Pesquisar
Close this search box.
Pesquisar
Close this search box.
Facebook Instagram Linkedin

Tag: proteção de dados

Categorias
Assinatura Eletrônica

O que é uma assinatura eletrônica básica?

O que é uma assinatura eletrônica básica?

O termo assinatura eletrônica pode se referir a qualquer tipo de assinatura feita em um dispositivo eletrônico. Portanto há uma variedade de modelos de assinaturas eletrônicas, dentre elas há um tipo que também é conhecido como assinatura eletrônica básica.

Esse é o meio mais difundido de assinaturas com tecnologias eletrônicas e já o utilizamos há bastante tempo.

Além disso tudo, ele também é um dos tipos mais simples, podendo ser a imagem de uma assinatura inserida em um documento, o que nem sempre é reconhecido como um tipo de assinatura eletrônica básica, ou mesmo a coleta de um aceite contendo alguns dados de quem assinou, mais comum, especialmente na internet.

Em especial para assinaturas eletrônicas básicas, que coletam um aceite do usuário, podemos ter por exemplo: a identificação do usuário, em geral o endereço de e-mail, que está assinando, seu endereço de IP e a data e hora em que a assinatura foi feita.

Sabe quando você aceita usar os termos de um site ou aplicativo? Aquilo é um aceite.

Segurança

Tanto assinaturas eletrônicas quanto de próprio punho envolvem segurança. Afinal, elas precisam garantir a integridade do que está contido no documento e também que ele não será fraudado.

Entretanto, a assinatura eletrônica básica possui baixos níveis de segurança. É fácil copia-la de um documento para outro, não há nenhuma garantia de que depois de assinado o arquivo não será modificado e de difícil vinculação entre o usuário e o documento, ou seja, difícil de provar que foi o usuário que concordou com o aceite.

Portanto, esse modelo de assinatura não identifica o usuário de maneira única, podendo ser facilmente repudiada. Ou seja, quem assinou tem facilidade para afirmar que não fez isso.

Porém é possível coletar informações para uma futura verificação, adicionando um pouco a segurança e confiabilidade. A coleta de dados pode envolver por exemplo:

  • Data e hora em que a assinatura foi realizada;
  • Nome do usuário;
  • Endereço de e-mail e/ou Usuário;
  • CPF do usuário;
  • IP do dispositivo usado para fazer a assinatura;
  • O hash do documento, uma função que resume os dados contidos no arquivo.

Validade jurídica de uma assinatura eletrônica básica

As assinaturas podem servir como provas legais em muitos casos, mas cada modelo tem uma força diferente nessas situações.

As assinaturas eletrônicas básicas podem ser aceitas como evidência, mas elas não asseguram de maneira satisfatória quem assinou e como fez isso.

Isso ocorre por elas oferecerem pouco em segurança e confiança. Assim, um documento assinado eletronicamente pode ser facilmente contestado.

Essa característica não é um sinônimo de que você deve simplesmente desconsiderar a adoção de uma solução de assinatura eletrônica básica para a sua empresa.

Nós recomendamos que você sempre consulte o seu advogado ou a equipe jurídica da instituição onde trabalha a fim de ter um auxílio melhor nesta seara antes de escolher o modelo certo de assinatura eletrônica para negócio da sua organização.

Além disso, é possível que você use mais de um tipo de assinatura nos diferentes processos da sua empresa. Afinal, cada uma pode se adaptar melhor a cada negócio ou etapa das jornadas que clientes, colaboradores e fornecedores estão envolvidos no seu negócio.

As assinaturas eletrônicas básicas podem ser uma mão na roda

Apesar dos problemas com segurança e confiabilidade, esse modelo se sai bem em outros pontos. Como dissemos antes, a assinatura eletrônica básica é muito simples, e por isso, claro, é fácil de ser usada.

Ela não requer um registro de usuário ou login, oferece a possibilidade de abrir o documento em um navegador para o usuário assinar ali mesmo e não é preciso possuir cadastro de usuário ou fazer algum controle.

A única coisa importante é registrar dados relacionados à assinatura, mas isso também varia de acordo com as necessidades do seu negócio.

 

E ela se da bem com outros sistemas?

Interoperabilidade entre sistemas é o nome que se da à capacidade que um software tem de se comunicar com outros softwares. Apesar de ser prática para o usuário final, a assinatura eletrônica básica não vai muito bem no quesito interoperabilidade.

Para ter-se uma boa interoperabilidade, a assinatura eletrônica deveria seguir um padrão no qual vários softwares pudessem validar a assinatura e não existe nenhum meio de verificar a assinatura e determinar se ela é confiável e isso acaba atrapalhando o uso desse modelo de assinatura com outros softwares.

Quanto custa uma assinatura eletrônica básica?

Pouco. Comparada a outras formas de realizar assinaturas eletrônicas, as do tipo básico são baratas por conta da simplicidade. Elas não requerem o uso de certificados digitais e de nenhum investimento relevante em infraestrutura. O usuário pode utilizar qualquer navegador moderno, e geralmente um aceite com coleta de dados já é o suficiente.

Como resumir as assinaturas eletrônicas?

A assinatura eletrônica básica não oferece muita validade jurídica, mas isso não é uma sentença contra ela. Empresas ou processos que não dependem exclusivamente deste aspecto, que possuem um risco baixo, podem se valer de uma solução desse tipo, principalmente por conta do baixo custo.

Aliás, para algumas empresas o valor de adoção das outras soluções de assinatura eletrônica pode ser proibitivo. Dessa forma, o modelo básico é capaz de garantir que um maior número de empresas tenha acesso a essa tecnologia.

Por fim, é importante destacar que determinados documentos possuem requisitos mínimos, ou mesmo legislações especificas. Portanto lembramos novamente que você sempre deve consultar sua área jurídica para saber qual modelo de assinatura deve ser utilizado para cada caso.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.  

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.  

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.  

Eval, segurança é valor. 

Categorias
Assinatura Digital

Assinatura digital: 10 cuidados importantes para instituições de saúde

Assinatura digital 10 cuidados importantes para instituições de saúde

O mundo tradicional, baseado em papel, está sendo deixado de lado por conta da transformação digital e suas inovações — como as soluções de assinatura digital. Muitas áreas importantes são beneficiadas pelos processos e a saúde é uma delas.

Dessa forma, muitas opções de assinatura digital passaram a ser oferecidas no mercado visando evitar erros em documentos, perdas ou adulterações. Essa tecnologia fornece integridade de dados para que se possa provar que o documento não foi modificado. Além disso, providencia a autenticação necessária para identificar quem o assinou.

Entretanto, escolher a melhor solução de assinatura eletrônica para uma instituição de saúde pode ser difícil. Para te ajudar nisso fizemos uma lista com 10 recomendações que você deve considerar em sua decisão.

Recomendações importantes para escolher uma solução de assinatura digital

Usabilidade é o primeiro passo

Uma das principais características para se considerar ao escolher uma solução de assinatura eletrônica é a facilidade de uso. Dessa forma, procure um software que seja simples e intuitivo. Ou seja, busque por uma solução projetada para oferecer experiências positivas aos usuários cada vez que forem utiliza-la.

Verifique se a solução oferece validade jurídica

Para garantir autenticidade, integridade e validade jurídica de documentos em forma eletrônica, além da realização de transações eletrônicas seguras, é necessário utilizar uma assinatura digital com seu respectivo certificado digital, proveniente sempre de uma fonte autorizada e confiável.

Ou seja, ao escolher uma solução de assinatura digital é preciso verificar o suporte da ferramenta a tudo que for necessário para garantir validade jurídica. Em suma é preciso garantir características fundamentais de validade legal, não repúdio de autoria e integridade do conteúdo.

Validade jurídica garantida pelo ITI

Trata-se de uma continuação do tópico anterior. Além de se preocupar com a validade jurídica, deve-se verificar se utiliza-se certificados digitais emitidos por autoridades certificadoras que são credenciadas pelo ITI (Instituto Nacional da Tecnologia da Informação).

O ITI é uma autarquia federal ligada à Casa Civil da Presidência da República. O instituto tem como missão principal manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira — ICP-Brasil. Além disso, compete ao Instituto Nacional de Tecnologia da Informação a responsabilidade de ser a primeira autoridade da cadeia de certificação digital.

Experiência da empresa no desenvolvimento de projetos de certificação digital

É muito importante se atentar ao histórico da empresa que você escolher como fornecedora da solução de assinatura digital. Afinal a experiência dela em projetos de assinatura e certificação digital podem dizer muito sobre a capacidade da solução de oferecer validade jurídica e, mais ainda, se adaptar às necessidades da sua instituição.  Não se esqueça de é possível utilizar assinatura digital em diferentes áreas das organizações e em diversos processos.

Tenha certeza de que a solução se integra ao seu sistema e como isso ocorre

Assinaturas e certificados digitais já foram incorporados a diferentes processos e em vários segmentos. Ou seja, a solução de assinatura digital deve conseguir ser integrada aos sistemas internos, auxiliando nos ciclos da sua instituição.

Certifique-se de que a solução suporta o volume de assinaturas da sua instituição

É importante ter em mente as necessidades da sua instituição, afinal assim você saberá os requisitos que a solução de assinatura digital precisa atender. Nesse sentido, um dos principais pontos a se estudar é se o software suporta a quantidade de assinaturas que serão feitas pela organização em que você trabalha, seja uma clínica, operadora ou um hospital.

 

Analisar quais atualizações ou adaptações serão necessárias para adotar a solução

Voltando a falar sobre capacidade de adaptação entre solução de assinatura digital e sistemas internos, vale analisar quais são os impactos na integração das soluções e suas futuras atualizações. Afinal, mudanças de requisitos ou correções de bugs costumam impactar diretamente a integração de softwares de diferentes fornecedores, comprometendo a execução de atividades importantes.

Aceitação de pacientes

Geralmente a adoção da assinatura digital é uma demanda dos próprios pacientes, mas a solução deve se adaptar a situações em que uma das partes não aceite documentos assinados digitalmente. Recomendamos que se trate as exceções de maneira amigável, de preferência incorporada a um processo interno da instituição.

Pesquisar quais clientes a empresa fornecedora atende

Mais uma vez a experiência é levada em consideração já que a reputação no mercado é um requisito a ser verificado pelo comprador da solução de assinatura digital. Dessa forma, verifique se existem reclamações e a forma como elas são tratadas. Aproveite a experiência de outras instituições para fazer a sua escolha.

Analise o pós-venda e o suporte do fornecedor da solução

Tome cuidado para não ignorar essa recomendação, afinal é uma forma simples de evitar grandes problemas. Não basta atender todas as recomendações descritas anteriormente se no momento mais crítico o fornecedor da solução de assinatura digital “te deixa na mão”. O suporte e pós-venda são fundamentais no tratamento de problemas e dúvidas dos usuários da solução.

Cuidado também com empresas do tipo varejo, que na hora que você tiver problemas, ficam com aquele problema já conhecido pelos brasileiros de ligar, passar para outro atendente, que vai para o outro, ai cai a ligação telefônica e você será tratado com mais um cliente que não recebe a devida atenção que um cliente da área da saúde deve ter, enfim, apenas passará um nervoso desnecessário.

Gostou das nossas dicas? Elas são a base para você escolher a solução de assinatura digital que melhor se encaixa no seu hospital, laboratório, operadora ou sua clinica?

Por fim, não se esqueça de que você está investindo em um software para melhorar os atendimentos oferecidos. Sua escolha precisa ser estratégica, ampliando assim a qualidade do serviço prestado e a quantidade de pessoas atendidas.

Você ainda ficou com dúvidas sobre como fazer a melhor escolha da solução de assinatura eletrônica ou de assinatura digital? Entre em contato com a Eval, temos um time de especialistas para te ajudar.

Outra dica importante é assinar nossa newsletter e ficar por dentro das novidades e tecnologias da Eval. Aqui em nosso blog sempre publicamos novidades sobre segurança para instituições de saúde.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Transmissão Segura de Dados: 10 Dicas Para sua Empresa

10 recomendações vitais para a transmissão segura de dados

A proteção dos dados utilizados nas operações de negócio é um requisito essencial para as informações confidenciais de uma organização. É nesse momento que transmissão segura de dados , junto com a criptografia de dados entram em ação. 

Usuários mal-intencionados podem interceptar ou monitorar dados de texto sem formatação transmitidos por uma rede ou através de mídia removível e dispositivos móveis não criptografados.

Assim eles conseguem acesso não autorizado, comprometendo a confidencialidade dos dados considerados sensíveis e estratégicos. Por isso a transmissão segura de dados é tão importante.

A proteção nesses casos é feita com algoritmos criptográficos que limitam o acesso aos dados apenas para quem detém o recurso de criptografia adequado e sua respectiva descriptografia.

Além disso, algumas ferramentas criptográficas modernas também permitem a condensação ou compactação de mensagens, economizando espaço de transmissão e armazenamento.

Convergimos a necessidade de proteger transmissões de dados junto com os recursos tecnológicos existentes. Assim, separamos 10 recomendações consideradas vitais para se ter sucesso em todo o processo de envio e recebimento de dados.

Cibercriminosos podem comprometer a confidencialidade das informações durante uma transmissão de dados

Os dados considerados sensíveis ou restritos em relação à proteção de dados devem ser criptografados quando transmitidos por qualquer rede.

Isto deve ocorrer a fim de se proteger contra a interceptação do tráfego da rede por usuários não autorizados. Ataques desse tipo também são conhecidos como Man-in-the-middle, clique aqui para saber um pouco mais.

Nos casos em que os dispositivos de origem e de destino estão dentro da mesma sub-rede protegida, a transmissão de dados ainda deve ser protegida com criptografia, devido ao potencial de alto impacto negativo de uma violação e roubo de dados.

Além disso, colaboradores tendem a ter uma preocupação menor quando estão dentro de um ambiente “controlado”, acreditando estarem seguros contra ataques.

Os tipos de transmissão podem incluir comunicação entre cliente e servidor, além de servidor para servidor. Ainda se pode incluir transferência de dados entre os sistemas principais, entre os sistemas de terceiro ou transmissão P2P dentro de uma organização.

Adicionalmente, quando usados ​​para armazenar dados restritos, mídias removíveis e dispositivos móveis também devem utilizar criptografia de dados sensíveis adequadamente, seguindo as recomendações de segurança. Dispositivos móveis incluem laptops, tablets, tecnologia vestível e smartphones.

E-mails não são considerados seguros, e por padrão não devem ser usados para transmitir dados sensíveis, a menos que ferramentas adicionais de criptografia de dados desses serviços sejam usadas.

Ao tentar proteger dados em trânsito, o profissional de segurança deve considerar as seguintes recomendações para projetar a transmissão segura de informações:

 

Melhores recomendações

  1. Onde o dispositivo (seja ele cliente ou servidor) é acessível via interface web, o tráfego deve ser transmitido através do Secure Sockets Layer (SSL), usando apenas protocolos de segurança fortes e segurança da camada de transporte;
  2. Os dados transmitidos por email devem ser protegidos usando ferramentas de criptografia de email com criptografia forte, como S/MIME . Como alternativa, antes de enviar um email, os usuários devem criptografar dados usando ferramentas de criptografia de dados de arquivo compatíveis e anexá-los ao email para transmissão;
  3. O tráfego de dados não cobertos pela web browser deve ser criptografado via criptografia no nível do aplicativo;
  4. Caso um banco de dados de aplicativos esteja fora do servidor de aplicativos, todas as conexões entre o banco de dados e o aplicativo também devem utilizar criptografia com algoritmos criptográficos compatíveis com os padrões de segurança e proteção de dados recomendados;
  5. Quando a criptografia em nível de aplicativo não estiver disponível para tráfego de dados não coberto pela Web, implemente a criptografia em nível de rede, como encapsulamento IPsec ou SSL;
  6. A criptografia deve ser aplicada ao transmitir dados entre dispositivos em sub-redes protegidas com fortes controles de firewall;
  7. Desenvolva e teste um plano de recuperação de dados apropriado;
  8. Siga os requisitos recomendados para a criação de senha fortes que devem estar definidas na polícia de segurança da organização. Além disso, adote alguma ferramenta de gerenciamento para armazenar os dados de acesso e as chaves de recuperação;
  9. Depois que os dados forem copiados para uma mídia removível ou dispositivo móvel, verifique se eles funcionam seguindo as instruções para ler dados utilizando criptografia. Aproveite também para incluir no seu plano de recuperação e contingência testes de abertura de backup que foram criptografados;
  10. Quando desacompanhada, a mídia removível (ou dispositivo móvel) deve ser armazenada em um local seguro, com acesso limitado aos usuários conforme a necessidade. E fique atento com as chaves que foram utilizadas para cifrar o backup.

Suporte e políticas internas também são muito importantes

A última recomendação é ter uma documentação de suporte adequada para todo esse processo de transmissão de dados.

Políticas e processos de segurança precisam ser validados através de testes frequentes que possam garantir a eficiência de todos os procedimentos a serem executados.

Por fim, não esqueça de criar uma política de conscientização feita para os funcionários da empresa.

Adote treinamentos e campanhas que demonstrem a importância de seguir as políticas e processos de segurança e proteção de dados da organização.

Ferramentas de criptografia de dados para suporte a transmissão segura

A criptografia de ponta a ponta geralmente é realizada pelo usuário final dentro de uma organização. Os dados são criptografados no início do canal de comunicações, ou antes, através de mídia removível e dispositivos móveis.

Dessa forma eles permanecem criptografados até serem descriptografados no final remoto.

Para auxiliar nesse processo, o uso de ferramentas de criptografia fornece o suporte necessário para a transmissão segura de dados.

Há várias ferramentas para criptografar dados, mas é importante se atentar principalmente para o gerenciamento das chaves. Pois se você descuidar e perder a chave, você perderá o conteúdo que foi cifrado também.

Por isso, sempre indicamos o uso correto de equipamentos e plataformas que façam a gestão das chaves, do seu ciclo de vida, assim como do controle de acesso.

Afinal, com um uso mais abrangente o gerenciamento pode ficar complicado utilizando apenas planilhas de Excel.

O desafio de trafegar dados

Um dos principais objetivos ao longo da história, tem sido mover mensagens por vários tipos de canais e mídias. A intenção sempre foi impedir que o conteúdo da mensagem fosse revelado, mesmo que a própria mensagem fosse interceptada em trânsito.

Se a mensagem é enviada manualmente, por uma rede de voz ou pela internet, a criptografia moderna fornece métodos seguros e confidenciais para transmitir dados.

Além de permitir a verificação da integridade da mensagem, para que quaisquer alterações na própria mensagem possam ser detectadas.

Em suma, a adoção da criptografia deve ser uma prioridade para todas as empresas, independente de seu segmento de atuação ou porte. Atualmente, a proteção de dados se tornou fundamental para o sucesso de qualquer negócio e por isso não pode ser ignorada por nenhuma organização.

Por fim, leia mais sobre proteção e privacidade de dados em nosso blog e saiba como aplicar a tecnologia de criptografia de forma eficaz em sua empresa entrando em contato com os especialistas da Eval.

Estamos à disposição para tirar suas dúvidas e ajudar a definir as melhores formas de proteger sua organização contra vazamento e roubo de dados.

Sobre a Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Proteção de dados com criptografia: um desafio para empresas

homem digitando no computador e na tela aparece um cadeado aberto indicando que a segurança digital está desprotegida

Proteção de dados com criptografia, considerada um dos controles de segurança mais reconhecidos e largamente implantados hoje, ainda é um grande desafio para as empresas. De acordo com a empresa americana Vera Security,  apenas 4% das violações de dados são consideradas “seguras”, onde a criptografia torna inúteis os arquivos roubados.

A criptografia geralmente é comprada e implantada com objetivos relacionados a conformidade de requisitos. Ou seja, normalmente ela não está alinhada para enfrentar riscos de segurança do mundo real, como roubo de dados e excessos acidentais de funcionários.

De fato, aplicar a tecnologia de criptografia de forma eficaz é um dos principais desafios que as organizações enfrentam para alcançar o desempenho satisfatório na proteção de dados.

Para se ter uma ideia da situação, dados apresentados em uma pesquisa feita pela Vera Security mostram que 61% dos entrevistados acreditam que a conformidade direciona a necessidade de criptografia, não a proteção de dados dos usuários.

Dessa forma, aumenta-se ainda mais a desconexão entre criptografia e segurança.

O relatório também cita implantações de criptografia orientadas ao perímetro como uma das principais razões pelas quais os investimentos em proteção de dados com criptografia das organizações estão desalinhados com a forma como os funcionários e parceiros de negócios realmente usam dados críticos.

O desafio da proteção de dados com criptografia por todo o ciclo de vida do negócio

Para profissionais especializados em segurança, privacidade e risco, a velocidade e a escala de como os dados se movem pelas organizações e seus parceiros hoje em dia são os fatores que mais aumentam a necessidade da proteção de dados.

Principalmente no atual ambiente colaborativo pós-nuvem, as organizações devem investir na proteção de dados com criptografia por todo o ciclo de vida do negócio.

A abordagem principal é usar a segurança de arquivos com criptografia sempre ativos para proteger os dados durante sua vida útil. Assim se mantém a conformidade com as legislações e regulamentos existentes. Essa estratégia visa fornecer criptografia forte, controle de acesso em tempo real e gerenciamento de políticas definido.

Outro dado importante do relatório mostra que quase 2/3 dos entrevistados dependem de seus funcionários para seguir políticas de segurança. Só assim é garantida a proteção dos arquivos distribuídos.

Entretanto, 69% estão muito preocupados com a falta de controle dos documentos enviados para fora da rede ou colocados em colaboração na nuvem. Por fim, apenas 26% têm a capacidade de localizar e revogar o acesso rapidamente.

A pesquisa mostra ainda que só 35% dos entrevistados incorporam a proteção de dados com criptografia nos processos de segurança em geral. Enquanto isso outros citam dificuldades em implementar a tecnologia corretamente como motivo da sua baixa priorização na organização.

Uma das principais conclusões da pesquisa é que a criptografia não é vista como uma “vitória fácil”. Além disso ela também é considerada difícil de implantar e usar.

As recomendações para virar esse jogo com criptografia

Apesar das dificuldades em adotar proteção de dados com criptografia nas empresas, vale destacar que existem tecnologias de segurança centradas em dados que podem fornecer rastreamento e controle de acesso em tempo real, sem inconvenientes para o usuário final. As recomendações são as seguintes:

1. As equipes de TI e negócios precisam seguir o fluxo de trabalho da empresa para encontrar brechas de segurança

Assim essas equipes poderão encontrar exposições de dados ocultas. Além disso, deve-se observar que mecanismos de criptografia geralmente não conseguem acompanhar os dados e as novas funções dos usuários.

Dessa forma, as organizações precisam estudar como os funcionários realmente usam informações sensíveis para identificar áreas onde proteção de dados com criptografia não pode alcançar ou estão desabilitadas por necessidade.

Porém uma equipe que conhece os dados sensíveis da organização podem ajuda no mapeamento para que a área de TI possa implantar corretamente a criptografia. Por isso a equipe de negócios deve ser uma equipe multidisciplinar que envolva várias áreas da empresa.

 
2. Invista na prevenção de ataques

As organizações devem evitar o pensamento reativo dos incidentes (“ações a serem feitas apenas após o ataque”). Afinal, na maioria das organizações, funcionários bem-intencionados cometem erros que superam as ameaças maliciosas.

Por esse motivo as empresas são aconselhadas a garantir uma visibilidade clara de seus processos para ajudar funcionários e gerentes a conter a exposição acidental de dados e aplicar suas políticas de prevenção a roubo de dados e perda de privacidade.

A pergunta agora é quando os dados da minha empresa irão vazar. Tendo isso em mente, fica mais claro como definir uma estratégia adequada que previna o ataque e caso ocorra os dados permanecerão protegidos.

3. Faça o alinhamento entre o negócio, parceiros e tecnologias visando a proteção de dados com criptografia

As empresas precisam alinhar seus recursos tecnológicos — e isso inclui a criptografia — para lidar com nuvem, tecnologias móveis e terceiros. A multiplicação de dispositivos mobile e parceiros de negócios apresenta uma ampla variedade de novos locais onde os dados devem trafegar.

O roteamento desse acesso a dados por meio de nuvem e outros serviços centralizados ajuda os líderes de TI, segurança e negócios a restaurar a visibilidade e consolidar o controle, incluindo esses dados às plataformas com criptografia incorporada e controles de acesso a arquivos.

A estratégia para vencer o desafio da proteção de dados com criptografia precisa ser assertiva

Para finalizar, os principais motivos apontados pelos entrevistados na pesquisa para adotarem a criptografia foram:

  • Os dados não são levados a sério o suficiente (40%);
  • A implementação de uma política de criptografia em todos os dados é considerada muito difícil (18%);
  • Não é fácil manter o controle de onde os dados estão sendo armazenados (17%);
  • Os aplicativos internos não foram testados para garantir que dados sejam protegidos de acordo com a política (13%);
  • Os administradores não conseguem configurar controles de criptografia corretamente (12%).

Diante deste cenário, é possível verificar que temos um grande desafio pela frente. As empresas não podem deixar o ônus da segurança de dados somente para equipes de TI.

Em vez disso, elas devem conscientizar, implementar e testar adequadamente uma estratégia assertiva de proteção de dados com criptografia.

E para esses objetivos de segurança, investir em tecnologia é essencial.

Ao planejar as necessidades de criptografia, mapeie os fluxos de informações por todos os aplicativos e pelas tabelas que armazenam informações relevantes. Em seguida, aplique a proteção de dados com criptografia para armazenamento e na transmissão. E não se esqueça do controle de acesso ao dado também.

Por fim, para proteger ainda mais os dados da organização, tenha cuidado com documentos ou aplicativos compartilhados entre usuários. Eles são fáceis de acessar e compartilhar, mas podem colocar em risco informações confidenciais.

Os controles de acesso baseados em criptografia novamente garantem que apenas usuários autorizados possam acessar determinados dados. Acompanhe e monitore o uso de dados para garantir que os controles de acesso sejam eficazes.

Leia mais sobre proteção e privacidade de dados em nosso blog e saiba como aplicar a tecnologia de criptografia de forma eficaz em sua empresa entrando em contato com os especialistas da Eval.

Estamos à disposição para tirar suas dúvidas e ajudar a definir as melhores formas de proteger sua organização contra o vazamento e roubo de dados.

Sobre a Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Categorias
Proteção de dados

Exposição de Dados Sigilosos: o ponto fraco das empresas

Dados sigilosos expostos e problemas com usuários. Os pontos fracos de empresas

Muitas empresas estão deixando a exposição de dados sigilosos impactar diretamente arquivos sigilosos expostos para a maioria dos funcionários, sem um controle de acesso correto, além de manterem contas de usuários inativos e não trocarem senhas com regularidade.

Estas informações foram apontadas na pesquisa Data Gets Personal: 2019 Global Data Risk Report realizada pela Varonis Data Lab em vários países diferentes, inclusive o Brasil.

Ao focar em manter cibercriminosos distantes, muitas empresas tem dado pouca ou nenhuma atenção a exposição de dados sigilosos. Afinal, em vários casos, informações e pastas importantes têm acesso livre para todos os colaboradores e não contam com monitoramento.

É mais ou menos como você possuir vários meios para evitar que sua casa seja invadida, mas deixar um cofre cheio e aberto no meio da sala. Se alguém passar “vai ganhar um presente”.

Esses problemas deverão ser analisados pelas empresas, já que não se trata apenas de segurança. Afinal, além dos riscos nesse sentido, com a LGPD próxima a entrar em vigor esse tipo de caso pode gerar multas por não conformidade.

Mas vamos abordar melhor este assunto mais para a frente neste mesmo artigo.

Alta exposição de dados sigilosos

O estudo analisou 54 bilhões de documentos em 785 empresas de 30 ramos e 30 países diferentes. Foi descoberto que 53% das organizações analisadas tinham mais de 1000 arquivos sensíveis expostos a todos os colaboradores.

Para se ter uma ideia, em média cada funcionário possuía acesso a 17 milhões de arquivos.

Não são apenas os arquivos, mas pastas de documentos também possuem muita exposição. 51% das empresas analisadas tinha mais de 100 mil pastas abertas para todos os funcionários.

Além dos números

Dados sigilosos com acesso liberado a muitos (ou todos os) colaboradores representam um alto risco para as empresas. Há diversas formas utilizadas por cibercriminosos para tentar chegar às informações sensíveis das companhias.

Se um funcionário for vítima de phishing, por exemplo, isso poderá causar danos extensos a empresa em uma exposição de dados sigilosos da organização. Inclusive recentemente nós noticiamos casos de phishing que ocasionaram danos extensos. 

Esses problemas não são difíceis de resolver. Basta gerenciar os acessos a arquivos e pastas, principalmente aqueles com dados como informações confidenciais de funcionários, clientes, parceiros e projetos.

Além disso, o uso da criptografia, também aliado a uma boa governança das chaves criptográficas é muito importante para manter as informações seguras.

Assim, se em último caso alguma coisas vazar, quem obter um arquivo não vai conseguir acessar os dados contidos nele.

Usuários inativos que não saem do sistema e senhas que não mudam

Outro dado apontado pelo estudo é que contas de usuários inativos não são deletadas. 58% das empresas encontraram contas de mais de 1000 usuários inativos.

No geral são pessoas que saíram da companhia por algum motivo, mas seu acessos aos computadores e sistemas ainda existem. Além disso, mais de um terço dos funcionários possuía senhas que não expiram nunca.

Quem agradece por esses fatores são os cibercriminosos. Apesar de buscar dados valiosos, eles precisam de um caminho até essas informações e contas que estão no ar sem uso se tornam uma boa opção para realizar invasões.

Senhas que não mudam são mais fáceis de serem quebradas por força bruta e quando isso ocorre essas contas se tornam uma excelente porta de entrada por muito tempo.

 

Informações sensíveis fazendo hora extra durante a exposição de dados sigilosos

Geralmente os dados sigilosos armazenados por uma empresa são necessários por determinado período de tempo a fim de atender necessidades de uso ou questões jurídicas, mas depois eles devem ser deletados.

É como descartar um cartão de crédito após seu vencimento. Quando dados importantes não são mais necessários, não há motivo para continuar com o seu armazenamento.

Mantê-los é correr um risco desnecessário.

Entretanto, 72% das pastas de arquivos analisadas continham informações antigas, que já deveriam ter sido apagadas. Além disso, do total de dados, 53% eram velhos, não deveriam mais estar sob posse das empresas.

Junte essas constatações ao fato de que a maior parte das companhias estavam trabalhando com permissões a uma quantidade maior de pastas do que elas conseguem administrar e, usando uma expressão popular, nós temos um cenário com muitas informações importantes dando sopa.

Conformidade e LGPD

O relatório menciona que “dados com muita exposição representam um grande risco para as organizações independente de tamanho, área ou localização”.

Fora as principais leis sobre uso de dados sigilosos e sensíveis, como GDPR e LGPD, essa grande exposição de informações sensíveis pode gerar problemas jurídicos para as empresas através de outras legislações.

Mas aqui no Brasil, com a Lei Geral de Proteção de Dados batendo à porta, é importante que as empresas busquem a conformidade para não serem afetadas de maneira negativa em breve.

A LGPD tem trechos claros sobre anonimização de dados, além de responsabilidade e registro de acesso, mas aqui destacamos o artigo 46.

Ele diz que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Resumindo, não é qualquer um que pode ter acesso e mesmo o cuidado com “situações acidentais” devem ser tomado.

É necessário avançar no desafio da exposição de dados sigilosos

O estudo também constatou que apenas 5% das pastas estavam protegidas. Por tanto, há um caminho importante a ser percorrido.

Nos casos como os citados durante este artigo é necessário mudar a cultura em relação ao armazenamento de dados e medidas de segurança.

Não se pode ficar para trás dos cibercriminosos e nem fora de conformidade com a lei.

Sobre a Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Categorias
Proteção de dados

Encriptação e Criptografia: 10 posts que você precisa ler

10 posts sobre criptografia que você precisa ler

Os conceitos por trás do surgimento da criptografia são bastante simples. Entretanto, saber aproveitar os benefícios desta tecnologia e evitar armadilhas na gestão do seu negócio são outras questões.

A criptografia é uma evolução e uma alternativa às técnicas e aos métodos contra ataques virtuais e roubo de dados. Ela continua a evoluir juntos aos avanços tecnológicos. Afinal, novas soluções surgem e mais empresas recorrem à encriptação para garantir privacidade e proteção.

Há não muito tempo atrás, a indústria definiu a criptografia como o método pelo qual um texto simples, ou qualquer outro tipo de dado é convertido de um formato legível para uma versão codificada que só pode ser decodificada por outra entidade que tenha acesso a uma chave de descriptografia.

Essa definição se expandiu e mudou nos últimos anos, enquanto empresas como a Eval entraram no mercado com produtos que oferecem avanços da encriptação e soluções práticas.

Assim, a inovação foi além dos objetivos principais da encriptação. Já que atualmente agrega vários benefícios. Dentre eles, podemos citar por exemplo: redução de custos, aumento de produtividade e gestão estratégica para diferentes tipos de empresas, independentemente de tamanho ou segmento.

Os artigos do blog da Eval apresentam uma série de conceitos e práticas que os leitores podem usar em vários estágios do ciclo de aquisição, implantação e gerenciamento. Dessa forma, podemos ajudá-los a aproveitar ao máximo os benefícios da criptografia.

Implementar assinatura digital, adotar uma uma abordagem centrada em gestão de documentos ou investir em políticas. Há informações por aqui que certamente ajudarão sua empresa na busca pela efetiva proteção de dados.

A proteção de dados como prioridade

Antes mesmo de iniciarmos nossa lista, é importante destacar as consequências da falta de investimentos em segurança e privacidade. Por isso, mostraremos os problemas gerados pela falta de proteção de dados em sua organização.

Neste artigo, além de entender a importância da proteção de dados por meio de nossa lista de publicações, é possível ter uma ideia dos riscos que vivemos atualmente.

O fato é que a proteção de dados se tornou uma preocupação para instituições como o Fundo Monetário Internacional (FMI), para o próprio governo e outras organizações, que têm a segurança da informação como uma prioridade.

Agora, sim, vamos à nossa lista!

A base para entender a importância da criptografia

Basicamente, dividiremos a nossa lista em duas partes. A primeira delas serve para dar embasamento e ensinar boas práticas relacionadas a encriptação e gestão de chaves criptográficas.

1. Sobre criptografia e gerenciamento de chaves

No artigo Criptografia de dados e gerenciamento de chaves, abordamos aspectos relevantes para a segurança da informação relacionados à encriptação.

O objetivo era apresentar os conceitos básicos sobre tecnologia criptografia, serviços criptográficos e, por último, gerenciamento de chaves criptográficas.

Além disso, mostramos a importância do correto gerenciamento das chaves criptográficas para a programação dos serviços criptográficos.

2. Por que gerenciar chaves criptográficas?

Afinal, por que você deve gerenciar chaves criptográficas? Neste artigo, mostramos que gerenciamento significa se proteger contra perdas, roubos, corrupções e acessos não autorizados.

Portanto, a proteção de dados não consiste apenas em adotar a encriptação em processos de negócio, gerenciamento e compartilhamento. Afinal, é preciso fazer uma gestão eficiente de todos os elementos relacionados ao uso da tecnologia.

3. E se, mesmo assim, ocorrer a perda das chaves de criptografia?

Para os que não se convenceram da importância do gerenciamento das chaves criptográficas, ou não entenderam o problema da má gestão, o artigo A verdade que ninguém nunca contou a você sobre perda de chaves mostra as consequências disso.

4. A busca pela melhor forma de proteger dados

Até aqui, você viu conceitos, benefícios de adotar a criptografia nos negócios e impactos relativos à gestão das chaves criptográficas.

No artigo Criptografia nativa é a melhor forma de proteger dados?, mostramos que soluções de Enterprise Key Management (EKM) nas empresas se tornaram fundamentais para adequação às regulamentações existentes no mercado.

Esse tipo de solução também proporciona acesso a outros benefícios importantes em relação à proteção de dados para qualquer organização.

 
5. Fatos importantes sobre a criptografia

Para fechar a primeira parte da nossa lista, temos o artigo O que você não sabia sobre software de criptografia. Ele esclarece dúvidas e mostra pontos importantes a respeito desse assunto, sobre o qual, muitas vezes, empresas e profissionais não têm o devido conhecimento.

Portanto, concluímos esta etapa pontuando questões que não podem ser ignoradas em um processo de adoção da tecnologia.

Encriptação na prática

De nada adianta teoria sem prática, não é verdade?

São os casos de sucesso que demonstram que o uso da criptografia é um dos principais caminhos para garantir a segurança da informação e proteção de dados.

Por isso, começaremos a segunda etapa da nossa lista de artigos sobre encriptação.

6. Onde se aplica a encriptação

No artigo Lugares onde você usa criptografia e nem imagina, mostramos situações do cotidiano onde a tecnologia é aplicada e muitas vezes a gente nem sabe.

Um conteúdo interessante, que mostra o quanto a tecnologia é aplicada com sucesso, garantindo privacidade e proteção de dados.

7. A famosa relação da criptografia e do mercado financeiro

A criptografia ficou bastante conhecida por meio de sua aplicabilidade no mercado financeiro.

Por isso, nada mais justo que o nosso primeiro caso de sucesso seja retratado no artigo Como a criptografia beneficia o mercado financeiro?

8. A criptografia passa pelo nosso cartão de crédito

Um dos pontos mais críticos quando falamos em roubo de dados é o uso indevido do cartão de crédito e de outras formas de pagamento que fazem parte do nosso dia a dia.

Ao final de leitura do artigo Criptografia para registros financeiros e dados de pagamento, o leitor entenderá porque essa tecnologia se tornou tão vital para as nossas movimentações financeiras e informações pessoais.

9. Sim, a encriptação também está na comunicação

Esse é mais um caso que mostra que a tecnologia está em nosso cotidiano e a gente nem percebe.

No artigo Criptografia para aplicativos de comunicação: saiba mais, o leitor perceberá que privacidade e proteção de dados passam pelos nossos principais canais de conversa.

Os principais aplicativos de mensagens já adotaram essa tecnologia como principal instrumento de segurança de dados.

10. O sigilo de nossas informações passa pelo uso da criptografia

Para finalizar nossa lista de artigos, o conteúdo Sigilo e verificação de origem utilizando criptografia assimétrica mostra o caso da aplicação dessa técnica para saber de onde veio uma mensagem.

Apesar de ser conceitual, o artigo faz uma analogia com uma situação real: a importância do sigilo das informações que compartilhamos diariamente.

O que você achou de nossa lista? Ela ajudou a compreender os conceitos e a importância da encriptação em para a sua vida profissional e pessoal? Continue acompanhando o nosso blog para saber mais sobre a tecnologia e as novidades da E-VAL.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.  

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.  

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.  

Eval, segurança é valor. 

Categorias
Proteção de dados

Como a falta de investimento em segurança afeta uma empresa?

Como a falta de investimento em segurança afeta uma empresa?

A falta de investimento em segurança cibernética e uma violação de dados podem ter três grandes consequências: financeira, reputacional e legal.

De fato, a segurança cibernética deixou de ser apenas uma questão de tecnologia para se transformar em um aspecto essencial dos negócios.

Já se foram os dias em que empresas podiam passar as responsabilidades da proteção de dados apenas para o departamento de TI. Afinal, ela se tornou estratégica e afeta a todos os setores.

O impacto da falta de investimento em segurança

A falta de investimento em segurança resulta em perdas financeiras substanciais decorrentes de:

  • Roubos de informações corporativas;
  • Roubo de informações financeiras (por exemplo, dados bancários ou detalhes de cartões);
  • Roubos de dinheiro;
  • Interrupções de negócios (por exemplo, incapacidade de realizar transações online);
  • Perdas de negócios ou contratos;

As empresas que sofrem violações cibernéticas geralmente também têm custos associados à reparação de sistemas, redes e dispositivos.

Isso é especialmente importante, pois as empresas estão cada vez mais digitais, o que significa ficarem expostas a um número maior de ameaças, se não gerenciarem o risco de segurança adequadamente e não realizarem o investimento necessário.

Danos à reputação são maiores que os financeiros

Muitas empresas ainda não perceberam ou mensuraram o real impacto da perda de credibilidade. Sem dúvida a confiança é um elemento essencial no relacionamento com o cliente.

Afinal, os ataques virtuais e os roubos de dados podem prejudicar a reputação de sua organização e quebrar totalmente a confiança que o consumidor tem em você.

Isso, por sua vez, pode levar a consequências como:

  • Perda de clientes;
  • Perda de vendas;
  • Redução significativa nos lucros;
  • Falência.

O efeito dos danos à reputação por falta de investimento em segurança pode impactar até seus fornecedores, assim como os relacionamentos que você tem com parceiros, investidores e terceiros envolvidos com os seus negócios.

Entender a importância de mudar a mentalidade quanto ao investimento em segurança cibernética se tornou vital. Já que em plena era da transformação digital, as empresas não podem correr o risco de  sofrer um ataque ou não saber como realizar o tratamento de um incidente.

Consequências legais da falta de investimento em segurança

Não podemos esquecer que deixar de investir em segurança também resulta em problemas legais. Afinal, a Lei Geral de Proteção de Dados (LGPD) exige que sua empresa gerencie todas as informações pessoais que possui, seja de sua equipe ou seus clientes.

Se esses dados forem acidental, ou deliberadamente comprometidos, e você não conseguir implantar as medidas de segurança apropriadas, poderá enfrentar multas e sanções regulamentares que podem inviabilizar seu negócio.

Recentes violações globais impactaram mais de 200 mil computadores em 150 países e custaram milhões; nada poderia deixar mais clara a importância do investimento em segurança cibernética, pois isso impacta as empresas como um todo, não apenas os departamentos de TI.

 

O risco de ataques é real e atinge a qualquer empresa

Não basta ler este post, concordar que é preciso investir em segurança e não fazer nada. Já que é preciso ter consciência de que o risco é real e afetará em algum momento o ciclo das operações de sua empresa.

Basta uma simples análise de risco para ver o que pode acontecer com sua organização, colaboradores e, principalmente, clientes:

  • Perda física de dados. Você pode perder o acesso imediato por motivos que vão desde inundações, até falta de energia elétrica. Isso também pode acontecer por razões mais simples, como uma falha de disco;
  • Acesso não autorizado aos dados. Lembre-se de que, se você tiver informações confidenciais de clientes, muitas vezes é contratualmente responsável por protegê-las como se fossem suas;
  • Intercepção de informações em trânsito. Os riscos incluem dados transmitidos entre sites da empresa ou entre a organização e os seus colaboradores, parceiros e contratados, em casa ou outros locais;
  • Seus dados podem cair nas mãos de outras pessoas. Você compartilha essas informações com terceiros, incluindo contratados, parceiros e outros dados importantes? O que os protege enquanto eles estão em suas mãos ou nas de seus parceiros?;
  • Corrupção de dados, intencional ou não. Isso pode modificá-los de modo que favoreçam uma parte externa ou por conta de um erro de software.

Toda empresa precisa ter um programa de investimentos em segurança

É necessário encarar a falta de segurança cibernética como um risco ao negócio e não apenas um problema de tecnologia. Assim, é preciso seguir diretrizes que ajudem a organização a atingir níveis de proteção adequados.

Deste modo, não importa o tamanho da sua empresa, ela precisa ter um plano de investimentos para garantir a segurança de seus ativos de informação.

Esse plano é responsável por todas as políticas e os processos de criação de um programa de segurança cibernética, além de fazer com que você pense de maneira holística sobre a proteção de dados de sua organização.

Em suma, um programa fornece a estrutura para manter sua empresa em um nível de segurança adequado, avaliando os riscos que você enfrenta, decidindo o que deve priorizar e planejando como ter práticas atualizadas.

Investir em segurança significa proteger sua confidencialidade, integridade e disponibilidade

Ter um programa de investimentos em segurança significa que você tomou medidas para reduzir o risco de perder dados de várias maneiras e definiu um ciclo de vida para gerenciar as informações e a tecnologia em sua organização.

Felizmente, as tecnologias de segurança cibernética estão disponíveis para empresas de diferentes tamanhos e segmentos, assim, elas se adaptam às suas realidades de negócios e ajudam a enfrentar os desafios da proteção de dados.

Como minimizar o impacto de ataques cibernéticos em empresas

Como vimos, violações de segurança podem devastar até mesmo as empresas mais resilientes.

É extremamente importante gerenciar os riscos de acordo com a natureza dos negócios antes e depois que um ataque acontece, realizar os investimentos necessários e criar um plano efetivo de proteção e resposta a incidentes cibernéticos. Uma vez que ele pode ajudar sua empresa a:

  • Prevenir e reduzir o impacto de ataque virtuais;
  • Relatar os incidentes às autoridades responsáveis;
  • Recuperar os sistemas afetados;
  • Colocar seu negócio em funcionamento no menor tempo possível.

Dessa forma vemos que realizar um investimento em segurança significa treinamentos, educação e conscientização dos usuários da sua organização de maneira contínua e, claro, aquisição de tecnologias e serviços, sempre buscando garantir a proteção de dados dos clientes e a continuidade dos negócios, possibilitando o crescimento contínuo da empresa.

Você tem dúvidas a respeito desse assunto? Nossos especialistas terão o maior prazer em respondê-las e contribuir para os seus projetos de segurança da informação.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Notícias e Eventos

Gemalto e Thales: liderança global em segurança digital

Gemalto e Thales: liderança global em segurança digital

O grupo francês de tecnologia Thales Group adquiriu em 2017 a empresa de segurança digital holandesa Gemalto (Thales). A operação foi realizada pelo valor de € 4,8 bilhões.

A fusão cria uma organização de 80 mil pessoas em 68 países, focada em segurança cibernética e identidade digital, com receitas projetadas de € 19 bilhões e pesquisa e desenvolvimento de € 1 bilhão por ano.

Com o acréscimo das tecnologias e do talento da Gemalto, espera-se que a Thales lide com desafios como gerenciamento de tráfego aéreo não-tripulado, segurança cibernética de dados e de rede, segurança nos aeroportos e segurança nas transações financeiras.

O que Gemalto e Thales têm em comum? A parceria de negócios com a EVAL! Assim, no final, todos só têm a ganhar com essa poderosa fusão.

Uma posição de liderança global em identidade e segurança digital

Adquirindo a Gemalto, a Thales cobre toda a cadeia de decisão crítica nesse mundo cada vez mais conectado e vulnerável.

Dessa forma, conta com capacidades que abrangem desenvolvimento de software, processamento de dados, suporte a decisões em tempo real, conectividade e gerenciamento de rede de ponta a ponta.

Com a conclusão da compra, a Thales passa a reunir um amplo portfólio de identidades digitais e ofertas de segurança baseadas em tecnologias como, por exemplo, biometria, proteção de dados e segurança cibernética.

Isso fornece uma estratégia perfeita aos clientes. Afinal ela inclui provedores de infraestrutura crítica, como bancos, operadoras de telecomunicações, agências governamentais, concessionárias e outros setores.

Assim, enfrenta os desafios de identificar pessoas e objetos e manter os dados seguros.

 

Para a Gemalto, um marco histórico em sua trajetória de sucesso

Com a Gemalto, líder global em identificação digital e proteção de dados, a Thales faz uma ótima aquisição. Pois, trata-se de um conjunto de tecnologias e competências complementares com aplicativos em mercados verticais.

Estes mercados foram redefinidos como aeroespacial, espacial, transporte terrestre, identidade digital, defesa e segurança.

Para a holandesa Gemalto, essa fusão representa um marco histórico em sua trajetória de sucesso. Afinal, são tecnologias inteligentes que ajudam as pessoas a fazer as melhores escolhas em momentos decisivos.

A aquisição é um marco para os 80 mil funcionários do grupo. Visto que juntos eles criam uma gigante em identidade digital e segurança com capacidade de competir nas grandes operações de negócios em todo o mundo.

Dessa forma, a Gemalto formará uma nova divisão de identidade digital e segurança da Thales. O negócio continuará a ter como alvo bancos, operadoras de telecomunicações, agências governamentais e provedores de serviços públicos.

O processo de fusão das empresas foi um desafio

Além de toda a negociação que envolve valores de compra e ações, a Thales teve que eliminar vários obstáculos regulatórios antes de finalmente concluir o negócio. Ao comprar a Gemalto, ela aumenta sua receita global e sua presença na América Latina, América do Norte e Ásia.

A aquisição só foi autorizada depois que a Thales concordou em vender o nCipher. Trata-se do seu negócio de módulo de segurança de hardware (HSM) de propósito geral. A venda foi realizada à empresa de tecnologia de identidade e transações confiadas Entrust Datacard.

O nCipher foi adquirido pela Thales em 2008. Porém agora, várias agências antitruste, incluindo a Comissão Europeia (CE) foram contra a aquisição da Gemalto. Porque, de acordo com a alegação, a compra criaria um monopólio de mercado de HSM de uso geral.

A CE considerou que a concentração proposta poderia levar a quotas combinadas muito elevadas. Isto eliminaria as restrições concorrenciais que Thales e Gemalto exercem entre si no mercado de HSM para fins gerais.

Ao final, com a venda do nCipher, a aquisição da Gemalto foi aprovada pela CE e pela Comissão de Comércio da Nova Zelândia. Em setembro do ano passado, a fusão também foi autorizada pelo Comitê de Investimentos Estrangeiros dos Estados Unidos. Canadá, China, Israel e Turquia já haviam aprovado a conclusão do negócio.

Qual é o impacto desta aquisição para a EVAL

A Thales planeja expandir suas operações nas cinco regiões do mundo, aumentando sua força de trabalho na América Latina para 2.500 pessoas; triplicando sua presença no norte e sudeste da Ásia para 1.980 e 2.500, respectivamente; expandindo seu pessoal na Índia de 400 para 1.150; e reforçando a América do Norte de 4.600 para 6.660.

Com a fusão e toda essa previsão de crescimento, vem a seguinte pergunta: qual é o impacto dessa mudança para a EVAL?

Caso você não saiba, a EVAL é parceira oficial de ambas. Assim, através desta parceria, oferecemos aos nossos clientes tecnologia e soluções de segurança cibernética e identidade digital de última geração.

Por fim, com a fusão desses parceiros tecnológicos, quem têm a ganhar são os nossos clientes. Afinal elas se tornam mais fortes, resultando em um crescimento exponencial para o desenvolvimento de novos produtos e serviços.

Se você já é um cliente da EVAL, não se preocupe! A convergência entre Gemalto e Thales nos torna ainda mais fortes no desenvolvimento de soluções ligadas a proteção de dados, assinatura digital, autenticação e criptografia.

O que você pensa a respeito dessa fusão? Fale conosco, nossa equipe está a disposição para esclarecer suas dúvidas!

Sobre a EVAL

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Gerenciamento Adequado de Chaves é Mesmo um Desafio?

Por que o gerenciamento de chaves parece ser tão difícil

A proteção de dados leva as empresas a implementar várias soluções de criptografia. Nesse sentido, um aspecto que não pode ser negligenciado é a necessidade de um gerenciamento adequado de chaves.

Descuidos acontecem principalmente por conta do uso generalizado da criptografia em virtude dos requisitos de governança e conformidade. Isso mostra que avançamos quanto à preocupação com a proteção de dados, mas expõe o grande desafio que é o gerenciamento de chaves.

Afinal, é comum gerenciar chaves em planilhas Excel, o que pode trazer um grande risco para as organizações, pois na perda do controle, ou mesmo na perda de chaves criptográficas podem fazer a empresa perder seus dados.

Principais Desafios do Gerenciamento Adequado de Chaves

O gerenciamento é vital para o uso efetivo da criptografia. A perda ou a corrupção das chaves pode levar à perda de acesso a sistemas e torná-los completamente inutilizáveis.

O gerenciamento adequado de chaves é um desafio que aumenta de acordo com o tamanho e a complexidade do seu ambiente. Quanto maior for a sua base de usuários, mais difícil será fazer uma gestão eficiente.

Alguns dos maiores desafios envolvem:

Treinamento e aceitação dos usuários

Os usuários não gostam de mudanças. Embora não seja realmente parte do processo de gerenciamento de chaves, a não aceitação deles pode ser um grande impedimento para o sucesso de um projeto.

Portanto, é preciso mapear o impacto da adoção e do uso da criptografia em seu ciclo produtivo e as dificuldades na recuperação ou redefinição das chaves ou senhas.

Ouça o feedback dos usuários e desenvolva um treinamento apropriado para abordar as preocupações ou dificuldades específicas deles. Desenvolva benchmarks de sistema para verificar o desempenho antes e depois de o produto ser implementado.

Em outras palavras, gerencie as expectativas dos usuários.

Administração do sistema, manutenção e recuperação de chaves

Esses problemas podem ter um grande impacto sobre a organização e devem ser endereçados ao fornecedor antes de sua compra. Em uma escala empresarial, o gerenciamento manual de chaves simplesmente não é viável.

Idealmente, o gerenciamento deve se integrar à infraestrutura existente, ao mesmo tempo em que fornece administração fácil, entrega e recuperação de chaves seguras.

A recuperação é um processo fundamental, principalmente em situações como a de um colaborador que deixa a organização sem uma devolução adequada ou quando uma chave é danificada e não pode mais ser usada. Também deve ser um processo simples, porém muito seguro.

 

No gerenciamento adequado de chaves, o procedimento de geração deve ser restrito a uma pessoa. Na prática, temos, por exemplo, o processo de um produto que permite que uma chave de recuperação seja dividida em várias partes.

A partir daí as partes individuais da chave de recuperação podem ser distribuídas para diferentes agentes de segurança. Os proprietários devem estar presentes quando ela é usada. Esse processo é simples, mas seguro, porque requer que várias partes recriem a chave.

Além disso, as senhas esquecidas podem criar um impacto adicional junto à equipe de suporte. Assim, o processo não deve ser apenas simples, mas também flexível. Colaboradores remotos e fora da rede precisam ser considerados, bem como os internos. Neste caso, a recuperação de chave remota é um recurso indispensável.

Melhores práticas para o gerenciamento adequado de chaves

Ao lidar com problemas no gerenciamento de chaves, a quem as organizações podem procurar para obter ajuda?

As especificidades do gerenciamento adequado de chaves são amplamente tratadas pelos softwares criptográficos, em que os padrões e as melhores práticas estão bem estabelecidos.

Além disso, a exemplo do Instituto Nacional de Padrões e Tecnologia (NIST) e do Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), são desenvolvidos padrões para agências governamentais que podem ser aplicados em qualquer comunidade empresarial. Geralmente, esse é um bom ponto de partida ao discutir produtos de criptografia com seus fornecedores.

Enquanto isso, aqui estão algumas práticas recomendadas do setor para você começar:

  • A usabilidade e a escalabilidade do gerenciamento adequado de chaves corporativas devem ser o foco principal na análise de produtos. A capacidade de alavancar os ativos existentes deve desempenhar um papel importante na tomada de decisões. A integração com um ambiente para autenticação reduzirá os custos e eliminará a necessidade de sistemas redundantes;
  • A autenticação de dois fatores é uma medida de segurança necessária para organizações financeiras. Devido ao maior poder de processamento e às capacidades dos computadores atuais, a força das senhas sozinhas não é mais suficiente.

Controle e treinamento

Gerenciamento significa proteger as chaves de criptografia contra perda, corrupção e acesso não autorizado. Por isso, ao final dos procedimentos e das técnicas aplicadas ao processo de gestão, é preciso garantir:

  • Que as chaves são mantidas com segurança;
  • Que elas passam por procedimentos de mudanças regularmente;
  • Que o gerenciamento inclui para quem as chaves são atribuídas.

Uma vez que as chaves existentes tenham sido controladas, as políticas e os processos de provisionamento, monitoramento, auditoria e encerramento precisam ser rigorosamente aplicados. Por isso, o uso de ferramentas automatizadas pode aliviar muito a carga da responsabilidade.

Por fim, profissionais de segurança da informação, de infraestrutura, de banco de dados, desenvolvedores e outros profissionais que precisam usar chaves de criptografia devem ser treinados, já que a falta de conscientização sobre os riscos de falhas na proteção é um dos principais fatores para problemas.

Se não houver controle sobre o acesso, não haverá segurança.

Para ter mais dicas sobre o gerenciamento adequado de chaves e outros temas mais estratégicos para a segurança da informação e proteção de dados, assine a nossa newsletter e fique por dentro das novidades!

Sobre a Eval 

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Categorias
Proteção de dados

Prevenção de Perda de Dados: O que Você Precisa saber

A prevenção de perda de dados é definida em segurança da informação como a estratégia certa para garantir a proteção das empresas e clientes.

A prevenção de perda de dados é definida como a estratégia utilizada para garantir em segurança da informação que usuários digitais e corporativos não enviem informações confidenciais ou críticas fora de uma rede corporativa ou até mesmo de uma rede doméstica.

O termo também define softwares que ajudam um administrador de rede a controlar quais dados os usuários finais podem transferir.

Com a aprovação recente da Lei Geral de Proteção de Dados Pessoais (LGPD), legislação brasileira que determina a forma como os dados dos cidadãos brasileiros podem ser coletados e tratados, a preocupação sobre o tema da prevenção de perda de dados terá ainda mais destaque.

Separamos neste post, as principais informações para você tirar suas dúvidas sobre o assunto e assim dar os próximos passos na proteção de dados de sua empresa.

A prevenção de perda de dados terá impacto nas decisões de compra

Em plena era da Transformação Digital, onde dados e informações passaram a ter um peso fundamental no processo de compra, previnir a perda de dados se torna uma prioridade na proteção dos clientes e na imagem das empresas.

Dessa forma, basta um ataque virtual ou uma falha de segurança para resultar no roubo de dados. Assim, afeta-se diretamente a credibilidade da organização atingida e a decisão de compra de seus clientes.

A prevenção de perda de dados não se aplica apenas às grandes empresas, afinal ela é estratégica para qualquer negócio. Envolvendo assim, todos os tamanhos de empresas e segmentos de atuação. Estarem sujeitas a ciberataques, sequestros e roubos de dado mudou completamente a visão das organizações quanto à segurança da informação. Por isso, a proteção dos dados passou a fazer parte do modelo de negócio de qualquer empresa.

O  Investimento em Tecnologia  é Fundamental

Os produtos de software desenvolvidos para a proteção de dados utilizam regras e políticas de negócios para classificar e proteger informações confidenciais e críticas. Elas buscam evitar que usuários finais não autorizados compartilhem, acidentalmente ou não, dados que a divulgação traga risco à organização.

Na prática, por exemplo, se um funcionário tentar encaminhar um e-mail comercial fora do domínio corporativo ou carregar um arquivo considerado estratégico para um serviço de armazenamento na nuvem, como Dropbox, Drive e etc, ele teria a permissão negada.

A adoção da proteção de dados está acontecendo em decorrência de ameaças internas e leis de privacidade mais rigorosas. Além de poder monitorar e fazer o controle de atividades, as ferramentas de proteção de dados podem, através de filtros, controlar o fluxo de informações na rede corporativa e proteger dados ainda em movimento.

Proteção de dados é uma responsabilidade compartilhada

As perdas de dados podem acontecer por razões diferenciadas. Algumas empresas podem estar mais preocupadas com vulnerabilidades e ataques externos, enquanto outras se preocupam principalmente com erros humanos.

Para se ter uma ideia, a perda de dados pode ocorrer durante um procedimento padrão de TI como uma migração. Ela também pode acontecer após ataques de ransomware ou outro malware. Além disso, essas ameaças conseguem ser disparadas através de um simples e-mail.

O impacto da perda de dados também pode variar de acordo com o segmento de atuação ou tamanho da organização. Além de impactar informações internas, perder dados traz risco à posição legal de uma empresa diante das leis de conformidade.

Porém, a cobrança e o desafio não podem ficar apenas com gestores e equipes de T. Afinal, a responsabilidade pela prevenção de perda de dados precisa ser compartilhada entre todos.

Em muitos casos, são os próprios funcionários que enviam de forma acidental informações consideradas sensíveis. Além disso, as vezes eles também executam alguma operação que abre espaço para um ataque virtual.

Por isso, mais do que implementar um programa de prevenção de perda de dados, é preciso conscientizar. E para isso, a equipe responsável pela segurança da informação precisa fornecer treinamentos para executivos e usuários finais sobre os benefícios da proteção de dados para a empresa, para os próprios funcionários e clientes.

O desafio da proteção de dados

Causas não intencionais comuns de perda de dados incluem mau funcionamento de hardware, software corrompido, erro humano e desastres naturais.

Os dados também podem ser perdidos durante as migrações e em quedas de energia ou desligamentos incorretos dos sistemas. Isso já nos mostra o quanto a prevenção de perda de dados se tornou um grande desafio.

 
O mau funcionamento do hardware

Essa é a causa mais comum de perda de dados nas empresas. Basta um disco rígido travar devido a um superaquecimento, problemas mecânicos ou simplesmente o tempo de uso.

A manutenção preventiva do disco rígido ajuda a evitar a perda de dados. Além disso, habilita as equipes de TI para a substituição da unidade em situações de risco.

Software corrompido

Outra problema comum no desafio da prevenção de perda de dados é o software corrompido. Esta situação pode ocorrer quando os sistemas são desligados incorretamente. Geralmente eles podem ser atribuídos a quedas de energia ou erros humanos. Por isso é fundamental que a equipe de infraestrutura esteja preparada para incidentes e garanta o desligamento adequado dos sistemas.

Desastres naturais

Desastres naturais estão relacionados a todos os itens descritos acima. Dessa forma, pode causar tanto danos ao hardware, quanto a corrupção dos sistemas. Um plano de recuperação em caso de desastre e backups frequentes são as estratégias mais indicadas para evitar esse tipo de perda de dados.

Além desses exemplos, vírus de computador e ataques virtuais são fatores em potencial para perda de dados. E eles também causam grandes prejuízos para organizações e seus clientes.

O impacto direto para o negócio

Como você pode perceber, além do desafio, evitar a perda de dados pode ser um processo caro, exigindo a compra de soluções de software e hardware, além de serviços de backup e proteção de dados.

Porém, embora os custos desses serviços possam ser altos, o investimento para a prevenção completa contra a perda de dados geralmente vale a pena a médio e longo prazo. Especialmente quando comparado aos impactos da falta de proteção.

No caso de grandes perdas de dados, a continuidade dos negócios e os processos são severamente afetados. Tempo e recursos financeiros da empresa geralmente precisam ser desviados para resolver os incidentes e recuperar as informações perdidas, para que assim outras funções de negócios possam ser restauradas.

Próximos passos

Com a convergência dos negócios em direção à economia digital, preocupar-se com segurança da informação e prevenção de perda de dados se tornou fundamental.

Não só a participação das empresas nesse período de transformação digital fica comprometida, mas qualquer tipo de iniciativa visando o crescimento futuro dificilmente será alcançada caso perdas financeiras e de credibilidade atinjam as empresas.

Sobre a EVAL

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

logo-footer

Onde Estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CEP: 05440-000

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Facebook Instagram Linkedin
Política de Privacidade

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97