Facebook Instagram Linkedin

Tag: criptografia

Categorias
Proteção de dados

O acesso a informações de saúde requer garantia de segurança e proteção de dados

O acesso a informações de saúde requer garantia de segurança e proteção de dados

Informações de saúde pessoais se referem, em suma, a informações demográficas, históricos médicos, resultados de exames e laboratórios, condições de saúde mental, informações sobre seguros e outros dados que um profissional de saúde coleta para identificar um indivíduo e determinar cuidados adequados.

Essas mesmas informações detalhadas a respeito de nossa saúde também são um produto. Além do uso para pacientes e profissionais de saúde, elas também são valiosas para pesquisadores clínicos e científicos quando anonimizadas.

Para hackers esses dados são um tesouro. Afinal, são informações pessoais de pacientes que podem ser roubadas e vendidas em outro lugar. E ainda, eles podem sequestrar os dados através de ransomware até que a instituição médica pague o valor do resgate.

As instituições de saúde lidam com detalhes confidenciais sobre cada paciente e isso pode ser um risco

Como vimos, pela natureza do setor, as instituições de saúde lidam com detalhes confidenciais dos pacientes. Essas informações incluem data de nascimento, condições médicas e solicitações de seguro de saúde.

Seja em registros em papel ou em um sistema de registro eletrônico, as informações pessoais de saúde descrevem o histórico médico de um paciente, incluindo assim doenças, tratamentos e resultados.

Para se ter uma ideia, desde os primeiros momentos após o nascimento, um bebê hoje provavelmente terá suas informações pessoais de saúde inseridas em um sistema de registro eletrônico de saúde, incluindo peso, comprimento, temperatura corporal e quaisquer complicações durante o parto.

O rastreamento dessas informações durante a vida de um paciente oferece ao médico o contexto da saúde da pessoa. Dessa forma fica melhor para o profissional tomar decisões de tratamento.

Quando registradas de forma adequada, as informações pessoais de saúde podem ser armazenadas sem recursos de identificação e adicionadas anonimamente a grandes bancos de dados de informações de pacientes.

Esses dados não identificados podem contribuir para a gestão de saúde da população e programas de cuidados baseados em valor.

Entretanto, há casos em que as medidas de segurança, proteção e privacidade de dados não são aplicadas. Assim instituições de saúde, funcionários e principalmente os pacientes correm um sério risco.

Ameaças de segurança cibernética na saúde afetam pacientes e instituições

À medida que a tecnologia avança, os profissionais de saúde trabalham para implementar inovações visando a melhora dos atendimentos, mas as ameaças à segurança cibernética também continuam evoluindo.

Ataques de ransomware e violações de dados de assistência médica continuam sendo as principais preocupações de entidades de saúde e parceiros de negócios de todos os tamanhos.

O ransomware é um bom exemplo de grande impacto para o setor de assistência médica. Ele é considerado de alto risco, uma vez que as organizações de saúde são encarregadas de cuidar de pessoas. Assim, se certas informações ficarem trancadas ou inacessíveis, esse cuidado poderá ser afetado.

A responsabilidade pela proteção das informações de saúde são de todas as instituições e seus parceiros de negócio

Uma situação às vezes mal interpretada pelas instituições de saúde é que a privacidade e a segurança das informações de saúde nem sempre se movem em conjunto.

Embora a privacidade exija medidas de segurança, é possível ter restrições de segurança que não protegem totalmente as informações privadas de pacientes e responsáveis.

Vamos pensar em um exemplo: se uma instituição de saúde ou um fornecedor de nuvem compartilham dados médicos criptografados para uma clínica ambulatorial, a proteção e a privacidade podem ficar em risco.

Afinal, as instituições precisam firmar um contrato de parceria que inclua requisitos dos processos e políticas de segurança de dados. Se isso não ocorrer, as informações compartilhadas correm alto risco.

Apesar do grande risco, é possível proteger sua organização contra o cibercrime assegurando as informações dos pacientes

Os ataques de ransomware e outros cibercrimes ocorrem quando algum hacker obtém acesso à rede de uma organização. Na sequência, arquivos são criptografados ou roubados.

No caso específico do ransomware, os arquivos ficam inacessíveis pelo alvo até que um valor seja pago como resgate.

Para proteger a sua organização contra ataques como esse e outros crimes cibernéticos direcionados ao setor de saúde, os especialistas em proteção de dados recomendam dez práticas visando a garantia das informações de saúde:

1. Defina políticas e processos claros de proteção e privacidade de dados

Um importante passo na proteção e privacidade das informações de saúde de pacientes e responsáveis é definir de forma clara as políticas e processos de proteção e privacidade de dados.

Esse é o pontapé inicial para todos as demais recomendações de segurança em benefício das instituições médicas.

2. Proteja as informações de saúde do paciente no local de trabalho

Utilize controles de acesso a fim de garantir que as informações de saúde dos pacientes sejam acessadas apenas pelos funcionários autorizados.

3. Realize a capacitação dos funcionários sobre políticas e processos de proteção e privacidade de dados

Uma instituição de saúde protegida deve treinar todos os membros da sua força de trabalho sobre as políticas e procedimentos com relação às informações de saúde.

O treinamento deve ser fornecido a cada novo profissional dentro de um período razoável de tempo após a pessoa ingressar na instituição.

Além disso, os membros do time também devem ser treinados se suas funções forem afetadas por uma mudança material nas políticas e procedimentos nas regras de privacidade e proteção definidas.

4. Procedimentos para divulgação ou compartilhamento de dados devem ser documentados e autorizados

É necessária uma autorização por escrito do paciente quando uma instituição de saúde precisar compartilhar ou divulgar documentos, informações ou notas de psicoterapia, distúrbio de abuso de substâncias e registros de tratamento.

5. Defina procedimentos seguros de armazenamento e recuperação de dados

Backup dos dados devem ser feitos periodicamente. Aliás, é uma prática recomendada também fazer backup de dados regularmente por meio de hardware, como unidades flash e discos rígidos externos, e depois copiar os dados pela nuvem enquanto ela está sendo modificada.

Essa redundância garante que informações críticas estejam prontamente disponíveis. Se possível, as instituições de saúde devem ter backups em vários locais.

6. Firewalls são essenciais para garantir que as informações eletrônicas de saúde protegidas não sejam destruídas incorretamente

Usar adequadamente um firewall pode ajudar a evitar que sua instituição seja vítima de um acesso não autorizado com potencial de comprometer a confidencialidade, integridade ou disponibilidade das informações de saúde dos pacientes.

7. As informações de saúde registradas em papel devem ser protegidas

A preocupação com a proteção de dados e privacidade também se aplica ao uso de papel e outros arquivos físicos. Além de políticas e procedimentos abrangendo a segurança física de documentos, os funcionários devem ser orientados a relatar imediatamente todos os incidentes que possam envolver a perda ou roubo de tais registros em papel.

8. Informações de saúde do paciente nunca devem ser deixadas sem supervisão

Cuidados extras devem ser tomados quando os prontuários dos pacientes são transportados temporariamente para outras instituições de saúde.

Essas informações devem ter a supervisão e proteção de profissionais responsáveis durante o percurso, entrega e armazenamento das informações de saúde.

9. A criptografia de documentos e dispositivos deve proteger contra cibercriminosos

Em suma, os dispositivos e documentos devem ser protegidos com uso da criptografia e assinatura digital durante o compartilhamento entre instituições e outros profissionais de saúde.

10. Manter os softwares antivírus e antimalware atualizados é de vital importância

Além disso, a atualizações e patches de software devem ser aplicados em tempo hábil para manter as redes e sistemas seguros.

Vale lembrar também que o bom senso é sempre uma boa prática recomendada. Os funcionários nunca devem compartilhar senhas. As senhas padrão devem ser alteradas imediatamente após a atribuição de um novo aplicativo. Por fim, elas não devem ser reutilizadas entre sistemas diferentes e devem também ser alteradas caso forem comprometidas.

O objetivo final é atingir níveis elevados de segurança, proteção e privacidade de dados, garantindo assim a integridade das informações de saúde de pacientes e demais responsáveis.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Criptografia de dados e gerenciamento de chaves

Criptografia de dados e gerenciamento de chaves

O uso de criptografia para proteção de dados em repouso ou de meios de comunicação é uma realidade para as empresas e os usuários de serviços como armazenamento em nuvem, troca de mensagens e muitos outros.

Entretanto, para os responsáveis por estes serviços são apresentadas muitas opções de mecanismos criptográficos e consequentemente, há muitas escolhas a serem feitas.

Escolhas inadequadas podem resultar em pouco ou nenhum ganho, criando uma falsa sensação de segurança. Criptografia de dados e gerenciamento de chaves

 

Por exemplo: criptografar uma base de dados e manter a chave criptográfica em um arquivo no servidor.

Neste artigo pretendemos abordar alguns aspectos relevantes para a segurança da informação que estão relacionados às chaves criptográficas. Com isso mostraremos a importância do correto gerenciamento delas para a programação dos serviços criptográficos.

Para facilitar o entendimento, dividiremos o artigo em três partes. Iniciando com os conceitos básicos sobre criptografia, serviços criptográficos e, por último, gerenciamento de chaves criptográficas.

1. Conceitos básicos de criptografia de dados

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação.

Para isso, emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta).

Mantendo este segredo seguro, impedimos que pessoas não autorizadas tenham acesso à informação original (decifrar).

Segredo

A segurança dos serviços criptográficos é baseada no segredo da chave criptográfica, que permite cifrar e decifrar, e não no método de transformar a informação, ou seja o algoritmo utilizado, que deve ser público.

Chaves simétricas e assimétricas

Em criptografia existem dois tipos básicos de algoritmos: os de chave simétrica e assimétrica. Os primeiros utilizam uma única chave para cifrar e decifrar os dados, enquanto os segundos adotam par de chaves, sendo uma para cifrar e a outra para decifrar.

O diagrama a seguir mostra o uso de uma chave simétrica para a cifra de uma mensagem. Podemos ver que a chave utilizada por João é a mesma adotada por Alice.

Criptografia de dados e gerenciamento de chaves
Figura 2 – Algoritmo de chave simétrica

O próximo diagrama mostra o uso de uma chave assimétrica. A chave utilizada por Alice para cifrar é a chave pública de João, que usa sua chave privada para decifrar.

Algoritmo de chaves assimétricas
Figura 3 – Algoritmo de chaves assimétricas

Um ponto interessante deste tipo de algoritmo é que, após cifrar com a chave pública, apenas a privada pode decifrar.

Como exemplos de uso para estes algoritmos, podemos citar uma base de dados que utiliza o algoritmo AES (chave simétrica) para cifrar uma determinada informação no banco de dados e a assinatura digital de documentos que usa o algoritmo RSA (chave assimétrica).

Também gostaríamos de ressaltar que o segredo nestes dois tipos de algoritmos está em proteger a chave simétrica e a privada (no caso das chaves assimétricas).

Por fim, outro aspecto é que estes algoritmos são complementares e servem como base para a programação dos serviços criptográficos.

Resumo criptográfico e assinatura digital

O resumo criptográfico é um valor que representa uma informação. Ele é gerado por meio de um algoritmo, como o SHA256, a fim de analisar os dados bit-a-bit e cria um valor que não pode ser falsificado na prática.

Resumo criptográfico
Figura 4 – Resumo criptográfico

Porém, o resumo criptográfico não pode ser usado sozinho, pois apesar de não ser viável falsificá-lo, é possível substitui-lo.

Então, para ser utilizado na prática, o resumo criptográfico é cifrado com a chave privada (assimétrica), gerando uma assinatura digital.

Assim, todos que têm a chave pública podem gerar o resumo criptográfico e compara-lo com o presente na assinatura digital. Com isso pode-se verificar se os dados são válidos.

Assinatura digital
Figura 5 – Assinatura digital

Vamos tomar o SHA256withRSA por exemplo. Ele utiliza o algoritmo de resumo SHA256 e o algoritmo de criptografia RSA para gerar a assinatura digital. Porém, isso ainda não é suficiente, pois não temos como identificar a quem pertence uma determinada chave pública.

Para tal, é necessário um novo elemento: o certificado digital.

O certificado digital consiste basicamente em uma informação textual que identifica uma entidade (pessoa, empresa ou servidor), uma chave pública e um propósito de uso. Ele tem uma assinatura digital.

É importante observar que a assinatura do certificado digital deve ser feita por uma entidade terceira (autoridade certificadora digital) confiável. Assim, introduzimos o conceito de relação de confiança. De acordo com ele, se confiamos na entidade A e esta confia na entidade B, então também confiamos em B.

Relação de confiança
Figura 6 – Relação de confiança

Assim, concluímos os conceitos básicos de criptografia. Na próxima parte, falaremos sobre os serviços criptográficos que podem ser criados a partir deles.

2. Serviços criptográficos

Os mecanismos criptográficos básicos, como criptografia simétrica e resumo criptográfico são utilizados para suportar serviços de confidencialidade, integridade, autorização e irretratabilidade ou não-repúdio.

Assim, temos que um mecanismo criptográfico pode ser utilizado para suportar vários serviços. Do mesmo modo é importante que os serviços criptográficos devem ser utilizados em conjunto para garantir a segurança.

A seguir, descreveremos brevemente os serviços criptográficos básicos:

Confidencialidade

Este serviço provê a confidencialidade dos dados por meio de criptografia. Ele também garante que as informações não possam ser visualizadas por terceiros e que apenas pessoas autorizadas tenham acesso a elas.

Como exemplo, temos a cifra de arquivos, sistemas de arquivos e bases de dados com chaves simétricas. Também temos informações cifradas com a chave pública do certificado, assim só quem têm a chave privada correspondente poderá abrir a informação.

Integridade

O serviço de integridade deve garantir que uma determinada informação não seja modificada de maneira não autorizada após a sua criação, durante a transmissão ou o armazenamento.

Seja a alteração acidental ou intencional, a inserção, remoção ou substituição de dados deve ser detectada. Mecanismos criptográficos como o resumo criptográfico, também conhecido como hash e a assinatura digital fornecem o suporte para este serviço.

Autenticação

O serviço de autenticação verifica a identidade de um usuário ou sistema que solicita autorização para acesso a uma informação.

A assinatura digital é um mecanismo criptográfico geralmente utilizado para suportar este serviço, pois já foi validado a identificação do antes da emissão do certificado digital, seja feito por uma Autoridade Certificadora confiável ICP-Brasil ou outra que a organização confie, tal como, Autoridade Certificadora Interna.

Nas Autoridades Certificadoras ICP-Brasil, é no processo de emissão do certificado digital que a pessoa necessita comparecer a uma validação presencial, com documentos originais que comprovem a identidade do requerente.

Irretratabilidade

O serviço de irretratabilidade fornece os meios para garantir que quem criou uma informação não possa negar a autenticidade dela.

Neste sentido, está ligada à assinatura digital, na qual o proprietário da chave privada não pode negar que a realizou para um determinado fim.

Assim, terminamos a descrição dos serviços criptográficos. Na próxima parte, apresentaremos os principais fatores a serem considerados no gerenciamento de chaves criptográficas.

Autorização

Adicionalmente, após a autenticação, é possível utilizar a informações do usuário autenticado no sistema para definir a autorização as informações. O serviço de autorização fornece a aprovação ou permissão para a execução de uma atividade.

Como exemplo, o serviço de autorização pode ser empregado para definir as permissões de uso de uma chave criptográfica que, consequentemente, permitiria o acesso a uma determinada informação.

3. Gerenciamento de chaves criptográficas

As chaves criptográficas são o fundamento da criptografia e nestas reside a segurança dos dados cifrados. Brechas podem levar ao comprometimento das chaves e, consequentemente, ao vazamento de informações sigilosas.

O aumento no uso da criptografia para proteção de dados, principalmente devido à regulamentação do governo, faz com que as empresas tenham que lidar com múltiplas soluções para cifra.

Por conta da diversidade de fornecedores, as organizações também precisam definir vários procedimentos para gerenciar as chaves criptográficas, sendo que nem sempre eles são adequados.

O gerenciamento de chaves criptográficas consiste em armazenar, proteger, organizar e garantir o uso adequado delas, gerir seu ciclo de vida e manter cópias de segurança de forma segura e consistente.

No gerenciamento de chaves, devemos levar em consideração alguns pontos que descreveremos a seguir:

Armazenamento seguro das chaves

As chaves devem ser armazenadas de forma segura, ou seja, cifradas e com controle de acesso.

A criptografia deve ser preferencialmente realizada por meio de chaves (KEK) protegidas em um hardware criptográfico.

Identificação das chaves

Deve ser possível identificar uma chave, seu tipo, sua finalidade, quem está autorizado a utiliza-la e o período de uso.

Autenticação de usuário e autorização de uso

O uso das chaves criptográficas deve ser permitido apenas após a identificação do usuário.

Assim, para o gerenciamento adequado das chaves, o sistema deve fornecer mecanismos de autenticação e autorização ou permitir a integração com sistemas já existentes, como o Active Directory da Microsoft.

Ciclo de vida das chaves criptográficas

O ciclo de vida das chaves criptográficas deve ser controlado para que elas sejam utilizadas de forma adequada durante o período de validade — ou seja, somente pessoas ou sistemas autorizados podem utiliza-las durante um tempo pré-definido e com mecanismos seguros para que não haja comprometimento.

Assim descreveremos o ciclo de vida das chaves, segundo recomendação NIST.

O ciclo de vida de uma chave inicia com a geração e finaliza com a destruição, passando por um ou mais dos estados descritos a seguir:

  • geração: momento de criação da chave, que ainda não está pronta para uso;
  • pré-ativação: a chave foi gerada, mas ainda não está pronta para uso, porque aguarda o período de utilização ou a emissão de um certificado;
  • ativada: a chave está disponível para uso;
  • suspensa: o uso da chave está suspenso temporariamente. Neste estado, ela não pode mais realizar operações de cifra ou assinatura, mas pode ser utilizada para recuperação de dados ou verificação de assinaturas realizadas anteriormente.
  • inativada: a chave não pode ser mais utilizada para cifra ou assinatura digital, sendo mantida para o processamento de dados cifrados ou assinados antes da inativação.
  • comprometida: indica que a chave tem a sua segurança afetada e não pode mais ser usada em operações criptográficas. Em alguns casos, como nas chaves simétricas, pode ser utilizada para recuperar os dados cifrados para posterior cifra com outra chave.
  • destruída: este estado indica que uma chave não é mais necessária. A destruição da chave é o estágio final e pode ser atingido devido ao fim do ciclo de uso dela ou do comprometimento de sua segurança.

Cópias de segurança das chaves criptográficas

A função principal das cópias de segurança é garantir a recuperação das chaves e, consequentemente, dos dados cifrados em caso de perda ou devido a falhas.

Assim como as chaves, que devem ser armazenadas de forma segura durante o uso, as cópias de segurança também precisam ser protegidas. Elas podem ser guardadas em arquivos cifrados ou hardwares criptográficos próprios para esta finalidade, que devem ficar em locais seguros.

Terminamos aqui nosso artigo sobre criptografia de dados e gerenciamento de chaves criptográficas.

Se você deseja saber mais sobre o assunto, leia também:

  1. O que é uma requisição de certificado digital e como é feita?
  2. Criptografia nativa é a melhor forma de proteger dados?
  3. 6 problemas gerados por gerenciamento do ciclo de vida dos certificados digitais

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. Eval, segurança é valor.

Categorias
Proteção de dados

A verdade que ninguém nunca contou a você sobre perda de chaves

A verdade que ninguém nunca contou a você sobre perda de chaves

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Atualmente, o roubo de dados e requisitos de conformidade regulamentar causaram um aumento drástico no uso de chaves de criptografia nas empresas.

É muito comum, por exemplo, que uma única empresa use várias dezenas de ferramentas de criptografia diferentes. Possivelmente essas ferramentas sejam incompatíveis, resultando assim em milhares de chaves de criptografia.

Como prevenir a perda de chaves?

Em um mundo perfeito, a gestão de chaves criptográficas tem a responsabilidade pela administração, proteção, armazenamento e o backup de chaves de criptografia.

Afinal, cada chave deve ser armazenada com segurança, protegida e recuperável. Porém, a realidade é outra e você deve saber bem como termina essa história quanto a perda de chaves.

A importância do armazenamento e backup de chaves de criptografia

O gerenciamento de chaves significa proteger as chaves de criptografia contra perda e acesso não autorizado.

Muitos processos devem ser usados ​​para fazer o controle e a gestão de chaves. Isso inclui alterar as chaves regularmente, gerenciar como as chaves são atribuídas e quem as recebe.

A experiência nos mostra que a perda de chaves gera um grande impacto em importantes processos de negócio das empresas. Isso faz com que ocorra a perda de acesso a sistemas e dados, bem como torna um sistema completamente inútil, a menos que seja formatado e totalmente reinstalado.

Vale destacar que atualmente é essencial para qualquer empresa ter mais de uma pessoa responsável pelo armazenamento e backup das chaves de criptografia.

Desta forma, somos direcionados a diversas boas práticas do mercado. Temos por exemplo as funções dos responsáveis definidas e a criação de uma política de gerenciamento de chaves de criptografia eficiente e acessível a todos.

Entretanto, há um grande desafio pela frente. Um dos grandes problemas conhecidos é a falta de ferramentas unificadas para reduzir a sobrecarga do gerenciamento.

Um sistema de gerenciamento de chaves comprado de um fornecedor não pode gerenciar as chaves de outro fornecedor. Isso é devido ao fato que cada um implementa um mecanismo de gerenciamento de maneira própria.

Você provavelmente deve estar recordando alguns fatos relacionados a falta de um armazenamento eficiente. Inclusive os casos de perda de chaves e os impactos para a empresa.

A perda de chaves expõe dados de pessoas e empresas

A perda ou a exposição de chaves de criptografia nunca será uma boa experiência. Imagine, por exemplo, um desenvolvedor armazenando acidentalmente as chaves em um repositório público? Infelizmente este cenário é provável, pode acontecer facilmente para qualquer tipo de chaves de criptografia e em diferentes empresas.

Alguém pode enviar acidentalmente as chaves em um código fonte ou em qualquer envio de conjunto de arquivos ou dados.

Seja na nuvem ou em data centers próprios, as empresas precisam construir uma estratégia de gerenciamento que evite a perda das chaves e/ou exposição indevida.

Como vimos, as chaves devem armazenadas de maneira segura e com acesso limitado àqueles que precisam delas para trabalhar. Por isso, algumas empresas utilizam aplicativos de proteção contra perda de chaves.

Elas servem para verificar o tráfego na rede em busca de vazamentos de dados. Assim como detectar a divulgação acidental ou maliciosa de informações confidenciais ou particulares.

Não apenas a gestão deficiente de chaves pode levar a servidores comprometidos. Mas também se as chaves usadas para criptografar dados forem perdidas, os dados criptografados com essa chave também serão perdidos.

Portanto, não existe um substituto para o gerenciamento de chaves de criptografia.

Situações comuns que levam a perda de chaves criptográficas

Por ser algo de relativa complexidade para determinados funcionários das empresas, é possível imaginar que a perda de chaves não aconteça com tanta frequência. Entretanto, existem situações muito comuns em nossas rotinas que nos levam a cenários de perda de chaves:

  • O responsável pelas chaves esquece a senha de acesso à chave;
  • O funcionário responsável pelas chaves não lembra onde armazenou a chave;
  • O gestor possui uma quantidade de chaves enorme para gerenciar;
  • A pessoa responsável pelas chaves sai da organização e quem fica acaba com um grande problema de gerenciamento.

A importância das chaves criptográficas é óbvia para os profissionais de segurança da informação. Mas a complexidade do gerenciamento delas pode ser quase tão assustadora quanto os próprios algoritmos de criptografia.

Tudo se resume ao quanto é importante para as empresas controlarem as chaves

Antes de mais nada, é importante ver o que é uma assinatura digital e como ela funciona.

Uma assinatura digital é o equivalente a uma assinatura escrita. Seu propósito pode ser verificar a autenticidade de um documento ou verificar se o remetente é quem ele afirma ser.

Isso nos mostra a importância das chaves de criptografia em processos produtivos, Assim como o impacto gerado pela perda das chaves nas rotinas das empresas de diferentes segmentos ou tamanhos.

O custo principal da perda de chaves é o gerenciamento de risco. Isso por que incidirá principalmente em tornar as empresas alvo para sofisticados ataques virtuais, levando a prejuízos não só financeiros, mas também relacionados a imagem da organização.

Uma das práticas mais recomendadas para reduzir incidentes relativos aos ataques virtuais é a realização de auditorias. Isso por que essa prática auxilia identificar se as chaves estão sendo utilizadas e da forma correta.

Esse processo consiste em auditar a criptografia de chave pública para identificar fontes e dispositivos vulneráveis, de tokens a certificados TLS.

As estratégias de mitigação disponíveis dos fornecedores podem então ser revisadas e aplicadas de acordo com as prioridades baseadas no risco.

A solução para todos os problemas é…

Não faltam orientações sobre como gerenciar identidades digitais e como identificar a melhor opção para sua empresa, tudo depende do ambiente atual e dos recursos disponíveis.

Embora o uso de uma política mais forte de gestão possa ser a opção mais segura, isso também pode resultar em custos significativos. As empresas devem se concentrar na melhoria contínua. Além disso, pode ajudar a gerenciar seus riscos a um preço compatível com sua realidade.

As empresas devem avaliar criticamente a forma com protegem seus sistemas. Devem também considerar as causas-raiz dos incidentes de segurança em seus ambientes como parte de uma avaliação de riscos.

É comum, por exemplo, vários incidentes de segurança relacionados a contas comprometidas. Principalmente em decorrência da falta do gerenciamento correto das chaves de criptografia.

À medida que os sistemas se tornam mais seguros e as empresas adotam medidas efetivas para gerenciar seus processos. Vale lembrar que iniciativas como a autenticação e gestão de chaves estão se tornando cada vez mais importantes.

É importante garantir que sua empresa esteja usando os processos de autenticação e autorização apropriados. Para isso é necessário o uso de chaves criptográficas com base na gestão de riscos.

Afinal já é o primeiro passo para reduzir os riscos de incidentes e garantir a confidencialidade dos dados de clientes e funcionários.

Aproveite o final do nosso artigo e responda a seguinte pergunta: Qual é a estratégia de gerenciamento de chaves de criptografia adotada por sua empresa atualmente?

Assine nossa Newsletter e fique por dentro das novidades e tecnologias EVAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

5 tecnologias que estão mudando o cenário da cibersegurança.

5 tecnologias que estão mudando o cenário da cibersegurança.

A área da cibersegurança tem enfrentado desafios cada vez maiores. Com organizações criminosas aumentando a sofisticação e diversidade de formas de ataques, é preciso que as instituições tenham ferramentas à altura para que consigam se proteger.

Felizmente, a evolução não é unilateral.

Governos, usuários e profissionais da área de segurança da informação estão atentos ao tema, buscando melhores soluções e existem boas perspectivas.

Neste texto, por exemplo, separamos 5 tecnologias que estão mudando o cenário da cibersegurança. Nem todas são novas, mas têm sido usadas de formas inovadoras para fazer frente aos cibercrimes.

Blockchain para cibersegurança

Conhecido por ser a tecnologia por trás da bitcoin, o blockchain tem sido visto como provedor de muitas oportunidades. No âmbito da cibersegurança, ele está ainda em sua fase inicial.

Mas, em breve, deve ser o responsável por muitas novidades no setor.

Uma vez que registra toda atividade de forma permanente e transparente para toda a rede, o blockchain torna possível enxergar quando um novo usuário tenta acessar arquivos que nunca havia acessado, por exemplo.

Isso pode deixar mais fácil de enxergar anomalias, já que ficarão gravadas nos blocos de informação da cadeia.

Inteligência Artificial

Por sua alta capacidade de processamento, a inteligência artificial tem sido uma grande aliada na busca por quebra de padrões nas redes.

A rapidez com que conseguem varrer o sistema é infinitamente superior à capacidade humana, o que ajuda a detectar eventos desconhecidos e impedi-los de continuar antes que aumentem de proporção.

Essa é uma tecnologia que tende ainda a crescer muito, principalmente com a possibilidade das máquinas expandirem sua aprendizagem continuamente, dependendo menos do input de informações por parte dos humanos.

Machine Learning e o desenvolvimento da segurança da informação

O machine learning promete ser a cereja que faltava no bolo da inteligência artificial.

Com sua capacidade de aprendizado não dependendo mais de uma pessoa, as máquinas podem rapidamente aprender novos padrões e a identificar de forma mais intuitiva mudanças maliciosas na rede.

Apesar de estar em foco de um tempo para cá, o conceito do machine learning não é nada novo. Porém, só hoje ele encontra as possibilidades tecnológicas para se desenvolver mais plenamente e criar novas possibilidades para diversos âmbitos.

E, claro, isso inclui a cibersegurança.

Cloud Computing

Além de representar uma economia de investimento e oferecer mais opções quando o assunto é escalabilidade, o cloud computing oferece também mais segurança que os data centers físicos.

É claro que é preciso lembrar que no final das contas seus dados estarão, sim em algum lugar do mundo, armazenados em um espaço físico.

Porém, por ser um local destinado só a isso, ele terá uma estrutura de segurança superior a que sua organização provavelmente pode oferecer.

Além disso, os serviços de cloud oferecem planos com backups automáticos e controlam a segurança da rede o tempo todo. Mesmo as remediações, caso necessárias, são feitas de forma muita mais rápida na nuvem.

Criptografia

E se, mesmo com todas as precauções, sua organização tenha um vazamento de dados?

Nesse caso, a criptografia oferece uma última e importante barreira de proteção. Sem a chave criptográfica, suas informações continuam ilegíveis.

Essa tecnologia mudou especialmente o mercado financeiro. Alguns exemplos do seu uso são os tokens e a criptografia de dados do cartão de crédito em compras online. Hoje, até mesmo trocas de mensagens instantâneas e redes sociais contam com essa tecnologia.

Já conhece as tecnologias que estão mudando o cenário da cibersegurança, mas não sabe por onde começar?

Quando o assunto é segurança de dados, quanto mais soluções forem utilizadas, melhor. Aliás as diversas tecnologias garantem mais camadas de proteção e trazem mais robustez à rede.

Mas, se ainda precisa traçar desde o início um plano para segurança da informação na sua empresa, veja aqui por onde começar sua estratégia.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Lugares onde você usa criptografia e nem imagina

Lugares onde voce usa criptografia e nem imagina

Se você acha que criptografia é apenas para as grandes empresas do setor financeiro, está enganado. Na verdade, a proteção de dados é mais importante do que imaginamos, muitas vezes ela está bem na nossa frente e nem notamos. A tendência é que ela realmente passe despercebida, garantindo assim a sua eficiência.

Veja a seguir exemplos do cotidiano que aproximam a criptografia das pessoas sem que elas percebam:

Internet Banking

Pagamentos online e transações financeiras de forma remota já são realidade no dia a dia de milhares de brasileiros. Entretanto, muitos deles nem se dão conta de que estão se beneficiando da criptografia nesses serviços. A facilidade que os sistemas de internet banking trazem para os usuários é possível graças ao sistema de segurança que os bancos adotam para proteger os seus dados. Assim, todas as transações ficam protegidas por criptografia, garantindo a segurança dos dados dos usuários.

WhatsApp

O uso de aplicações em dispositivos móveis é cada vez mais comum. São muitas as possibilidades e uma das preferidas dos usuários é a troca de mensagens rápidas. O aplicativo de troca de mensagens mais usado no Brasil é o WhatsApp, que atualmente pertence ao Facebook. As funções dentro do app são diversas e permitem entre outras coisas a troca de fotos, vídeos e mensagens de voz, por exemplo. Tudo acontece de forma rápida e simples, e assim o volume de mensagens é cada vez maior.

A fim de garantir que o conteúdo das mensagens trocadas pelo WhatsApp não seja interceptado, o aplicativo utiliza uma tecnologia de segurança que eles próprios chamam de criptografia de ponta a ponta. A privacidade se tornou um fator primordial para os usuários do aplicativo que ficaram sabendo da proteção por criptografia por meio de um aviso emitido pelo app.

iPhone

Manter os dados privados seguros através de criptografia é uma realidade em muitas áreas, nos dispositivos portáteis isso também acontece, mas poucos usuários têm consciência disso. Os smartphones da fabricante Apple são conhecidos, entre outras coisas, por oferecerem boa segurança aos seus usuários. Esse é sem dúvida um dos atrativos para a legião de fãs da marca.

O fato é que quando necessário, a criptografia do iPhone se mostrou resistente. Como no caso em que o FBI precisou quebrar a segurança de um dispositivo que pertencia a um suspeito de envolvimento com terrorismo. A repercussão foi grande. O FBI pediu a ajuda da Apple para quebrar a criptografia do iPhone. A Apple por sua vez foi a justiça para garantir que ela não participasse da quebra, pois isto traria um risco para empresa, se ela ajuda a quebrar a criptografia de um cliente, por que não de todos?

Redes Sociais

As redes sociais possuem políticas de segurança próprias a fim de garantir a integridade dos dados de seus usuários. Ao decidir entrar numa rede social você precisa concordar com os termos de privacidade dela. Portanto, a responsabilidade pelo conteúdo postado é sua. Além disso, compreender essa política de privacidade dá ao usuário a consciência sobre o que é e o que não é recomendável ser compartilhado por ali.

Para acessar uma rede social o usuário precisa de uma chave de permissão, criada junto ao sistema previamente. A sua senha lhe permite interagir com outros usuários, trocar mensagens e visualizar conteúdo interno. Para garantir a  segurança, algumas informações são criptografadas desde o canal de comunicação até algumas informações dos usuários que são armazenadas.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Where We Are

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho
São Paulo - SP,
ZIP CODE:05440-000

Contact

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Facebook Instagram Linkedin
logo-tales-azul
pci-logo-teal
keyfactor-logo
logo-valid-certificadora-digital
google-safe-browsing
Privacy Policy

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. All rights reserved - CNPJ 05.278.889/0001-97