A proteção de dados leva as empresas a implementar várias soluções de criptografia. Nesse sentido, um aspecto que não pode ser negligenciado é a necessidade de um gerenciamento adequado de chaves.
Descuidos acontecem principalmente por conta do uso generalizado da criptografia em virtude dos requisitos de governança e conformidade. Isso mostra que avançamos quanto à preocupação com a proteção de dados, mas expõe o grande desafio que é o gerenciamento de chaves.
Afinal, é comum gerenciar chaves em planilhas Excel, o que pode trazer um grande risco para as organizações, pois na perda do controle, ou mesmo na perda de chaves criptográficas podem fazer a empresa perder seus dados.
Principais Desafios do Gerenciamento Adequado de Chaves
O gerenciamento é vital para o uso efetivo da criptografia. A perda ou a corrupção das chaves pode levar à perda de acesso a sistemas e torná-los completamente inutilizáveis.
O gerenciamento adequado de chaves é um desafio que aumenta de acordo com o tamanho e a complexidade do seu ambiente. Quanto maior for a sua base de usuários, mais difícil será fazer uma gestão eficiente.
Alguns dos maiores desafios envolvem:
Treinamento e aceitação dos usuários
Os usuários não gostam de mudanças. Embora não seja realmente parte do processo de gerenciamento de chaves, a não aceitação deles pode ser um grande impedimento para o sucesso de um projeto.
Portanto, é preciso mapear o impacto da adoção e do uso da criptografia em seu ciclo produtivo e as dificuldades na recuperação ou redefinição das chaves ou senhas.
Ouça o feedback dos usuários e desenvolva um treinamento apropriado para abordar as preocupações ou dificuldades específicas deles. Desenvolva benchmarks de sistema para verificar o desempenho antes e depois de o produto ser implementado.
Em outras palavras, gerencie as expectativas dos usuários.
Administração do sistema, manutenção e recuperação de chaves
Esses problemas podem ter um grande impacto sobre a organização e devem ser endereçados ao fornecedor antes de sua compra. Em uma escala empresarial, o gerenciamento manual de chaves simplesmente não é viável.
Idealmente, o gerenciamento deve se integrar à infraestrutura existente, ao mesmo tempo em que fornece administração fácil, entrega e recuperação de chaves seguras.
A recuperação é um processo fundamental, principalmente em situações como a de um colaborador que deixa a organização sem uma devolução adequada ou quando uma chave é danificada e não pode mais ser usada. Também deve ser um processo simples, porém muito seguro.
|
No gerenciamento adequado de chaves, o procedimento de geração deve ser restrito a uma pessoa. Na prática, temos, por exemplo, o processo de um produto que permite que uma chave de recuperação seja dividida em várias partes.
A partir daí as partes individuais da chave de recuperação podem ser distribuídas para diferentes agentes de segurança. Os proprietários devem estar presentes quando ela é usada. Esse processo é simples, mas seguro, porque requer que várias partes recriem a chave.
Além disso, as senhas esquecidas podem criar um impacto adicional junto à equipe de suporte. Assim, o processo não deve ser apenas simples, mas também flexível. Colaboradores remotos e fora da rede precisam ser considerados, bem como os internos. Neste caso, a recuperação de chave remota é um recurso indispensável.
Melhores práticas para o gerenciamento adequado de chaves
Ao lidar com problemas no gerenciamento de chaves, a quem as organizações podem procurar para obter ajuda?
As especificidades do gerenciamento adequado de chaves são amplamente tratadas pelos softwares criptográficos, em que os padrões e as melhores práticas estão bem estabelecidos.
Além disso, a exemplo do Instituto Nacional de Padrões e Tecnologia (NIST) e do Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), são desenvolvidos padrões para agências governamentais que podem ser aplicados em qualquer comunidade empresarial. Geralmente, esse é um bom ponto de partida ao discutir produtos de criptografia com seus fornecedores.
Enquanto isso, aqui estão algumas práticas recomendadas do setor para você começar:
- A usabilidade e a escalabilidade do gerenciamento adequado de chaves corporativas devem ser o foco principal na análise de produtos. A capacidade de alavancar os ativos existentes deve desempenhar um papel importante na tomada de decisões. A integração com um ambiente para autenticação reduzirá os custos e eliminará a necessidade de sistemas redundantes;
- A autenticação de dois fatores é uma medida de segurança necessária para organizações financeiras. Devido ao maior poder de processamento e às capacidades dos computadores atuais, a força das senhas sozinhas não é mais suficiente.
Controle e treinamento
Gerenciamento significa proteger as chaves de criptografia contra perda, corrupção e acesso não autorizado. Por isso, ao final dos procedimentos e das técnicas aplicadas ao processo de gestão, é preciso garantir:
- Que as chaves são mantidas com segurança;
- Que elas passam por procedimentos de mudanças regularmente;
- Que o gerenciamento inclui para quem as chaves são atribuídas.
Uma vez que as chaves existentes tenham sido controladas, as políticas e os processos de provisionamento, monitoramento, auditoria e encerramento precisam ser rigorosamente aplicados. Por isso, o uso de ferramentas automatizadas pode aliviar muito a carga da responsabilidade.
Por fim, profissionais de segurança da informação, de infraestrutura, de banco de dados, desenvolvedores e outros profissionais que precisam usar chaves de criptografia devem ser treinados, já que a falta de conscientização sobre os riscos de falhas na proteção é um dos principais fatores para problemas.
Se não houver controle sobre o acesso, não haverá segurança.
Para ter mais dicas sobre o gerenciamento adequado de chaves e outros temas mais estratégicos para a segurança da informação e proteção de dados, assine a nossa newsletter e fique por dentro das novidades!
Sobre a Eval
A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.