agilidade criptográfica, uma organização deve fazer o seguinte:

  • Defina políticas. Certifique-se de que todos na organização saibam o que é necessário para proteger seus sistemas e quem é responsável por quê.
  • Determine a responsabilidade do grupo. Cada grupo é responsável por ter e manter um inventário de seus ativos. Isso permite que cada equipe reaja rapidamente a qualquer ameaça.
  • Organização central. Provavelmente será um grupo de segurança que fornecerá a capacidade de desenvolver um inventário e fornecer as ferramentas necessárias. Cada equipe precisará garantir que eles possam usar cada ferramenta.

No lado do hardware, a criptoagilidade é alcançada adotando novas estruturas para resposta a incidentes e desenvolvimento de aplicativos. Além disso, é necessária uma camada de software para interfaces de programação de aplicativos criptográficos ( APIs ) e mecanismos de atualização segura.

A importância do inventário de chaves criptográficas para empresas que estão tentando ser ágeis em criptografia

Uma das partes críticas do inventário é que você precisa desenvolver um método para rastrear a propriedade, porque não basta saber: “OK, temos 100.000 chaves e certificados”, mas não sabemos com quem você deve entrar em contato se houver um problema.

De acordo com o NIST (National Institute of Standards and Technology), laboratório de ciências físicas e uma agência não reguladora do Departamento de Comércio dos Estados Unidos, o gerenciamento adequado de chaves criptográficas é essencial para o uso efetivo da criptografia por segurança.

As chaves são análogas à combinação de um cofre. Se uma combinação segura é conhecida pelo adversário, o cofre mais forte não oferece segurança contra invasão. Da mesma forma, o gerenciamento inadequado de chaves pode facilmente comprometer algoritmos fortes.

A declaração do NIST mostra uma imagem precisa. Como a combinação de um cofre, suas chaves de criptografia são tão boas quanto a segurança que você usa para protegê-las.

Existe todo um sistema de criptografia que deve ser considerado e o ciclo de vida completo de cada chave. Portanto, um sistema e políticas de gerenciamento de chaves de criptografia robustos incluem:

  • Ciclo de vida das chaves: geração, pré-ativação, ativação, expiração, pós-ativação, compromisso e destruição de chaves
  • Acesso físico aos principais servidores
  • Acesso lógico aos principais servidores
  • Acesso de usuário / função às chaves de criptografia

Agora que você tem uma boa visibilidade e um bom entendimento de quem é o dono das coisas, com uso de um inventário de chaves criptográficas, o que você deve fazer é migrar para a verdadeira criptoagilidade, que é a sua capacidade de mudar as coisas rapidamente.

Para fazer isso, você precisa implementar a automação, porque a escala de uso dessas chaves está além da capacidade de fazê-lo manualmente. Você não poderá automatizar tudo, mas precisará implementar uma estratégia que automatize o máximo possível.

Para saber mais sobre a Criptoagilidade e como implementar um inventário de chaves criptográficas que possa garantir o ciclo de vida completo das chaves criptográficas, isso inclui: gerar, usar, armazenar, arquivar e excluir chaves, fale conosco, os especialistas da Eval terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.  

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.  

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.  

Eval, segurança é valor. 

Sobre o(s) autor(es):

Autor