A proteção dos dados utilizados nas operações de negócio é um requisito essencial para as informações confidenciais de uma organização. É nesse momento que transmissão segura de dados , junto com a criptografia de dados entram em ação.
Usuários mal-intencionados podem interceptar ou monitorar dados de texto sem formatação transmitidos por uma rede ou através de mídia removível e dispositivos móveis não criptografados.
Assim eles conseguem acesso não autorizado, comprometendo a confidencialidade dos dados considerados sensíveis e estratégicos. Por isso a transmissão segura de dados é tão importante.
A proteção nesses casos é feita com algoritmos criptográficos que limitam o acesso aos dados apenas para quem detém o recurso de criptografia adequado e sua respectiva descriptografia.
Além disso, algumas ferramentas criptográficas modernas também permitem a condensação ou compactação de mensagens, economizando espaço de transmissão e armazenamento.
Convergimos a necessidade de proteger transmissões de dados junto com os recursos tecnológicos existentes. Assim, separamos 10 recomendações consideradas vitais para se ter sucesso em todo o processo de envio e recebimento de dados.
Cibercriminosos podem comprometer a confidencialidade das informações durante uma transmissão de dados
Os dados considerados sensíveis ou restritos em relação à proteção de dados devem ser criptografados quando transmitidos por qualquer rede.
Isto deve ocorrer a fim de se proteger contra a interceptação do tráfego da rede por usuários não autorizados. Ataques desse tipo também são conhecidos como Man-in-the-middle, clique aqui para saber um pouco mais.
Nos casos em que os dispositivos de origem e de destino estão dentro da mesma sub-rede protegida, a transmissão de dados ainda deve ser protegida com criptografia, devido ao potencial de alto impacto negativo de uma violação e roubo de dados.
Além disso, colaboradores tendem a ter uma preocupação menor quando estão dentro de um ambiente “controlado”, acreditando estarem seguros contra ataques.
Os tipos de transmissão podem incluir comunicação entre cliente e servidor, além de servidor para servidor. Ainda se pode incluir transferência de dados entre os sistemas principais, entre os sistemas de terceiro ou transmissão P2P dentro de uma organização.
Adicionalmente, quando usados para armazenar dados restritos, mídias removíveis e dispositivos móveis também devem utilizar criptografia de dados sensíveis adequadamente, seguindo as recomendações de segurança. Dispositivos móveis incluem laptops, tablets, tecnologia vestível e smartphones.
E-mails não são considerados seguros, e por padrão não devem ser usados para transmitir dados sensíveis, a menos que ferramentas adicionais de criptografia de dados desses serviços sejam usadas.
Ao tentar proteger dados em trânsito, o profissional de segurança deve considerar as seguintes recomendações para projetar a transmissão segura de informações:
|
Melhores recomendações
- Onde o dispositivo (seja ele cliente ou servidor) é acessível via interface web, o tráfego deve ser transmitido através do Secure Sockets Layer (SSL), usando apenas protocolos de segurança fortes e segurança da camada de transporte;
- Os dados transmitidos por email devem ser protegidos usando ferramentas de criptografia de email com criptografia forte, como S/MIME . Como alternativa, antes de enviar um email, os usuários devem criptografar dados usando ferramentas de criptografia de dados de arquivo compatíveis e anexá-los ao email para transmissão;
- O tráfego de dados não cobertos pela web browser deve ser criptografado via criptografia no nível do aplicativo;
- Caso um banco de dados de aplicativos esteja fora do servidor de aplicativos, todas as conexões entre o banco de dados e o aplicativo também devem utilizar criptografia com algoritmos criptográficos compatíveis com os padrões de segurança e proteção de dados recomendados;
- Quando a criptografia em nível de aplicativo não estiver disponível para tráfego de dados não coberto pela Web, implemente a criptografia em nível de rede, como encapsulamento IPsec ou SSL;
- A criptografia deve ser aplicada ao transmitir dados entre dispositivos em sub-redes protegidas com fortes controles de firewall;
- Desenvolva e teste um plano de recuperação de dados apropriado;
- Siga os requisitos recomendados para a criação de senha fortes que devem estar definidas na polícia de segurança da organização. Além disso, adote alguma ferramenta de gerenciamento para armazenar os dados de acesso e as chaves de recuperação;
- Depois que os dados forem copiados para uma mídia removível ou dispositivo móvel, verifique se eles funcionam seguindo as instruções para ler dados utilizando criptografia. Aproveite também para incluir no seu plano de recuperação e contingência testes de abertura de backup que foram criptografados;
- Quando desacompanhada, a mídia removível (ou dispositivo móvel) deve ser armazenada em um local seguro, com acesso limitado aos usuários conforme a necessidade. E fique atento com as chaves que foram utilizadas para cifrar o backup.
Suporte e políticas internas também são muito importantes
A última recomendação é ter uma documentação de suporte adequada para todo esse processo de transmissão de dados.
Políticas e processos de segurança precisam ser validados através de testes frequentes que possam garantir a eficiência de todos os procedimentos a serem executados.
Por fim, não esqueça de criar uma política de conscientização feita para os funcionários da empresa.
Adote treinamentos e campanhas que demonstrem a importância de seguir as políticas e processos de segurança e proteção de dados da organização.
Ferramentas de criptografia de dados para suporte a transmissão segura
A criptografia de ponta a ponta geralmente é realizada pelo usuário final dentro de uma organização. Os dados são criptografados no início do canal de comunicações, ou antes, através de mídia removível e dispositivos móveis.
Dessa forma eles permanecem criptografados até serem descriptografados no final remoto.
Para auxiliar nesse processo, o uso de ferramentas de criptografia fornece o suporte necessário para a transmissão segura de dados.
Há várias ferramentas para criptografar dados, mas é importante se atentar principalmente para o gerenciamento das chaves. Pois se você descuidar e perder a chave, você perderá o conteúdo que foi cifrado também.
Por isso, sempre indicamos o uso correto de equipamentos e plataformas que façam a gestão das chaves, do seu ciclo de vida, assim como do controle de acesso.
Afinal, com um uso mais abrangente o gerenciamento pode ficar complicado utilizando apenas planilhas de Excel.
O desafio de trafegar dados
Um dos principais objetivos ao longo da história, tem sido mover mensagens por vários tipos de canais e mídias. A intenção sempre foi impedir que o conteúdo da mensagem fosse revelado, mesmo que a própria mensagem fosse interceptada em trânsito.
Se a mensagem é enviada manualmente, por uma rede de voz ou pela internet, a criptografia moderna fornece métodos seguros e confidenciais para transmitir dados.
Além de permitir a verificação da integridade da mensagem, para que quaisquer alterações na própria mensagem possam ser detectadas.
Em suma, a adoção da criptografia deve ser uma prioridade para todas as empresas, independente de seu segmento de atuação ou porte. Atualmente, a proteção de dados se tornou fundamental para o sucesso de qualquer negócio e por isso não pode ser ignorada por nenhuma organização.
Por fim, leia mais sobre proteção e privacidade de dados em nosso blog e saiba como aplicar a tecnologia de criptografia de forma eficaz em sua empresa entrando em contato com os especialistas da Eval.
Estamos à disposição para tirar suas dúvidas e ajudar a definir as melhores formas de proteger sua organização contra vazamento e roubo de dados.
Sobre a Eval
A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.