Um ponto de vista comum por parte de muitas empresas, em especial dentro do setor de TI, está relacionado a complexidade do gerenciamento de chaves. “A criptografia é fácil. O gerenciamento de chaves é difícil ”. É o que pensa muito dos gestores de TI das empresas.
A dificuldade não surge da complexidade das chaves ou da própria criptografia. O desafio é acentuado pela necessidade de proteger uma chave que é extremamente valiosa e pode desvendar a criptografia utilizada e expor os conteúdos até então protegidos, caso seja comprometida.
O gerenciamento de chaves costuma ser considerado uma solução complexa para um problema complexo, mas não precisa ser assim
O gerenciamento adequado de chaves criptográficas é essencial para o uso eficaz de produtos de criptografia. Então, a perda ou corrupção dessas chaves pode levar à perda de acesso a sistemas e dados, além de tornar um sistema completamente inutilizável, a menos que seja formatado e reinstalado.
Gerenciamento de chaves: requisitos de segurança
Por padrão, o gerenciamento de chaves apresenta uma lista essencial de requisitos de segurança que precisam ser atendidos:
- As partes que desempenham funções-chave de gerenciamento devem ser devidamente autenticadas e autorizadas para executar as funções de manutenção para uma determinada chave em uso;
- Todos os comandos de gerenciamento de chaves e dados associados são protegidos contra falsificação, ou seja, a autenticação de origem é realizada antes da execução de um comando;
- Todos os comandos de gerenciamento de chaves e dados associados são protegidos contra detecção, modificações não autorizadas, ou seja, proteção de integridade deve ser fornecida;
- Chaves secretas e privadas são protegidas contra divulgação não autorizada;
- Todas as chaves e metadados são protegidos contra falsificação, ou seja, a autenticação de origem deve ser realizada antes de acessar chaves e metadados;
- Todas as chaves e metadados deve ser protegidos contra modificações não detectadas e não autorizadas, ou seja, proteção de integridade é fornecida;
- Quando a criptografia é usada como um mecanismo de proteção para qualquer uma das opções acima, a segurança e a força do mecanismo criptográfico usado deve ser tão forte quanto a força da segurança necessário para as chaves que estão sendo gerenciadas.
Os desafios do gerenciamento de chaves
Inegavelmente, o gerenciamento de chaves é um desafio que cresce com o tamanho e a complexidade do seu ambiente. Portanto, quanto maior a sua base de usuários, mais diversificado o seu ambiente ou mais distribuídos, maior será o desafio.
Administração do sistema, manutenção e recuperação de chaves
Esses problemas provavelmente terão um grande impacto na organização e deverão ser endereçados ao fornecedor antes de você fazer sua compra:
- Como as chaves são gerenciadas?
O gerenciamento de chaves é uma tarefa que não escala bem. Em uma escala corporativa, o gerenciamento manual de chaves simplesmente não é viável. Idealmente, o gerenciamento de chaves deve integrar-se à infraestrutura existente proporcionando fácil administração, entrega e recuperação seguras de chaves.
- Existe um processo de recuperação?
A recuperação de chave é crítica quando um funcionário sai da organização sem uma rotatividade adequada ou se uma chave é danificada e não pode mais ser usada. A recuperação deve ser um processo simples, mas seguro.
- E a redefinição de senha?
Senhas esquecidas podem criar um impacto adicional no centro de serviço e na equipe de suporte. Assim, o processo não deve ser apenas simples, mas também flexível. Funcionários remotos e fora da rede precisam ser considerados, assim como funcionários internos. A recuperação remota de chave é um recurso obrigatório.
- Quão complexo é para os usuários?
Vamos ser sinceros, os usuários querem que as coisas sejam simples e não gostam de mudanças. Os produtos não devem mudar a aparência e devem ter um impacto mínimo na experiência do usuário.
|
Práticas recomendadas para o gerenciamento de chaves
As especificidades do gerenciamento de chaves criptográficas são amplamente tratadas nos bastidores pelos módulos de software criptográfico, onde os padrões e as melhores práticas estão bem estabelecidos.
As práticas recomendadas de uso que qualquer empresa deve adotar no uso do gerenciamento de chaves são:
- A usabilidade e a escalabilidade do gerenciamento de chaves corporativas devem ser o foco principal na análise de produtos. A capacidade de alavancar os ativos existentes deve desempenhar um grande papel na tomada de decisões. A integração com um ambiente para autenticação reduzirá custos e eliminará a necessidade de sistemas redundantes.
- A autenticação de dois fatores é uma medida de segurança necessária para organizações financeiras. Devido ao maior poder de processamento e aos recursos dos computadores atuais, a força das senhas não é mais suficiente.
- O FDE (Criptografia de Disco Completa) é uma ferramenta mais segura que a criptografia de arquivos / pastas. O FDE elimina a maioria dos erros do usuário e garante que não haja espaço não criptografado no disco para salvar arquivos.
Por fim, há um grande número de produtos disponíveis e esse espaço de mercado está crescendo rapidamente. Também houve movimento recente de grandes empresas adquirindo empresas e startups menores.
Com a ferramenta certa, o gerenciamento de chaves se torna o processo mais eficiente e fácil
Ter um sistema centralizado de gerenciamento de chaves oferece outros benefícios, além de ser capaz de desbloquear dados. Isso inclui requisitos de conformidade, como preocupações com a soberania de dados.
As ferramentas de gerenciamento de chaves também possibilitam que as empresas substituam suas chaves regularmente. As chaves devem ser utilizadas ou expiradas sem afetar o acesso aos dados herdados.
Portanto, além da conformidade com os regulamentos, o gerenciamento de chaves também podem fornecer à sua empresa uma série de outros benefícios. Aqui estão apenas alguns benefícios básicos do gerenciamento eficaz de chaves de criptografia:
- Tranquilidade – Enquanto hackers e ladrões de identidade estão ficando mais inteligentes e as regulamentações estão ficando mais complexas, a tecnologia de proteção de dados também está melhorando rapidamente. As opções de criptografia e gerenciamento de chaves agora estão disponíveis em máquinas virtuais e ambientes em nuvem, bem como em HSMs (hardware security modules).
- Reputação – Se as informações são perdidas devido a um hacker ou um furacão, se uma empresa perde todos os seus dados importantes, todo o negócio pode ser arruinado. No entanto, se dados confidenciais forem perdidos porque não existem mecanismos para protegê-los, uma organização terá problemas ainda maiores. A maneira mais eficaz de proteger dados e garantir a integridade de uma empresa é implantar a criptografia e gerenciar adequadamente as chaves de criptografia.
- Credibilidade – Além dos requisitos de auditoria, as organizações precisam considerar a segurança de suas informações de identificação pessoal de seus clientes. Ser capaz de proteger seus clientes com fortes práticas de gerenciamento de chaves pode adicionar um nível de confiança que ajudará a expandir seus negócios.
A mobilidade também é um grande benefício. À medida que mais pessoas movem seus dados para a nuvem ou ambientes virtualizados, a necessidade de criptografia aumenta e a importância do gerenciamento de chaves se torna ainda mais evidente.
Portanto, para manter o controle sobre seus dados e a privacidade de seus clientes, as informações devem não apenas ser criptografadas, mas também protegidas enquanto estão em movimento, em uso ou em repouso.
Ao gerenciar corretamente suas chaves de criptografia, você ainda controla seus dados, independentemente de quem está compartilhando sua infraestrutura.
Ainda mais, é importante que as empresas examinem como é sua visão geral quando se trata de fazer a escolha certa para uma solução de gerenciamento chave que atenda às necessidades de sua organização.
A principal pergunta que as empresas devem se perguntar é: o armazenamento de chaves a bordo é uma solução ‘suficientemente boa’ ou um sistema de gerenciamento de chaves externo é algo que deve ser implantado?
Há benefícios claros para uma solução de gerenciamento de chave externa, que pode ajudar a elevar a segurança e a conformidade de sua organização a outro nível.
Deixe nos comentários suas dúvidas, os especialistas da E-VAL Saúde vão te ajudar a esclarecer suas perguntas, contribuindo no desenvolvimento dos seus projetos de segurança de dados, inovação e melhoria contínua da sua instituição de saúde.
Sobre a Eval
A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.