Tag: gerenciamento de chaves

Gestão de Chaves Criptográficas em nuvem, conheça o DPoD

Autor do post Por Editorial Eval
Data de publicação 4 de julho de 2022

Gerenciamento de Chaves Criptográficas baseado em nuvem, conheça o DPoD

Muitas organizações enfrentam dificuldades para implementar um sistema eficaz de gestão de chaves criptográficas. Isso se deve, em parte, à complexidade do processo e às ferramentas necessárias para implementar e manter um sistema seguro. É neste momento que o HSM na nuvem faz a diferença.

Para reduzir a complexidade no Gerenciamento de Chaves Criptográficas, as empresas implementam soluções de HSM (Hardware Security Modules) que podem ser implementados localmente ou na nuvem.

O HSM na nuvem supera o desafio da Gestão de Chaves Criptográficas

HSM na nuvem consiste basicamente em um dispositivo seguro de hardware que está sendo gerenciado por um provedor de nuvem.

A nuvem fornece acesso às chaves criptográficas para as aplicações empresariais que as necessitam, sem expor as chaves aos riscos de segurança associados à internet.

As empresas estão cada vez mais interessadas em usar a nuvem para os seus negócios, devido às vantagens que oferece, como flexibilidade, escalabilidade e economia.

Ao permitir que as chaves sejam gerenciadas fora da rede corporativa, a nuvem simplifica o processo e torna mais seguro.

Isso significa que as chaves não precisam mais ficar armazenadas em um único local e podem ser acessadas de qualquer lugar do mundo, 24 horas por dia.

O gerenciamento de chaves criptográficas com uso de HSM na nuvem também oferece mais flexibilidade em termos de escalabilidade.

As chaves podem ser criadas e gerenciadas dinamicamente para atender às necessidades do negócio, sem a necessidade de um grande investimento inicial.

O HSM na nuvem também permite que as chaves sejam facilmente compartilhadas entre diferentes departamentos e geografias, o que simplifica a colaboração e facilita para as equipes trabalharem em conjunto.

Por fim, a gestão de chaves criptográficas com uso de HSM na nuvem oferece maior controle e rastreabilidade. As chaves podem ser acompanhadas e monitoradas para garantir que estejam sendo usadas de acordo com as políticas da empresa.

O Gerenciamento de Chaves Criptográficas em nuvem são tão seguros quanto os HSMs locais?

Quando se trata de segurança, as pessoas tendem a pensar que o “local é sempre melhor”. No entanto, isso nem sempre é verdade, especialmente quando se trata da gestão de chaves criptográficas.

De fato, muitas organizações estão descobrindo que o uso de HSMs em nuvem pode oferecer mais segurança do que os módulos de segurança locais.

Isso se deve ao fato de que os HSMs em nuvem são geralmente mais seguros do que o HSM local. Afinal, eles estão sendo executados em um ambiente seguro sendo gerenciados por equipes de segurança altamente experientes.

Além disso, o gerenciamento de Chaves Criptográficas com uso de HSMs em nuvem geralmente têm mais recursos de segurança do que os módulos de segurança locais, o que significa que são menos propensos a serem comprometidos.

No entanto, é importante notar que os HSMs em nuvem ainda são susceptíveis a ataques.

Portanto, as organizações devem tomar medidas para proteger seus módulos de segurança, assim como buscar provedores que ofereçam recursos de segurança robustos.

Thales Data Protection on Demand (DPoD): não é apenas segurança, é proteção de dados sob demanda

O Thales Data Protection on Demand é uma plataforma baseada em nuvem que fornece uma ampla variedade de serviços de gestão de Chaves Criptográficas com uso de e HSM em nuvem por meio de um mercado online simples.

Com o Data Protection on Demand (DPoD), a segurança é mais simples, mais econômica e mais fácil de gerenciar porque não há hardware para comprar, implantar e manter.

Thales Data Protection on Demand está a apenas um clique de distância. Basta clicar e implantar a proteção que sua empresa precisa, provisionar serviços, adicionar políticas de segurança e obter relatórios de uso em minutos.

Obtenha segurança de dados de forma ágil e eficiente

Com o Data Protection on Demand, você tem acesso a uma ampla variedade de serviços de segurança simplesmente clicando e implantando o que precisa para proteger dezenas de aplicativos e casos de uso.

É simples assim.

Zero investimento de capital inicial e preços de pagamento conforme o uso

Não há hardware ou software para comprar, dar suporte e atualizar, então você não tem nenhum gasto de capital.

Além disso, com preços exclusivos de pagamento conforme o crescimento, você tem a flexibilidade de adquirir serviços para atender às suas necessidades de negócios em constante mudança.

Proteja os dados em qualquer lugar e cumpra os mandatos de conformidade

Com o DPoD, você pode proteger dados confidenciais em qualquer ambiente, nuvem, híbrido ou local, para gerenciar suas políticas de segurança e atender aos requisitos regulatórios e de conformidade. Proteja os dados que você cria, armazena e analisa.

Habilite seus aplicativos com criptografia: Blockchain, Nuvem e Internet das Coisas.

Centralize a gestão de Chaves Criptográficas em todas as nuvens

O Data Protection on Demand é independente da nuvem, portanto, independentemente de você usar Salesforce.com, Amazon Web Services, Google, IBM e Microsoft Azure ou uma combinação de soluções na nuvem e no local, você está sempre no controle do gerenciamento de Chaves Criptográficas de suas chaves de criptografia.

Integre facilmente com seus serviços de nuvem, híbridos e de TI

O Data Protection on Demand já vem com APIs pré-configuradas que facilitam a integração do Luna Cloud HSM e serviços de gestão de chaves criptográficas para proteger seus aplicativos e dados.

Com a migração perfeita de chaves entre os serviços Luna Cloud HSM e os appliances Luna HSM no local, a Thales ajuda os clientes a garantir que seus dados e as chaves desses dados estejam seguros.

Isso se mantém verdadeiro, independentemente de onde suas informações residam. Além disso, a empresa oferece suporte à integração de HSM de terceiros, SDK comum e suporte a API e acesso de grupo de alta disponibilidade para dispositivos Luna locais e serviços DPoD.

Escalabilidade e elasticidade infinitas

Aumente ou diminua os serviços de gerenciamento de chaves criptográficas e HSM conforme seus requisitos mudam. Você pode aumentar facilmente a nuvem e HSM híbrido e capacidade de gerenciamento de chaves e recursos de criptografia sem limitações.

Concentre-se no seu negócio

Não no gerenciamento de hardware e software de segurança. Saiba como a parceria Eval e Thales pode ajudar sua empresa.

Use o Data Protection on Demand e você não precisará comprar, provisionar, configurar e manter hardware e software para suas necessidades de HSM e gestão de chaves criptográficas .

Todo o hardware físico, software e infraestrutura são gerenciados pela parceria oficial existente entre a Eval e a Thales, incluindo um SLA, para que você possa se concentrar em seus negócios.

Implantamos e gerenciamos serviços de módulo de gerenciamento de chaves criptográficas e segurança de hardware, sob demanda e na nuvem.

Concentre-se em serviços, não em hardware;
Implante em minutos, não em dias;
Compre apenas o que você precisa e reduza custos;
Proteja os dados em qualquer lugar;
Relatórios e visibilidade em tempo real;
Integra-se facilmente com aplicativos, infraestrutura e serviços de TI existentes.

O Data Protection on Demand (DPoD) ampliou suas capacidades de serviço para incluir serviços de segurança liderados por parceiros, expandindo o valor da extensa gama de integrações do Thales Luna HSMs em todo o ecossistema de segurança.

Com a proteção de dados sob demanda, a Eval e a Thales podem oferecer serviços de criptografia e gestão de chaves de maneira rápida e fácil.

Eval Professional Services possui um time de profissionais especializados e com as melhores práticas do mercado

Beneficie-se de nossos anos de experiência e conhecimento especializado em segurança da informação e conformidade com a Lei Geral de Proteção de Dados (LGPD).

Seremos seu parceiro para a realização de projetos de digitalização em conformidade com os regulamentos de segurança e proteção de dados.

Compartilhamos a nossa experiência em todos os fluxos de negócios em instituições de saúde para ajudá-lo a minimizar riscos, maximizar o desempenho e garantir a proteção de dados que seus pacientes e parceiros esperam.

Sobre a Eval

Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags DPoD, gerenciamento de chaves, Gerenciamento de Chaves Criptográficas, HSM em nuvem, Thales Data Protection on Demand

Gestão de Documentos e Contratos

Gerenciamento de chaves: prós e contras do Excel

Autor do post Por Editorial Eval
Data de publicação 23 de novembro de 2020

O planejamento estratégico e a gestão empresarial são essenciais para o sucesso de qualquer instituição. E, como você sabe, essas áreas precisam de informações válidas para tomar decisões . Um aspecto muito importante é o gerenciamento de chaves para a segurança e proteção de dados.

Por isso, escolher as ferramentas certas para inserir, rastrear, analisar e armazenar dados ajudará os administradores e gestores a fazerem as melhores escolhas para os negócios da instituição de saúde.

Uma das formas mais conhecidas deste processo de organização e gerenciamento é o uso de planilhas eletrônicas, a exemplo do Excel.

As planilhas são populares entre os gestores, especialmente aqueles que gostam de coletar e rastrear dados. Porém, existem algumas limitações que mostram que elas não são a melhor opção para fazer a gestão de um negócio.

Questões como segurança, proteção de dados, gerenciamento de chaves e assinaturas digitais, colocam em xeque a eficiência do Excel como ferramenta para administrar instituições de saúde.

Acompanhe o artigo e saiba mais!

As vantagens do Excel para o planejamento e a gestão

Não há nada de errado com as planilhas. Inclusive, são ferramentas excelentes para muitos trabalhos diferentes como o planejamento e a gestão das instituições de saúde. Por isso, começaremos mostrando o seu lado positivo.

Organização de dados

As planilhas são frequentemente usadas como ferramentas para coletar e organizar dados. As informações podem ser facilmente colocadas em colunas e linhas e depois classificadas por tipo.

Uma grande coleção de dados pode ser avassaladora para a visualização em seu estado bruto. Entretanto, as ferramentas do Excel permitem ao usuário criar apresentações onde as informações são analisadas e conectadas à gráficos ou tabelas de pizza. Assim a interpretação se torna mais fácil.

Simplificação de cálculos

Ninguém gosta de gastar todo o seu tempo no trabalho fazendo cálculos repetitivos. Portanto, o grande atrativo do Excel é que ele faz toda a matemática para o gestor.

Quando uma fórmula é gravada e o programa executa um comando, é fácil realizar cálculos complexos para os dados inseridos. Assim os usuários podem, por exemplo, fazer perguntas do tipo “e se” e obterem respostas facilmente, deste modo, não é necessário refazer contas.

Na prática, se a planilha estiver configurada para calcular o seu lucro bruto, quando qualquer variável for alterada, ela recalcula com base nas novas informações.

Acesso múltiplo ao usuário

Em um ambiente de trabalho colaborativo, é comum que vários usuários precisem acessar os mesmos documentos.

As planilhas do Excel podem ser compartilhadas, mas só um colaborador pode alterar os dados de cada vez. Então, se cópias locais forem feitas e atualizadas, outros não terão acesso às novas informações.

Apesar da vantagem, vale destacar que não há histórico de arquivos. Portanto, em qualquer momento que alguém realizar alterações, as informações anteriores serão perdidas.

Por esse motivo, podemos considerar uma vantagem parcial.

As desvantagens do Excel na administração de uma empresa

Entramos na era do Big Data e da Transformação Digital, na qual as instituições de saúde percebem o valor dos dados em diversas áreas que atuam.

Cada vez mais hospitais, laboratórios, convênios e consultórios entram na onda dos dados e, em seguida, usam ferramentas desatualizadas para tentar visualizar e comunicar essas informações. Assim, a exemplo de planilhas Excel, a tendência é que ocorra a degradação de planejamento e gerenciamento.

Além disso, os riscos relacionados a segurança e proteção de dados surgem como um fator decisivo para se adotar ferramentas apropriadas de gestão. Vejamos algumas dessas desvantagens.

Vulnerabilidade a fraudes

De todas as desvantagens da planilha, essa, talvez, seja a mais prejudicial. Manipulações fraudulentas nos arquivos de Excel já resultaram em perdas bilionárias. A principal consequência é a falta inerente de controles, tornando muito fácil alterar fórmulas, valores ou dependências sem ser detectado.

Suscetibilidade a erros humanos triviais

Embora a fraude seja sempre uma ameaça para as planilhas, há uma coisa mais significativa que deve fazer com que você considere seriamente se livrar desses sistemas desatualizados: a sua extrema suscetibilidade a erros humanos triviais.

Sinais negativos perdidos e linhas desalinhadas podem soar inofensivos. Contudo, quando eles comprometem a confiança dos pacientes ou até mesmo causam perda ou desperdício de dinheiro, é hora de avançar para alternativas melhores.

Não conformidade regulamentar

Um grande desafio para as empresas é a conformidade regulatória e não falamos apenas de uma ou duas regulamentações.

São exemplos como Serbanes-Oxley (SOX), Basiléia II, GDPR e Lei Geral de Proteção de Dados (LGPD) que impedem a adoção de sistemas de gestão no formato de planilhas eletrônicas.

Inadequação ao mercado digital

Estamos em uma época em que grandes transformações moldam e reformulam o cenário de funcionamento de gestões das instituições de saúde.

Normalmente, as planilhas são criadas por pessoas que não têm o menor conhecimento sobre a documentação do software. Dessa maneira, os arquivos se tornam aplicativos altamente personalizados desenvolvidos pelo colaborador.

Então, quando chega a hora de uma nova pessoa assumir, o recém-chegado pode ter que começar do zero.

A lista de desvantagens se estende por vários outros motivos: ineficiência na tomada de decisões, continuidade de negócios, consolidação de informações etc. Outro ponto que vale destacar tem relação direta com segurança e proteção de dados.

A exemplo do gerenciamento de chaves, a proteção de dados deve ser uma prioridade

Na lista de desvantagens apresentadas, você deve ter percebido itens relacionados a fraude e a conformidade.

Para garantir segurança das informações, a criptografia é uma maneira eficaz de proteger dados. No entanto, as chaves precisam ser utilizadas por meio de soluções adequadas.

O gerenciamento de chaves, por exemplo, não é possível através de planilhas no Excel. As chaves de criptografia devem ser cuidadosamente gerenciadas garantindo que os dados permaneçam protegidos e acessíveis quando necessário.

Neste sentido, o gerenciamento centralizado e seguro de todos os tipos de dados em uma empresa deixa de ser um sonho e se torna uma realidade estratégica.

É importante que os dados da sua instituição estejam seguros para todos os trabalhadores, pacientes e gestores. Assim todos os negócios prosseguirão avançando na era digital com segurança.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia de dados, Excel, gerenciamento de chaves

Proteção de dados

Gerenciamento de Chaves Criptográficas: Saiba Como se Proteger

Autor do post Por Editorial Eval
Data de publicação 27 de novembro de 2019

Saiba como um HSM pode aumentar a proteção de chaves criptográficas e gerenciar o ciclo de vida das chaves

Hardware Security Module (HSM) consiste basicamente em um dispositivo físico que fornece segurança extra para dados confidenciais. Este tipo de dispositivo é usado para cuidar do gerenciamento de chaves criptográficas para funções críticas, como criptografia, descriptografia e autenticação para o uso de aplicativos, identidades e bancos de dados.

As empresas podem usar um HSM para proteger segredos comerciais com valor significativo. Dessa forma se garante que apenas indivíduos autorizados possam acessar o dispositivo e usar a chave armazenada nele.

Responsável por executar operações criptográficas e Gerenciamento de Chaves Criptográficas

As soluções de HSM são projetadas para atender a rigorosos padrões governamentais e regulatórios e geralmente possuem controles de acesso fortes e modelos de privilégios baseados em funções.

Criado especificamente para operações criptográficas rápidas e com resistência à violações lógicas e físicas, a adoção de um HSM é a maneira mais segura de realizar o gerenciamento de chaves criptográficas. Entretanto seu uso não é tão pratico e requer softwares adicionais.

A utilização de HSM deve ser uma prática padrão para qualquer organização altamente regulamentada, evitando assim que essas empresas percam negócios de clientes como o governo, sistema financeiro e de saúde, que exigem fortes controles de proteção para todos os dados considerados sensíveis em suas operações.

Ele também é importante para empresas que adotam, como parte de suas estratégias, o cuidado para não correr riscos por falta de proteção necessária, sendo estes capazes de manchar a imagem da organização.

Práticas recomendadas e usos do HSM

O uso de HSMs pode fornecer taxa de transferência criptográfica aprimorada e resultar em uma arquitetura mais segura e eficiente para o seu negócio.

O HSM se torna um componente vital em uma arquitetura de segurança, que não apenas minimiza os riscos dos negócios, mas também alcança desempenho de ponta em operações criptográficas.

Algumas das práticas recomendadas e casos de uso para HSMs utilizados pelos principais profissionais de segurança são os seguintes:

Armazenamento de chaves da autoridade certificadora

A segurança das chaves da autoridade certificadora (AC) é mais crítica em uma PKI (Public Key Infrastructure). Se uma chave AC for comprometida, a segurança de toda a infraestrutura estará em risco.

As chaves da AC são armazenadas principalmente em HSMs dedicados para fornecer proteção contra violação e divulgação contra entidades não autorizadas. Isso pode ser feito inclusive para ACs internas.

Armazenamento e gerenciamento de chaves de aplicativos

A criptografia, considerada essencial em muitos negócios, é também ajudada pelo poderoso desempenho dos HSMs, fazendo um trabalho incrível de minimizar impacto no desempenho do uso da criptografia assimétrica (criptografia de chave pública), pois eles são otimizados para os algoritmos de criptografia.

Um excelente exemplo disso é a criptografia do banco de dados, onde a alta latência por transação não pode ser tolerada. Mas não se esqueça de criptografar apenas o necessário, assim a sua solução não gastará tempo com informações não sensíveis.

Operações de criptografia

As operações de criptografia às vezes consomem tempo e podem retardar os aplicativos. Os HSMs têm processadores criptográficos dedicados e poderosos que podem executar simultaneamente milhares de operações criptográficas.

Eles podem ser efetivamente usados descarregando operações criptográficas dos servidores de aplicativos.

Rastreamentos completos de auditoria, log e autorização de usuário

Os HSMs devem manter o registro das operações criptográficas, como gerenciamento de chaves, criptografia, descriptografia, assinatura digital e hash de acordo com a data e a hora em que a operação foi realizada. O processo de registrar os eventos envolve a autenticidade e a proteção da fonte de tempo.

A modificação da interface de configurações de data e hora requer autenticação forte por um cartão inteligente ou pelo menos duas pessoas para sancionar ou autorizar esta tarefa.

Destruição de chaves em caso de ataques

Os HSMs seguem requisitos rígidos de segurança. O conteúdo mais importante para um HSM são as chaves. Em caso de um ataque físico ou lógico, eles zeram ou apagam todas as suas chaves para que não caiam em mãos erradas.

O HSM deve “zerar” a si próprio, apagando todos os dados confidenciais se detectar qualquer adulteração indevida. Isso evita que um invasor que obteve acesso ao dispositivo tenha acesso às chaves protegidas.

O ciclo de vida completo das chaves

O NIST, Instituto Nacional de Padrões e Tecnologia, agência não reguladora do Departamento de Comércio dos Estados Unidos, define o ciclo de vida da chave de criptografia como 4 estágios principais de operação: pré-operacional, operacional, pós-operacional e de exclusão, e requer que, entre outras coisas, seja definido um período de criptografia operacional para cada chave. Para maiores detalhes, clique aqui e veja a partir da página 84 até a página 110.

Portanto, um período criptográfico é o “intervalo de tempo durante o qual uma chave específica é autorizada para uso”.

Além disso, o período criptográfico é determinado combinando o tempo estimado durante o qual a criptografia será aplicada aos dados, incluindo o período de uso e o período em que eles serão descriptografados para uso.

Criptografia por longos períodos

Mas afinal, como uma organização pode razoavelmente querer criptografar e descriptografar os mesmos dados por anos a fio, outros fatores podem entrar em jogo ao considerar o período criptográfico:

Você pode por exemplo limitar a:

Quantidade de informações protegidas por uma determinada chave;
Quantidade de exposição se uma única chave for comprometida;
Tempo disponível para tentativas de acesso físico, processual e lógico;
Período dentro do qual as informações podem ser comprometidas por divulgação inadvertida.

Isso pode ser resumido a algumas perguntas-chave:

Por quanto tempo os dados serão usados?
Como os dados estão sendo usados?
Quantos dados existem?
Qual é a sensibilidade dos dados?
Quanto de dano será causado caso os dados sejam expostos ou as chaves perdidas?

Portanto a regra geral é: à medida que a sensibilidade dos dados protegidos aumenta, a vida útil de uma chave de criptografia diminui.

Diante disso vemos que a sua chave de criptografia pode ter uma vida ativa mais curta que o acesso de um usuário autorizado aos dados. Isso significa que você precisará arquivar chaves desativadas e usá-las apenas para descriptografia.

Depois que os dados forem descriptografados pela chave antiga, eles serão criptografados pela nova chave e, com o tempo, a chave antiga não será mais usada para criptografar/descriptografar dados e poderá ser excluída.

Gerenciamento do ciclo de vida das chaves criptográficas com uso de HSM

Tem sido dito frequentemente que a parte mais difícil da criptografia é o gerenciamento de chaves. Isso ocorre porque a disciplina de criptografia é uma ciência madura, onde a maioria das principais questões foi tratada.

Por outro lado, o gerenciamento de chaves é considerado recente, sujeito a design e preferência individuais, e não a fatos objetivos.

Um excelente exemplo disso são as abordagens extremamente diversas que os fabricantes de HSM adotaram para implementar seu gerenciamento de chaves, o que acabou levando ao desenvolvimento de outra linha de produto, o Ciphertrust. Ele possui várias funcionalidades dos HSMs e outras que são exclusivas, como anonimização e autorização por exemplo.

Entretanto, houve muitos casos em que os fabricantes de HSM permitiram que algumas práticas inseguras passassem despercebidas, resultando em vulnerabilidades que comprometeram o ciclo de vida das chaves criptográficas.

Portanto, ao procurar um HSM para gerenciar o ciclo de vida completo, seguro e de uso geral, é essencial inspecionar aqueles que possuem excelentes referências de clientes, vida útil longa da implantação e certificações de qualidade.

HSM em poucas palavras

Para resumir, um HSM é normalmente um servidor com diferentes níveis de proteção de segurança ou simplesmente “proteção” que evita violações ou perda. Podemos resumir assim:

Inviolável: adição de revestimentos ou vedações invioláveis em parafusos ou travas em todas as tampas ou portas removíveis
Resistente a violações: adicionando “circuito de detecção/resposta de violações” que apaga todos os dados sensíveis.
Prova de adulteração: endurecimento completo do módulo com parafusos e travas evidentes/resistentes a adulteração, juntamente com a mais alta sensibilidade ao “circuito de detecção/resposta de adulteração” que apaga todos os dados sensíveis

Com muitas organizações movendo algumas ou todas as suas operações para a nuvem, também surgiu a necessidade de mover sua segurança para essa arquitetura.

A boa notícia é que muitos dos principais fabricantes de HSM, desenvolveram soluções para instalar HSMs tradicionais em ambientes em nuvem.

Portanto, os mesmos níveis de “proteção” serão aplicados, pois temos um HSM tradicional em um ambiente de nuvem.

Saiba mais sobre o uso do HSM no gerenciamento de chaves criptográficas em nosso blog e saiba como aplicar a tecnologia de criptografia de forma eficaz em sua empresa entrando em contato com os especialistas da Eval.

Estamos à disposição para tirar suas dúvidas e ajudar a definir as melhores formas de proteger sua organização contra o vazamento e roubo de dados.

Sobre a Eval

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia, gerenciamento de chaves, Hardware Security Module, HSM

Certificados Digitais

8 posts sobre gerenciamento de chaves

Autor do post Por Editorial Eval
Data de publicação 27 de setembro de 2019

Por que a criptografia e o gerenciamento de chaves são tão importantes? Em resumo, existem vários fatores que serão utilizados pelas empresas para decidir se devem implementar o gerenciamento de chaves. Vamos mostrar as três principais:

Os regulamentos de conformidade.
A tolerância ao risco.
A redução de custos

Gerenciamento de chaves, como o próprio nome diz, refere-se a gestão de chaves criptográficas dentro de um sistema criptográfico. Ele lida com a geração, troca, armazenamento, uso e substituição de chaves, conforme necessário, no nível do usuário.

Um sistema de gerenciamento de chaves também incluirá servidores chave, procedimentos e protocolos do usuário, incluindo design de protocolo criptográfico. A segurança do sistema criptográfico depende de um gerenciamento de chaves bem-sucedido.

Aliás, no blog da Eval, o tema de gerenciamento de chaves foi abordado em várias publicações. Sempre com o objetivo de ajudar entender os conceitos por trás deste assunto e, principalmente, para tirar suas dúvidas.

Por isso, separamos os oito principais artigos publicados em nosso site. Assim, você poderá, de forma fácil e rápida, ter o entendimento necessário para dar início ao projeto de implantação de gerenciamento de chaves em sua organização.

Não perca mais tempo e comece já a criar uma base sólida a respeito do tema.

8 posts fundamentais para entender tudo sobre gerenciamento de chaves

O gerenciamento de chaves cobre o ciclo de vida completo do uso das chaves criptográficas. Ele vai desde momento em que a chave se torna operacional até a sua eliminação. Seguindo essa linha vamos apresentar nossa lista de artigos em uma ordem que facilitará seu entendimento.

1. Gerenciamento de chaves: Excel x software

Sim, ainda existem empresas que utilizam a ferramenta Excel para realizar o gerenciamento das chaves de criptografia.

Longe de desmerecer a ferramenta e seus recursos, entretanto, para as organizações que buscam crescimento em plena era da Transformação Digital é preciso ir além.

No artigo “Gerenciamento de chaves: Excel x software”, mostramos quanto o planejamento estratégico e a gestão empresarial são essenciais para o sucesso de qualquer empresa.

Provando que não temos nada contra a ferramenta Excel, apresentamos logo no início do artigo como esse recurso é importante para o gerenciamento de uma organização.

Entretanto, existem desafios que inviabilizam o uso de planilhas eletrônicas no gerenciamento de chaves, principalmente para as empresas que tem a proteção de dados como uma prioridade.

2. Criptografia de dados e gerenciamento de chaves

No artigo “Criptografia de dados e gerenciamento de chaves”, vamos revisar conceitos básicos importantes de criptografia de dados, apresentando aspectos fundamentais que precisam estar consolidados para qualquer projeto de implantação de gerenciamento de chaves.

Apesar de não ser novidade para muitos profissionais técnicos, em especial na área de proteção de dados, ter essa visão detalhada de todo o processo de criptografia e gerenciamento de chaves padroniza o conhecimento a respeito do tema e serve de pontapé inicial para os próximos passos.

3. Por que o gerenciamento de chaves parece ser tão difícil?

Sem dúvida, o gerenciamento de chaves não é algo considerado trivial para uma organização, independente do seu segmento e porte. Porém no artigo “Por que o gerenciamento de chaves parece ser tão difícil?”, mostramos quais são os principais desafios e como resolvê-los de forma assertiva e ágil.

Certamente é uma leitura obrigatória para todos que buscam entender o que vem pela frente no processo de implantação de gerenciamento de chaves.

4. Relatório: como o mercado está investindo em gerenciamento de chaves

Contra números não há argumentos. E por isso, no post “Relatório: como o mercado está investindo em gerenciamento de chaves”, apresentamos dados importantes publicados em um estudo publicado pela Grand View Research, empresa de consultoria e pesquisa de mercado com sede nos EUA, mostrando dados interessantes que indicam o porque do mercado estar investindo em gerenciamento de chaves.

Além disso, podemos ver porque o investimento no mercado de gerenciamento de chaves corporativas deve crescer nos próximos anos, movimentando investimento superiores ao valor de US$ 2.300,00 milhões até 2022.

5. Saiba mais sobre armazenamento de certificados digitais

Ainda reforçando conceitos e tirando dúvidas sobre gerenciamento de chaves, no artigo “Saiba mais sobre armazenamento de certificados digitais”, mostramos a importância da proteção dos certificados digitais através de diferentes formas de armazenamento.

Além disso, apresentamos nesta publicação os ataques baseados na confiança, seus impactos no armazenamento de certificados digitais e como eles acontecem.

Leitura muito importante no processo de implantação do gerenciamento de chaves no aspecto da segurança da informação e no atendimento aos requisitos regulatórios.

6. Por que você deve gerenciar chaves criptográficas?

E se por acaso restou alguma dúvida sobre gerenciamento de chaves, na publicação “Por que você deve gerenciar chaves criptográficas?”, são apresentados aspectos desde a criação das políticas de segurança, padronização de processos e outros pontos importantes que não podem ser esquecidos em seu projeto de implantação de gerenciamento de chaves.

Afinal, o gerenciamento de chaves criptográficas é um desafio, mas não é impossível. Além disso, a gestão criptográfica bem-sucedida no mundo corporativo exige boas práticas em várias frentes de desenvolvimento.

7. A verdade que ninguém nunca contou a você sobre perda de chaves

Em um artigo bem interessante, a Eval aborda no post “A verdade que ninguém nunca contou a você sobre perda de chaves”, que apesar do entendimento sobre a importância do armazenamento das chaves de criptografia com segurança, de forma protegida e recuperável, a realidade é outra nas empresas e você deve saber como termina a história quando ocorre a perda de chaves.

São pontuados no artigo tópicos relacionados ao armazenamento e backup, os impactos para a exposição de dados de pessoas e empresas e, por fim, situações comuns que levam a perda de chaves criptográficas.

8. O que é um HSM e como ele funciona?

E para finalizarmos a nossa lista sobre gerenciamento de chaves, no artigo “O que é um HSM e como ele funciona?”, vamos mostrar o conceito sobre Hardware Security Module (HSM), com informações sobre como funciona, suas funções, aplicabilidade, padrões e características principais.

Ao final, você terá o entendimento completo sobre a tecnologia e porque sua empresa precisa adotá-la em seu projeto de gerenciamento de chaves.

Para que a indústria continue a proteger seus dados em repouso, em movimento, em uso ou onde quer que residam, os padrões são tão importantes para a segurança quanto a consistência com a qualidade.

A consistência na busca por qualidade em nossos processos nos leva a adoção e conformidade com os padrões como um componente vital em nossa busca por proteção e segurança de dados.

E como foi dito na leitura do artigo, gerenciar chaves criptográficas pode ser um desafio, especialmente para organizações maiores que dependem de criptografia para vários aplicativos, portanto, é preciso ser assertivo no projeto de implantação e na escolha das tecnologias.

Sobre a Eval

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia de dados, gerenciamento de chaves, HSM

Proteção de dados

Encriptação e Criptografia: 10 posts que você precisa ler

Autor do post Por Editorial Eval
Data de publicação 26 de junho de 2019

10 posts sobre criptografia que você precisa ler

Os conceitos por trás do surgimento da criptografia são bastante simples. Entretanto, saber aproveitar os benefícios desta tecnologia e evitar armadilhas na gestão do seu negócio são outras questões.

A criptografia é uma evolução e uma alternativa às técnicas e aos métodos contra ataques virtuais e roubo de dados. Ela continua a evoluir juntos aos avanços tecnológicos. Afinal, novas soluções surgem e mais empresas recorrem à encriptação para garantir privacidade e proteção.

Há não muito tempo atrás, a indústria definiu a criptografia como o método pelo qual um texto simples, ou qualquer outro tipo de dado é convertido de um formato legível para uma versão codificada que só pode ser decodificada por outra entidade que tenha acesso a uma chave de descriptografia.

Essa definição se expandiu e mudou nos últimos anos, enquanto empresas como a Eval entraram no mercado com produtos que oferecem avanços da encriptação e soluções práticas.

Assim, a inovação foi além dos objetivos principais da encriptação. Já que atualmente agrega vários benefícios. Dentre eles, podemos citar por exemplo: redução de custos, aumento de produtividade e gestão estratégica para diferentes tipos de empresas, independentemente de tamanho ou segmento.

Os artigos do blog da Eval apresentam uma série de conceitos e práticas que os leitores podem usar em vários estágios do ciclo de aquisição, implantação e gerenciamento. Dessa forma, podemos ajudá-los a aproveitar ao máximo os benefícios da criptografia.

Implementar assinatura digital, adotar uma uma abordagem centrada em gestão de documentos ou investir em políticas. Há informações por aqui que certamente ajudarão sua empresa na busca pela efetiva proteção de dados.

A proteção de dados como prioridade

Antes mesmo de iniciarmos nossa lista, é importante destacar as consequências da falta de investimentos em segurança e privacidade. Por isso, mostraremos os problemas gerados pela falta de proteção de dados em sua organização.

Neste artigo, além de entender a importância da proteção de dados por meio de nossa lista de publicações, é possível ter uma ideia dos riscos que vivemos atualmente.

O fato é que a proteção de dados se tornou uma preocupação para instituições como o Fundo Monetário Internacional (FMI), para o próprio governo e outras organizações, que têm a segurança da informação como uma prioridade.

Agora, sim, vamos à nossa lista!

A base para entender a importância da criptografia

Basicamente, dividiremos a nossa lista em duas partes. A primeira delas serve para dar embasamento e ensinar boas práticas relacionadas a encriptação e gestão de chaves criptográficas.

1. Sobre criptografia e gerenciamento de chaves

No artigo Criptografia de dados e gerenciamento de chaves, abordamos aspectos relevantes para a segurança da informação relacionados à encriptação.

O objetivo era apresentar os conceitos básicos sobre tecnologia criptografia, serviços criptográficos e, por último, gerenciamento de chaves criptográficas.

Além disso, mostramos a importância do correto gerenciamento das chaves criptográficas para a programação dos serviços criptográficos.

2. Por que gerenciar chaves criptográficas?

Afinal, por que você deve gerenciar chaves criptográficas? Neste artigo, mostramos que gerenciamento significa se proteger contra perdas, roubos, corrupções e acessos não autorizados.

Portanto, a proteção de dados não consiste apenas em adotar a encriptação em processos de negócio, gerenciamento e compartilhamento. Afinal, é preciso fazer uma gestão eficiente de todos os elementos relacionados ao uso da tecnologia.

3. E se, mesmo assim, ocorrer a perda das chaves de criptografia?

Para os que não se convenceram da importância do gerenciamento das chaves criptográficas, ou não entenderam o problema da má gestão, o artigo A verdade que ninguém nunca contou a você sobre perda de chaves mostra as consequências disso.

4. A busca pela melhor forma de proteger dados

Até aqui, você viu conceitos, benefícios de adotar a criptografia nos negócios e impactos relativos à gestão das chaves criptográficas.

No artigo Criptografia nativa é a melhor forma de proteger dados?, mostramos que soluções de Enterprise Key Management (EKM) nas empresas se tornaram fundamentais para adequação às regulamentações existentes no mercado.

Esse tipo de solução também proporciona acesso a outros benefícios importantes em relação à proteção de dados para qualquer organização.

5. Fatos importantes sobre a criptografia

Para fechar a primeira parte da nossa lista, temos o artigo O que você não sabia sobre software de criptografia. Ele esclarece dúvidas e mostra pontos importantes a respeito desse assunto, sobre o qual, muitas vezes, empresas e profissionais não têm o devido conhecimento.

Portanto, concluímos esta etapa pontuando questões que não podem ser ignoradas em um processo de adoção da tecnologia.

Encriptação na prática

De nada adianta teoria sem prática, não é verdade?

São os casos de sucesso que demonstram que o uso da criptografia é um dos principais caminhos para garantir a segurança da informação e proteção de dados.

Por isso, começaremos a segunda etapa da nossa lista de artigos sobre encriptação.

6. Onde se aplica a encriptação

No artigo Lugares onde você usa criptografia e nem imagina, mostramos situações do cotidiano onde a tecnologia é aplicada e muitas vezes a gente nem sabe.

Um conteúdo interessante, que mostra o quanto a tecnologia é aplicada com sucesso, garantindo privacidade e proteção de dados.

7. A famosa relação da criptografia e do mercado financeiro

A criptografia ficou bastante conhecida por meio de sua aplicabilidade no mercado financeiro.

Por isso, nada mais justo que o nosso primeiro caso de sucesso seja retratado no artigo Como a criptografia beneficia o mercado financeiro?

8. A criptografia passa pelo nosso cartão de crédito

Um dos pontos mais críticos quando falamos em roubo de dados é o uso indevido do cartão de crédito e de outras formas de pagamento que fazem parte do nosso dia a dia.

Ao final de leitura do artigo Criptografia para registros financeiros e dados de pagamento, o leitor entenderá porque essa tecnologia se tornou tão vital para as nossas movimentações financeiras e informações pessoais.

9. Sim, a encriptação também está na comunicação

Esse é mais um caso que mostra que a tecnologia está em nosso cotidiano e a gente nem percebe.

No artigo Criptografia para aplicativos de comunicação: saiba mais, o leitor perceberá que privacidade e proteção de dados passam pelos nossos principais canais de conversa.

Os principais aplicativos de mensagens já adotaram essa tecnologia como principal instrumento de segurança de dados.

10. O sigilo de nossas informações passa pelo uso da criptografia

Para finalizar nossa lista de artigos, o conteúdo Sigilo e verificação de origem utilizando criptografia assimétrica mostra o caso da aplicação dessa técnica para saber de onde veio uma mensagem.

Apesar de ser conceitual, o artigo faz uma analogia com uma situação real: a importância do sigilo das informações que compartilhamos diariamente.

O que você achou de nossa lista? Ela ajudou a compreender os conceitos e a importância da encriptação em para a sua vida profissional e pessoal? Continue acompanhando o nosso blog para saber mais sobre a tecnologia e as novidades da E-VAL.

Sobre a Eval

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia, gerenciamento de chaves, proteção de dados

Proteção de dados

Por que a gestão de chaves de Criptografia é importante?

Autor do post Por Editorial Eval
Data de publicação 16 de maio de 2019

A gestão de chaves de Criptografia é um componente fundamental para a segurança das empresas. Gerencia-las é tão vital quanto usá-las.

As empresas movem cada vez mais dados sensíveis pela internet e migram fortemente sua infraestrutura para a nuvem, em diferentes tipos de modelos de serviço. Na medida em que isso acontece, cresce a necessidade de uso e gestão de chaves de Criptografia.

Diante dessa realidade, os profissionais de segurança protegem ativamente esses dados com técnicas testadas e comprovadas, que são usadas em diferentes fases do ciclo de produtividade das organizações, sempre com o objetivo de garantir a privacidade.

No entanto a garantia de proteção e disponibilidade de dados pode não ser possível apenas com o uso da criptografia.

Por mais que exista uma tecnologia avançada contra violação de dados, sem s gestão de chaves de Criptografia, o risco de vazamentos ou roubos de informações ainda será grande.

Por que gerenciar chaves criptográficas é importante?

Gerenciamento significa proteger as chaves criptográficas contra perda, roubo, corrupção e acesso não autorizado. Assim, entre os seus objetivos temos:

garantir que as chaves sejam mantidas em segurança;
mudar as chaves regularmente;
controlar como e para quem as chaves são atribuídas;
decidir sobre a granularidade das chaves.

Na prática, a gestão de chaves de Criptografia significa avaliar se uma chave deve ser usada para todas as fitas de backup ou se, por outro lado, cada uma deve receber a sua própria, por exemplo.

Desse modo é preciso garantir que a chave criptográfica — e qualquer coisa relacionada a ela — seja adequadamente controlada e protegida. Portanto, não há como não pensar em gestão.

Se tudo não estiver devidamente protegido e gerenciado, é como ter uma fechadura de última geração na porta da sua casa, mas deixar a chave embaixo do tapete.

Para ficar mais clara a importância do gerenciamento de chaves criptográficas, basta lembrarmos dos quatro objetivos da criptografia: confidencialidade, integridade, autenticação e não-repúdio. Assim vemos que com ela podemos proteger as informações pessoais e os dados corporativos confidenciais.

De fato, não faz sentido algum usar uma tecnologia que garante a segurança de dados sem que não exista um gerenciamento eficiente.

Gestão de Chaves de Criptografia é um desafio, mas não é impossível

De fato, o gerenciamento de chaves criptográficas não é tão simples quanto chamar um chaveiro. Você também não pode escrever as chaves em um pedaço de papel. É preciso fornecer acesso ao menor número possível de pessoas e garantir que ele seja restrito.

A gestão criptográfica bem-sucedida no mundo corporativo exige boas práticas em várias frentes.

Primeiro, você deve escolher o algoritmo de criptografia e o tamanho de chave corretos para ter confiança em sua segurança.

Depois, deve garantir que a implementação da estratégia de criptografia corporativa esteja de acordo com os padrões estabelecidos para esse algoritmo. Isso significa ser aprovado por uma autoridade certificadora reconhecida — no caso do Brasil, as que estão homologadas pelo ITI, dentro do ICP-Brasil.

Por fim, deve garantir uma gestão de chaves de Criptografia eficiente, associado a políticas e processos de segurança que possam certificar um uso produtivo da tecnologia.

Para ter uma maior confiança em sua estratégia de gestão de chaves de Criptografia, as primeiras perguntas a serem feitas são as seguintes:

onde as chaves de criptografia são mantidas?
quem mantém a propriedade delas?

Muitos serviços de gerenciamento retêm chaves privadas na camada de serviço, assim seus dados podem estar acessíveis aos administradores dessa atividade. Isso é ótimo para disponibilidade, mas não para confidencialidade.

Assim, como acontece com qualquer tecnologia, a eficiência da criptografia depende completamente de sua implementação. Se ela não for feita corretamente ou se os componentes usados não estiverem devidamente protegidos, ela estará em risco, assim como os dados.

Da criação das políticas à gestão de chaves criptográficas

Uma abordagem comum para proteger dados na empresa por meio da gestão de chaves de Criptografia é fazer um balanço, entender as ameaças e criar uma política de segurança.

As empresas precisam saber quais dispositivos e aplicativos são confiáveis e como a política pode ser aplicada entre eles e na nuvem. Tudo começa em saber o que você tem.

A maioria das organizações não sabe quantas chaves tem, onde usa criptografia e quais aplicativos e dispositivos são realmente confiáveis. Isto caracteriza, inegavelmente, uma total falta de gestão de chaves de Criptografia, dos dados e de sua estrutura.

Sem dúvida, a parte mais importante de um sistema de criptografia é o seu gerenciamento de chaves, especialmente quando a organização tem a necessidade de criptografar uma grande quantidade de dados. Desse modo a infraestrutura se torna mais complexa e desafiadora.

Padronizar o processo é fundamental

A padronização dos produtos é fundamental. Afinal, mesmo a criptografia implementada de maneira adequada significa pouco se um invasor entrar na máquina de alguém ou se um funcionário for desonesto.

Em alguns casos, por exemplo, a criptografia pode habilitar um invasor e inutilizar todo o investimento em segurança, causando um estrago que vai muito além de prejuízos financeiros. Assim a padronização é vital para criar políticas e processos úteis, reduzindo a possibilidade de brechas que podem resultar em ataques virtuais e roubos de dados.

A criptografia realmente cria mais oportunidades de negócios para diferentes tipos de empresas, não apenas atenuando preocupações como ataques virtuais, mas criando um ciclo de acesso aos dados organizado, eficiente e estratégico.

Por fim, em tempos de transformação digital e tantas disrupções tecnológicas e de mercado, adotar uma gestão de chaves de Criptografia é vital para empresas que buscam um crescimento sustentável.

Agora você já conhece um pouco mais sobre gestão de chaves criptográficas, mantenha-se sempre atualizado sobre este assunto por meio de nossa página no LinkedIn.

Sobre a EVAL

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags chaves criptográficas, gerenciamento de chaves

Proteção de dados

Criptografia e gerenciamento de chaves – Conceitos Importantes

Autor do post Por Editorial Eval
Data de publicação 16 de maio de 2019

Criptografia e gerenciamento de chaves e serviços criptográficos são cada vez mais presentes nas empresas hoje. Leia para saber mais.

O uso de criptografia e gerenciamento de chaves, além dos serviços criptográficos são vitais para proteção de dados em repouso ou de meios de comunicação, uma realidade para as empresas e os usuários de serviços como armazenamento em nuvem, troca de mensagens e muitos outros.

Entretanto, para os responsáveis por estes serviços são apresentadas muitas opções de mecanismos criptográficos e consequentemente, há muitas escolhas a serem feitas.

Escolhas inadequadas podem resultar em pouco ou nenhum ganho, criando uma falsa sensação de segurança.

Por exemplo: criptografar uma base de dados e manter a chave criptográfica em um arquivo no servidor.

Neste artigo pretendemos abordar alguns aspectos relevantes para a segurança da informação que estão relacionados às chaves criptográficas. Com isso mostraremos a importância do correto gerenciamento delas para a programação dos serviços criptográficos.

Para facilitar o entendimento, dividiremos o artigo em três partes. Iniciando com os conceitos básicos sobre criptografia e gerenciamento de chaves e serviços criptográficos .

Conceitos básicos de criptografia de dados

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação.

Para isso, emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta).

Mantendo este segredo seguro, impedimos que pessoas não autorizadas tenham acesso à informação original (decifrar).

Segredo

A segurança dos serviços criptográficos é baseada no segredo da chave criptográfica, que permite cifrar e decifrar, e não no método de transformar a informação, ou seja o algoritmo utilizado, que deve ser público.

Chaves simétricas e assimétricas

Em criptografia e gerenciamento de chaves existem dois tipos básicos de algoritmos: os de chave simétrica e assimétrica. Os primeiros utilizam uma única chave para cifrar e decifrar os dados, enquanto os segundos adotam par de chaves, sendo uma para cifrar e a outra para decifrar.

O diagrama a seguir mostra o uso de uma chave simétrica para a cifra de uma mensagem. Podemos ver que a chave utilizada por João é a mesma adotada por Alice.

Criptografia e gerenciamento de chaves e serviços criptográficos - Chaves Simétricas e Assimétricas. — Figura 2 – Algoritmo de chave simétrica

O próximo diagrama mostra o uso de uma chave assimétrica. A chave utilizada por Alice para cifrar é a chave pública de João, que usa sua chave privada para decifrar.

Criptografia e gerenciamento de chaves e serviços criptográficos - Algoritmo de chaves assimétricas — Figura 3 – Algoritmo de chaves assimétricas

Um ponto interessante deste tipo de algoritmo é que, após cifrar com a chave pública, apenas a privada pode decifrar.

Como exemplos de uso para estes algoritmos, podemos citar uma base de dados que utiliza o algoritmo AES (chave simétrica) para cifrar uma determinada informação no banco de dados e a assinatura digital de documentos que usa o algoritmo RSA (chave assimétrica).

Também gostaríamos de ressaltar que o segredo nestes dois tipos de algoritmos está em proteger a chave simétrica e a privada (no caso das chaves assimétricas).

Por fim, outro aspecto é que estes algoritmos são complementares e servem como base para a programação dos serviços criptográficos.

Resumo criptográfico e assinatura digital

Em relação a criptografia e gerenciamento de chaves, o resumo criptográfico é um valor que representa uma informação. Ele é gerado por meio de um algoritmo, como o SHA256, a fim de analisar os dados bit-a-bit e cria um valor que não pode ser falsificado na prática.

Criptografia e gerenciamento de chaves e serviços criptográficos - Resumo criptográfico — Figura 4 – Resumo criptográfico

Porém, o resumo criptográfico não pode ser usado sozinho, pois apesar de não ser viável falsificá-lo, é possível substitui-lo.

Então, para ser utilizado na prática, o resumo criptográfico é cifrado com a chave privada (assimétrica), gerando uma assinatura digital.

Assim, todos que têm a chave pública podem gerar o resumo criptográfico e compara-lo com o presente na assinatura digital.

Com isso pode-se verificar se os dados são válidos. Ações fundamentais em criptografia e gerenciamento de chaves.

Criptografia e gerenciamento de chaves e serviços criptográficos - Assinatura digital — Figura 5 – Assinatura digital

Vamos tomar o SHA256 with RSA por exemplo. Ele utiliza o algoritmo de resumo SHA256 e o algoritmo de criptografia RSA para gerar a assinatura digital. Porém, isso ainda não é suficiente, pois não temos como identificar a quem pertence uma determinada chave pública.

Para tal, é necessário um novo elemento: o certificado digital.

O certificado digital consiste basicamente em uma informação textual que identifica uma entidade (pessoa, empresa ou servidor), uma chave pública e um propósito de uso. Ele tem uma assinatura digital.

É importante observar que a assinatura do certificado digital deve ser feita por uma entidade terceira (autoridade certificadora digital) confiável.

Assim, introduzimos o conceito de relação de confiança. De acordo com ele, se confiamos na entidade A e esta confia na entidade B, então também confiamos em B.

Assim, concluímos os conceitos básicos de criptografia. Na próxima parte, falaremos sobre os serviços criptográficos que podem ser criados a partir deles.

Serviços criptográficos

Fazendo parte do ciclo de vida da criptografia e gerenciamento de chaves, os mecanismos criptográficos básicos, como criptografia simétrica e resumo criptográfico são utilizados para suportar serviços de confidencialidade, integridade, autorização e irretratabilidade ou não repúdio.

Assim, temos que um mecanismo criptográfico pode ser utilizado para suportar vários serviços. Do mesmo modo é importante que os serviços criptográficos devem ser utilizados em conjunto para garantir a segurança.

A seguir, descreveremos brevemente os serviços criptográficos básicos:

Confidencialidade

Este serviço provê a confidencialidade dos dados por meio de criptografia e gerenciamento de chaves. Ele também garante que as informações não possam ser visualizadas por terceiros e que apenas pessoas autorizadas tenham acesso a elas. Fundamental em criptografia e gerenciamento de chaves.

Como exemplo, temos a cifra de arquivos, sistemas de arquivos e bases de dados com chaves simétricas. Também temos informações cifradas com a chave pública do certificado, assim só quem têm a chave privada correspondente poderá abrir a informação.

Integridade

O serviço de integridade deve garantir que uma determinada informação não seja modificada de maneira não autorizada após a sua criação, durante a transmissão ou o armazenamento.

Seja a alteração acidental ou intencional, a inserção, remoção ou substituição de dados deve ser detectada. Mecanismos criptográficos como o resumo criptográfico, também conhecido como hash e a assinatura digital fornecem o suporte para este serviço.

Autenticação

O serviço de autenticação verifica a identidade de um usuário ou sistema que solicita autorização para acesso a uma informação.

A assinatura digital é um mecanismo criptográfico geralmente utilizado para suportar este serviço, pois já foi validado a identificação do antes da emissão do certificado digital, seja feito por uma Autoridade Certificadora confiável ICP-Brasil ou outra que a organização confie, tal como, Autoridade Certificadora Interna.

Nas Autoridades Certificadoras ICP-Brasil, é no processo de emissão do certificado digital que a pessoa necessita comparecer a uma validação presencial, com documentos originais que comprovem a identidade do requerente.

Irretratabilidade

O serviço de irretratabilidade fornece os meios para garantir que quem criou uma informação não possa negar a autenticidade dela.

Neste sentido, está ligada à assinatura digital, na qual o proprietário da chave privada não pode negar que a realizou para um determinado fim.

Assim, terminamos a descrição dos serviços criptográficos. Na próxima parte, apresentaremos os principais fatores a serem considerados no gestão de chaves criptografia e gerenciamento de chaves.

Autorização

Adicionalmente, após a autenticação, é possível utilizar a informações do usuário autenticado no sistema para definir a autorização as informações. O serviço de autorização fornece a aprovação ou permissão para a execução de uma atividade.

Como exemplo, o serviço de autorização pode ser empregado para definir as permissões de uso de uma chave criptográfica que, consequentemente, permitiria o acesso a uma determinada informação.

Gerenciamento de chaves criptográficas

As chaves criptográficas são o fundamento da criptografia e gerenciamento de chaves, e nestas reside a segurança dos dados cifrados. Brechas podem levar ao comprometimento das chaves e, consequentemente, ao vazamento de informações sigilosas.

O aumento no uso da criptografia para proteção de dados, principalmente devido à regulamentação do governo, faz com que as empresas tenham que lidar com múltiplas soluções para cifra.

Por conta da diversidade de fornecedores, as organizações também precisam definir vários procedimentos para gerenciar as chaves criptográficas, sendo que nem sempre eles são adequados.

O gerenciamento de chaves criptográficas consiste em armazenar, proteger, organizar e garantir o uso adequado delas, gerir seu ciclo de vida e manter cópias de segurança de forma segura e consistente.

No gerenciamento de chaves, devemos levar em consideração alguns pontos que descreveremos a seguir:

Armazenamento seguro das chaves

As chaves devem ser armazenadas de forma segura, ou seja, cifradas e com controle de acesso.

A criptografia deve ser preferencialmente realizada por meio de chaves (KEK) protegidas em um hardware criptográfico.

Identificação das chaves

Deve ser possível identificar uma chave, seu tipo, sua finalidade, quem está autorizado a utiliza-la e o período de uso.

Autenticação de usuário e autorização de uso

O uso das chaves criptográficas deve ser permitido apenas após a identificação do usuário.

Assim, para o gerenciamento adequado das chaves, o sistema deve fornecer mecanismos de autenticação e autorização ou permitir a integração com sistemas já existentes, como o Active Directory da Microsoft.

Ciclo de vida das chaves criptográficas

O ciclo de vida das chaves criptográficas deve ser controlado para que elas sejam utilizadas de forma adequada durante o período de validade — ou seja, somente pessoas ou sistemas autorizados podem utiliza-las durante um tempo pré-definido e com mecanismos seguros para que não haja comprometimento.

Assim descreveremos o ciclo de vida das chaves, segundo recomendação NIST.

O ciclo de vida de uma chave inicia com a geração e finaliza com a destruição, passando por um ou mais dos estados descritos a seguir:

Geração: momento de criação da chave, que ainda não está pronta para uso;
Pré-ativação: a chave foi gerada, mas ainda não está pronta para uso, porque aguarda o período de utilização ou a emissão de um certificado;
Ativada: a chave está disponível para uso;
Suspensa: o uso da chave está suspenso temporariamente. Neste estado, ela não pode mais realizar operações de cifra ou assinatura, mas pode ser utilizada para recuperação de dados ou verificação de assinaturas realizadas anteriormente.
Inativada: a chave não pode ser mais utilizada para cifra ou assinatura digital, sendo mantida para o processamento de dados cifrados ou assinados antes da inativação.
Comprometida: indica que a chave tem a sua segurança afetada e não pode mais ser usada em operações criptográficas (criptografia e gerenciamento de chaves). Em alguns casos, como nas chaves simétricas, pode ser utilizada para recuperar os dados cifrados para posterior cifra com outra chave.
Destruída: este estado indica que uma chave não é mais necessária. A destruição da chave é o estágio final e pode ser atingido devido ao fim do ciclo de uso dela ou do comprometimento de sua segurança.

Cópias de segurança das chaves criptográficas

A função principal das cópias de segurança é garantir a recuperação das chaves e, consequentemente, dos dados cifrados em caso de perda ou devido a falhas.

Assim como as chaves, que devem ser armazenadas de forma segura durante o uso, as cópias de segurança também precisam ser protegidas.

Elas podem ser guardadas em arquivos cifrados ou hardwares criptográficos próprios para esta finalidade, que devem ficar em locais seguros.

Sobre a Eval

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. Eval, segurança é valor.

Tags criptografia, criptografia de dados, gerenciamento de chaves

Proteção de dados

Gestão de Chaves com Criptografia, como proteger dados?

Autor do post Por Editorial Eval
Data de publicação 28 de janeiro de 2019

Qual é a melhor forma para fazer a gestão de chaves com criptografia e proteger os dados de sua empresa?

Nos últimos anos, os fornecedores do mercado de armazenamento de dados passaram dar maior atenção à utilização do Key Management Interoperability Protocol (KMIP) em suas soluções para integração com gerenciadores de chaves de criptografia.

Há dois motivos principais para isso. A necessidade de adequação às regulamentações sobre proteger dados é uma razão importante.

Além disso, também há os próprios benefícios proporcionados pelas soluções de Enterprise Key Management (EKM) para empresas.

Saiba quais são esses benefícios no decorrer do artigo.

Aplicação de boas práticas em segurança da informação

A definição daquilo que é adequado ou suficiente para atender demandas regulatórias sobre proteger dados varia muito nas empresas.

Muitas soluções oferecem internamente suporte a gestão de chaves com criptografia. Dependendo do contexto, isso pode ser suficiente.

No entanto, a adoção deste modelo pode comprometer a segurança dos dados. Afinal, devemos considerar que a chave de criptografia responsável pela proteção deles está inserida na própria solução de armazenamento.

Além disso, é comum encontrarmos cenários com diferentes fornecedores de solução de armazenamento, onde cada um programa seus modelos de gestão de chaves com criptografia.

Isso pode levar a erros humanos e comprometer a disponibilidade dos dados, em caso de uma operação de criptografia malsucedida.

A utilização de uma solução de gerenciamento de chaves externa provê a adequada segregação de papéis. Além disso, também oferece um modelo padronizado para todos os processos de criptografia.

Adicionalmente, essas soluções costumam oferecer certificações internacionais de implementação de algoritmos de criptografia. Dessa forma, impede-se, por exemplo, o uso algoritmos ou de tamanhos de chaves considerados fracos.

No site da Owasp é possível encontrar um guia de criptografia bem interessante, no qual não é recomendado a utilização de algoritmos de hash MD-5, SHA-0, SHA-1 e algoritmo de criptografia simétrica DES.

Além disso, é possível acoplar às soluções de gestão de chaves com criptografia, equipamentos destinados à proteção com elevado nível de segurança.

Por exemplo, os Hardware Secure Modules (HSMs) e Enterprise Key Management (EKM). Assim, a proteção ocorre de forma centralizada para todos os sistemas de armazenamento de dados da organização.

Faça a Gestão de Chaves com Criptografia com Eficiência

Normalmente, soluções que oferecem recursos de criptografia não se preocupam com o ciclo de vida de uma chave. Assim, ignoram, por exemplo validade, ativação, desativação, troca com preservação dos processos já cifrados e destruição.

A utilização da mesma chave de criptografia por um longo período é inadequada. Afinal, isso compromete a segurança, em caso de vazamento de informações.

Uma solução de gerenciamento não só oferece os requisitos necessários para todo o ciclo de vida de chaves. Afinal, ela também apresenta estes recursos em uma interface amigável, a partir de um console centralizado.

Inclusive, define perfis de acesso a partir da integração com uma base Lightweight Directory Access Protocol (LDAP).

Flexibilidade de Implementação e na Gestão de Chaves com Criptografia

A decisão de manter as aplicações em infraestrutura própria ou migrar para um data center externo depende de diversos fatores.

Se a solução de gestão de chaves com criptografia estiver acoplada ao sistema de armazenamento, a decisão de manter internamente ou migrar para nuvem deve levar isso em consideração.

Capacidade de gerar relatórios de auditoria durante a gestão de chaves com criptografia

Para estes casos, é necessário oferecer informações com alto nível de confiança e acesso às chaves. Dessa forma, deve-se detalhar quem acessou, o horário do evento e o sucesso ou a falha da operação.

Além disso, os mecanismos de alerta podem notificar a equipe caso surjam problemas com o equipamento de gestão de chaves ou com outros dispositivos que se comunicam com o gerenciador.

Um dos principais benefícios de uma solução de gerenciamento de chaves externa, é sua capacidade de aperfeiçoar relatórios de auditoria.

Tentar provar para um auditor de conformidade externo que as chaves são seguras, protegidas e têm fortes controles de acesso seria muito mais difícil com um armazenamento nativo, especialmente se houver mais de uma solução. Isso também exigira que todos os sistemas fossem auditados individualmente.

Segregação de perfis

Os sistemas de gerenciamento de chave externos conseguem definir permissões para os administradores e usuários que farão uso das chaves.

Um exemplo comum disso, é a capacidade de permitir que um administrador crie uma chave, mas não possa usá-la para cifrar ou decifrar, utilizando atributos de usuário LDAP ou Active Directory (AD).

Normalmente, a criptografia própria dos sistemas não tem esse nível de granularidade nas funções administrativas. Com isso, o administrador de armazenamento também é o responsável pela chave.

Variedade de sistemas onde os dados sensíveis podem estar armazenados

Dos CRMs, Sistemas de Arquivo, Maquinas Virtuais, bases de dados estruturadas ou não, há a possibilidade de existirem informações que precisam de criptografia para evitar exposição, em caso de uma falha de segurança.

A gestão de chaves com criptografia, com capacidade de integração com protocolos abertos, oferece o recurso necessário para atender uma variada gama de ambientes.

Há pelo menos quatro perspectivas que podem ser abordadas sobre a localização do dado a ser protegido: sistema de arquivos, sistema operacional, banco de dados e memória.

O esforço de implementação de criptografia aumenta nesta ordem e excede a complexidade, considerando a variedade de ambientes e sistemas no fluxo fim-a-fim do dado a ser protegido.

Como você deve ter percebido, a criptografia nativa não é necessariamente a melhor forma de proteger dados. Se ainda restaram dúvidas a respeito desse assunto, deixe as suas perguntas nos comentários. Teremos o maior prazer em respondê-las.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia de dados, criptografia nativa, EKM, gerenciamento de chaves, HSM

Proteção de dados

Gerenciamento Adequado de Chaves é Mesmo um Desafio?

Autor do post Por Editorial Eval
Data de publicação 28 de janeiro de 2019

Por que o gerenciamento de chaves parece ser tão difícil

A proteção de dados leva as empresas a implementar várias soluções de criptografia. Nesse sentido, um aspecto que não pode ser negligenciado é a necessidade de um gerenciamento adequado de chaves.

Descuidos acontecem principalmente por conta do uso generalizado da criptografia em virtude dos requisitos de governança e conformidade. Isso mostra que avançamos quanto à preocupação com a proteção de dados, mas expõe o grande desafio que é o gerenciamento de chaves.

Afinal, é comum gerenciar chaves em planilhas Excel, o que pode trazer um grande risco para as organizações, pois na perda do controle, ou mesmo na perda de chaves criptográficas podem fazer a empresa perder seus dados.

Principais Desafios do Gerenciamento Adequado de Chaves

O gerenciamento é vital para o uso efetivo da criptografia. A perda ou a corrupção das chaves pode levar à perda de acesso a sistemas e torná-los completamente inutilizáveis.

O gerenciamento adequado de chaves é um desafio que aumenta de acordo com o tamanho e a complexidade do seu ambiente. Quanto maior for a sua base de usuários, mais difícil será fazer uma gestão eficiente.

Alguns dos maiores desafios envolvem:

Treinamento e aceitação dos usuários

Os usuários não gostam de mudanças. Embora não seja realmente parte do processo de gerenciamento de chaves, a não aceitação deles pode ser um grande impedimento para o sucesso de um projeto.

Portanto, é preciso mapear o impacto da adoção e do uso da criptografia em seu ciclo produtivo e as dificuldades na recuperação ou redefinição das chaves ou senhas.

Ouça o feedback dos usuários e desenvolva um treinamento apropriado para abordar as preocupações ou dificuldades específicas deles. Desenvolva benchmarks de sistema para verificar o desempenho antes e depois de o produto ser implementado.

Em outras palavras, gerencie as expectativas dos usuários.

Administração do sistema, manutenção e recuperação de chaves

Esses problemas podem ter um grande impacto sobre a organização e devem ser endereçados ao fornecedor antes de sua compra. Em uma escala empresarial, o gerenciamento manual de chaves simplesmente não é viável.

Idealmente, o gerenciamento deve se integrar à infraestrutura existente, ao mesmo tempo em que fornece administração fácil, entrega e recuperação de chaves seguras.

A recuperação é um processo fundamental, principalmente em situações como a de um colaborador que deixa a organização sem uma devolução adequada ou quando uma chave é danificada e não pode mais ser usada. Também deve ser um processo simples, porém muito seguro.

No gerenciamento adequado de chaves, o procedimento de geração deve ser restrito a uma pessoa. Na prática, temos, por exemplo, o processo de um produto que permite que uma chave de recuperação seja dividida em várias partes.

A partir daí as partes individuais da chave de recuperação podem ser distribuídas para diferentes agentes de segurança. Os proprietários devem estar presentes quando ela é usada. Esse processo é simples, mas seguro, porque requer que várias partes recriem a chave.

Além disso, as senhas esquecidas podem criar um impacto adicional junto à equipe de suporte. Assim, o processo não deve ser apenas simples, mas também flexível. Colaboradores remotos e fora da rede precisam ser considerados, bem como os internos. Neste caso, a recuperação de chave remota é um recurso indispensável.

Melhores práticas para o gerenciamento adequado de chaves

Ao lidar com problemas no gerenciamento de chaves, a quem as organizações podem procurar para obter ajuda?

As especificidades do gerenciamento adequado de chaves são amplamente tratadas pelos softwares criptográficos, em que os padrões e as melhores práticas estão bem estabelecidos.

Além disso, a exemplo do Instituto Nacional de Padrões e Tecnologia (NIST) e do Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), são desenvolvidos padrões para agências governamentais que podem ser aplicados em qualquer comunidade empresarial. Geralmente, esse é um bom ponto de partida ao discutir produtos de criptografia com seus fornecedores.

Enquanto isso, aqui estão algumas práticas recomendadas do setor para você começar:

A usabilidade e a escalabilidade do gerenciamento adequado de chaves corporativas devem ser o foco principal na análise de produtos. A capacidade de alavancar os ativos existentes deve desempenhar um papel importante na tomada de decisões. A integração com um ambiente para autenticação reduzirá os custos e eliminará a necessidade de sistemas redundantes;

A autenticação de dois fatores é uma medida de segurança necessária para organizações financeiras. Devido ao maior poder de processamento e às capacidades dos computadores atuais, a força das senhas sozinhas não é mais suficiente.

Controle e treinamento

Gerenciamento significa proteger as chaves de criptografia contra perda, corrupção e acesso não autorizado. Por isso, ao final dos procedimentos e das técnicas aplicadas ao processo de gestão, é preciso garantir:

Que as chaves são mantidas com segurança;

Que elas passam por procedimentos de mudanças regularmente;

Que o gerenciamento inclui para quem as chaves são atribuídas.

Uma vez que as chaves existentes tenham sido controladas, as políticas e os processos de provisionamento, monitoramento, auditoria e encerramento precisam ser rigorosamente aplicados. Por isso, o uso de ferramentas automatizadas pode aliviar muito a carga da responsabilidade.

Por fim, profissionais de segurança da informação, de infraestrutura, de banco de dados, desenvolvedores e outros profissionais que precisam usar chaves de criptografia devem ser treinados, já que a falta de conscientização sobre os riscos de falhas na proteção é um dos principais fatores para problemas.

Se não houver controle sobre o acesso, não haverá segurança.

Para ter mais dicas sobre o gerenciamento adequado de chaves e outros temas mais estratégicos para a segurança da informação e proteção de dados, assine a nossa newsletter e fique por dentro das novidades!

Sobre a Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags EKM, gerenciamento de chaves, Key Management Policy, lgpd, Política de Segurança Cibernética, proteção de dados

Proteção de dados

Perda de Chaves e a Verdade que Ninguém Contou a Você

Autor do post Por Editorial Eval
Data de publicação 1 de junho de 2018

A verdade que ninguém nunca contou a você sobre perda de chaves

Atualmente, o roubo de dados e requisitos de conformidade regulamentar causaram um aumento drástico no uso de chaves de criptografia nas empresas. O que também causou uma incidência de perda de chaves em virtude da gestão deficiente desses ativos.

É muito comum, por exemplo, que uma única empresa use várias dezenas de ferramentas de criptografia diferentes. Possivelmente essas ferramentas sejam incompatíveis, resultando assim em milhares de chaves de criptografia.

Como prevenir a perda de chaves?

Em um mundo perfeito, a gestão de chaves criptográficas tem a responsabilidade pela administração, proteção, armazenamento e o backup de chaves de criptografia.

Afinal, cada chave deve ser armazenada com segurança, protegida e recuperável. Porém, a realidade é outra e você deve saber bem como termina essa história quanto a perda de chaves.

A importância do armazenamento e backup de chaves de criptografia

O gerenciamento de chaves significa proteger as chaves de criptografia contra perda e acesso não autorizado.

Muitos processos devem ser usados para fazer o controle e a gestão de chaves. Isso inclui alterar as chaves regularmente, gerenciar como as chaves são atribuídas e quem as recebe.

A experiência nos mostra que a perda de chaves gera um grande impacto em importantes processos de negócio das empresas. Isso faz com que ocorra a perda de acesso a sistemas e dados, bem como torna um sistema completamente inútil, a menos que seja formatado e totalmente reinstalado.

Vale destacar que atualmente é essencial para qualquer empresa ter mais de uma pessoa responsável pelo armazenamento e backup das chaves de criptografia.

Desta forma, somos direcionados a diversas boas práticas do mercado. Temos por exemplo as funções dos responsáveis definidas e a criação de uma política de gerenciamento de chaves de criptografia eficiente e acessível a todos.

Entretanto, há um grande desafio pela frente. Um dos grandes problemas conhecidos é a falta de ferramentas unificadas para reduzir a sobrecarga do gerenciamento.

Um sistema de gerenciamento de chaves comprado de um fornecedor não pode gerenciar as chaves de outro fornecedor. Isso é devido ao fato que cada um implementa um mecanismo de gerenciamento de maneira própria.

Você provavelmente deve estar recordando alguns fatos relacionados a falta de um armazenamento eficiente. Inclusive os casos de perda de chaves e os impactos para a empresa.

A perda de chaves expõe dados de pessoas e empresas

A perda ou a exposição de chaves de criptografia nunca será uma boa experiência. Imagine, por exemplo, um desenvolvedor armazenando acidentalmente as chaves em um repositório público?

Infelizmente este cenário é provável, pode acontecer facilmente para qualquer tipo de chaves de criptografia e em diferentes empresas.

Alguém pode enviar acidentalmente as chaves em um código fonte ou em qualquer envio de conjunto de arquivos ou dados.

Seja na nuvem ou em data centers próprios, as empresas precisam construir uma estratégia de gerenciamento que evite a perda das chaves e/ou exposição indevida.

Como vimos, as chaves devem armazenadas de maneira segura e com acesso limitado àqueles que precisam delas para trabalhar. Por isso, algumas empresas utilizam aplicativos de proteção contra perda de chaves.

Elas servem para verificar o tráfego na rede em busca de vazamentos de dados. Assim como detectar a divulgação acidental ou maliciosa de informações confidenciais ou particulares.

Não apenas a gestão deficiente de chaves pode levar a servidores comprometidos. Mas também se as chaves usadas para criptografar dados forem perdidas, os dados criptografados com essa chave também serão perdidos.

Portanto, não existe um substituto para o gerenciamento de chaves de criptografia.

Situações comuns que levam a perda de chaves criptográficas

Por ser algo de relativa complexidade para determinados funcionários das empresas, é possível imaginar que a perda de chaves não aconteça com tanta frequência. Entretanto, existem situações muito comuns em nossas rotinas que nos levam a cenários de perda de chaves:

O responsável pelas chaves esquece a senha de acesso à chave;
O funcionário responsável pelas chaves não lembra onde armazenou a chave;
O gestor possui uma quantidade de chaves enorme para gerenciar;
A pessoa responsável pelas chaves sai da organização e quem fica acaba com um grande problema de gerenciamento.

A importância das chaves criptográficas é óbvia para os profissionais de segurança da informação. Mas a complexidade do gerenciamento delas pode ser quase tão assustadora quanto os próprios algoritmos de criptografia.

Tudo se resume ao quanto é importante para as empresas controlarem as chaves

Antes de mais nada, é importante ver o que é uma assinatura digital e como ela funciona.

Uma assinatura digital é o equivalente a uma assinatura escrita. Seu propósito pode ser verificar a autenticidade de um documento ou verificar se o remetente é quem ele afirma ser.

Isso nos mostra a importância das chaves de criptografia em processos produtivos, Assim como o impacto gerado pela perda das chaves nas rotinas das empresas de diferentes segmentos ou tamanhos.

O custo principal da perda de chaves é o gerenciamento de risco. Isso por que incidirá principalmente em tornar as empresas alvo para sofisticados ataques virtuais, levando a prejuízos não só financeiros, mas também relacionados a imagem da organização.

Uma das práticas mais recomendadas para reduzir incidentes relativos aos ataques virtuais é a realização de auditorias. Isso por que essa prática auxilia identificar se as chaves estão sendo utilizadas e da forma correta.

Esse processo consiste em auditar a criptografia de chave pública para identificar fontes e dispositivos vulneráveis, de tokens a certificados TLS.

As estratégias de mitigação disponíveis dos fornecedores podem então ser revisadas e aplicadas de acordo com as prioridades baseadas no risco.

A solução para todos os problemas é…

Não faltam orientações sobre como gerenciar identidades digitais e como identificar a melhor opção para sua empresa, tudo depende do ambiente atual e dos recursos disponíveis.

Embora o uso de uma política mais forte de gestão possa ser a opção mais segura, isso também pode resultar em custos significativos. As empresas devem se concentrar na melhoria contínua. Além disso, pode ajudar a gerenciar seus riscos a um preço compatível com sua realidade.

As empresas devem avaliar criticamente a forma com protegem seus sistemas. Devem também considerar as causas raiz dos incidentes de segurança em seus ambientes como parte de uma avaliação de riscos.

É comum, por exemplo, vários incidentes de segurança relacionados a contas comprometidas. Principalmente em decorrência da falta do gerenciamento correto das chaves de criptografia.

À medida que os sistemas se tornam mais seguros e as empresas adotam medidas efetivas para gerenciar seus processos. Vale lembrar que iniciativas como a autenticação e gestão de chaves estão se tornando cada vez mais importantes.

É importante garantir que sua empresa esteja usando os processos de autenticação e autorização apropriados. Para isso é necessário o uso de chaves criptográficas com base na gestão de riscos.

Afinal já é o primeiro passo para reduzir os riscos de incidentes e garantir a confidencialidade dos dados de clientes e funcionários.

Aproveite o final do nosso artigo e responda a seguinte pergunta: Qual é a estratégia de gerenciamento de chaves de criptografia adotada por sua empresa atualmente?

Assine nossa Newsletter e fique por dentro das novidades e tecnologias EVAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags chaves criptográficas, criptografia, gerenciamento de chaves

Posts recentes

Comentários

Arquivos

Categorias

Onde Estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CEP: 05440-000

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97