As empresas movem cada vez mais dados sensíveis pela internet e migram fortemente sua infraestrutura para a nuvem, em diferentes tipos de modelos de serviço. Na medida em que isso acontece, cresce a necessidade de uso e gestão de chaves de Criptografia.
Diante dessa realidade, os profissionais de segurança protegem ativamente esses dados com técnicas testadas e comprovadas, que são usadas em diferentes fases do ciclo de produtividade das organizações, sempre com o objetivo de garantir a privacidade.
No entanto a garantia de proteção e disponibilidade de dados pode não ser possível apenas com o uso da criptografia.
Por mais que exista uma tecnologia avançada contra violação de dados, sem s gestão de chaves de Criptografia, o risco de vazamentos ou roubos de informações ainda será grande.
Por que gerenciar chaves criptográficas é importante?
Gerenciamento significa proteger as chaves criptográficas contra perda, roubo, corrupção e acesso não autorizado. Assim, entre os seus objetivos temos:
- garantir que as chaves sejam mantidas em segurança;
- mudar as chaves regularmente;
- controlar como e para quem as chaves são atribuídas;
- decidir sobre a granularidade das chaves.
Na prática, a gestão de chaves de Criptografia significa avaliar se uma chave deve ser usada para todas as fitas de backup ou se, por outro lado, cada uma deve receber a sua própria, por exemplo.
Desse modo é preciso garantir que a chave criptográfica — e qualquer coisa relacionada a ela — seja adequadamente controlada e protegida. Portanto, não há como não pensar em gestão.
Se tudo não estiver devidamente protegido e gerenciado, é como ter uma fechadura de última geração na porta da sua casa, mas deixar a chave embaixo do tapete.
Para ficar mais clara a importância do gerenciamento de chaves criptográficas, basta lembrarmos dos quatro objetivos da criptografia: confidencialidade, integridade, autenticação e não-repúdio. Assim vemos que com ela podemos proteger as informações pessoais e os dados corporativos confidenciais.
De fato, não faz sentido algum usar uma tecnologia que garante a segurança de dados sem que não exista um gerenciamento eficiente.
Gestão de Chaves de Criptografia é um desafio, mas não é impossível
De fato, o gerenciamento de chaves criptográficas não é tão simples quanto chamar um chaveiro. Você também não pode escrever as chaves em um pedaço de papel. É preciso fornecer acesso ao menor número possível de pessoas e garantir que ele seja restrito.
A gestão criptográfica bem-sucedida no mundo corporativo exige boas práticas em várias frentes.
Primeiro, você deve escolher o algoritmo de criptografia e o tamanho de chave corretos para ter confiança em sua segurança.
Depois, deve garantir que a implementação da estratégia de criptografia corporativa esteja de acordo com os padrões estabelecidos para esse algoritmo. Isso significa ser aprovado por uma autoridade certificadora reconhecida — no caso do Brasil, as que estão homologadas pelo ITI, dentro do ICP-Brasil.
Por fim, deve garantir uma gestão de chaves de Criptografia eficiente, associado a políticas e processos de segurança que possam certificar um uso produtivo da tecnologia.
Para ter uma maior confiança em sua estratégia de gestão de chaves de Criptografia, as primeiras perguntas a serem feitas são as seguintes:
- onde as chaves de criptografia são mantidas?
- quem mantém a propriedade delas?
Muitos serviços de gerenciamento retêm chaves privadas na camada de serviço, assim seus dados podem estar acessíveis aos administradores dessa atividade. Isso é ótimo para disponibilidade, mas não para confidencialidade.
Assim, como acontece com qualquer tecnologia, a eficiência da criptografia depende completamente de sua implementação. Se ela não for feita corretamente ou se os componentes usados não estiverem devidamente protegidos, ela estará em risco, assim como os dados.
|
Da criação das políticas à gestão de chaves criptográficas
Uma abordagem comum para proteger dados na empresa por meio da gestão de chaves de Criptografia é fazer um balanço, entender as ameaças e criar uma política de segurança.
As empresas precisam saber quais dispositivos e aplicativos são confiáveis e como a política pode ser aplicada entre eles e na nuvem. Tudo começa em saber o que você tem.
A maioria das organizações não sabe quantas chaves tem, onde usa criptografia e quais aplicativos e dispositivos são realmente confiáveis. Isto caracteriza, inegavelmente, uma total falta de gestão de chaves de Criptografia, dos dados e de sua estrutura.
Sem dúvida, a parte mais importante de um sistema de criptografia é o seu gerenciamento de chaves, especialmente quando a organização tem a necessidade de criptografar uma grande quantidade de dados. Desse modo a infraestrutura se torna mais complexa e desafiadora.
Padronizar o processo é fundamental
A padronização dos produtos é fundamental. Afinal, mesmo a criptografia implementada de maneira adequada significa pouco se um invasor entrar na máquina de alguém ou se um funcionário for desonesto.
Em alguns casos, por exemplo, a criptografia pode habilitar um invasor e inutilizar todo o investimento em segurança, causando um estrago que vai muito além de prejuízos financeiros. Assim a padronização é vital para criar políticas e processos úteis, reduzindo a possibilidade de brechas que podem resultar em ataques virtuais e roubos de dados.
A criptografia realmente cria mais oportunidades de negócios para diferentes tipos de empresas, não apenas atenuando preocupações como ataques virtuais, mas criando um ciclo de acesso aos dados organizado, eficiente e estratégico.
Por fim, em tempos de transformação digital e tantas disrupções tecnológicas e de mercado, adotar uma gestão de chaves de Criptografia é vital para empresas que buscam um crescimento sustentável.
Agora você já conhece um pouco mais sobre gestão de chaves criptográficas, mantenha-se sempre atualizado sobre este assunto por meio de nossa página no LinkedIn.
Sobre a EVAL
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.