Por que o gerenciamento de certificados é essencial para a comunicação segura
Trabalhar em casa tem sido a nova realidade para muitos funcionários desde o surto do coronavírus, e as comunicações digitais são cruciais para isso.
Por Jordan van den Akker, consultor de segurança comercial da AET Europe
As pessoas estão se reunindo no Zoom, assinando contratos on-line, compartilhando telas e muito mais.
O problema é que isso pode gerar todos os tipos de problemas de segurança – geralmente aqueles que nem as equipes de TI conhecem.
Felizmente, eles podem ser evitados estabelecendo uma estratégia de segurança digital e uma forte infraestrutura de chave pública para gerenciar certificados de segurança.
Como os certificados X.509 protegem identidades digitais?
No mundo digital, a maioria das coisas tem uma identidade digital, incluindo pessoas, servidores, software, sites, sistemas de email, crachás de acesso e assim por diante. Eles geralmente são protegidos com certificados X.509, que usam chaves públicas e privadas para verificá-los.
Esses certificados ajudam a aumentar a segurança e garantir a continuidade dos negócios porque tem as seguintes funcionalidades básicas
1 – Autenticação de usuários e de máquinas para conceder acesso a redes ou espaços internos ou externos.
2 – Identificação e segurança da comunicação – criptografia – proporcionando confiabilidade aos sites que usam TLS – Transport Layer Security, ou SSL – Secure Sockets Layer.
3 – Habilitação da comunicação programa a programa e máquina a máquina – para a Internet das coisas, por exemplo.
4 – Assinatura de código dos softwares nos processos de desenvolvimento do produto.
5 – Criptografa e descriptografa dados e informações importantes.
6 – Habilita o uso de assinaturas digitais em documentos ou e-mails.
7 – Confere aos documentos eletrônicos as evidências de autoria, integridade, autenticidade, qualificação, confidencialidade, temporalidade e não repúdio
Como controlar os certificados?
Uma opção para gerenciar a solicitação, validação, criação e revogação de certificados digitais é um sistema manual, como uma planilha. Porém, se você tiver mais de 50 certificados, fazer o gerenciamento dessa forma se torna muito complexo.
Para a maioria das organizações, um sistema de gerenciamento de certificados é essencial. Ajuda a criar uma infraestrutura de chave pública (PKI) confiável que reúne políticas, funções, hardware e software para gerenciar chaves públicas e certificados digitais.
” No geral, à medida que os casos de uso e o volume de certificados aumentam, a complexidade do gerenciamento de certificados X.509 aumentará drasticamente. ” – Gartner.
Conhecimento significa poder e menos tempo perdido
Como gerente de segurança e risco, é crucial ter pelo menos conhecimento do número de certificados que sua organização possui e de seu impacto em suas operações. No entanto, geralmente não é a realidade em muitas organizações.
Quando surgem problemas como alguém que não consegue fazer login, um sistema com mau funcionamento ou um site inoperante, uma das primeiras verificações deve ser feita em torno dos certificados digitais – X.509.
Pode ser tão simples quanto o certificado digital expirar, o que é fácil de corrigir. Com muita frequência, os certificados digitais não são considerados no início do estudo para a correção do problema. Isso pode levar a uma caçada desnecessariamente longa e muitas vezes cara para identificar o problema.
O gerenciamento eficiente de certificados reduz gastos
Portanto, é realmente importante configurar sua infraestrutura de chaves corretamente para que os certificados possam ser gerenciados de maneira eficiente.
Caso contrário, certificados incorretos podem ser emitidos ou podem ficar desatualizados, causando problemas técnicos. O mau gerenciamento dos certificados digitais também pode pavimentar o caminho para pessoas não autorizadas possibilitando a invasão em sua rede e a seus sistemas.
“Os líderes de segurança e gerenciamento de riscos geralmente desconhecem o escopo ou o status de suas implantações de certificado X.509. À medida que o escopo do certificado se expande para dispositivos, contêineres e IoT, eles precisam usar o gerenciamento automatizado de certificados. Isso para evitar interrupções no sistema e obter eficiência operacional. ”Gartner.
Opte por um sistema automatizado seguro e compatível
Pouquíssimas pessoas, mesmo no mundo da TI, possuem habilidades especializadas para renovar certificados X.509. Portanto, um sistema confiável de gerenciamento de certificados é vital para estabelecer uma infraestrutura de chave pública que não seja apenas segura, mas compatível com o GDPR – General Data Protection Regulation e a LGPD – Lei Geral de Proteção de Dados Brasileira.
Esse sistema ajudará você a verificar e monitorar expiração dos certificados e também auxilia a responder algumas questões
1- A autoridade certificadora que está emitindo o certificado ainda é confiável e os dados que você possui estão atualizados
2- Os algoritmos de hash, comprimento da chave e criptografia ainda estão no nível certo ou os hackers encontraram vulnerabilidades neles?
3 – Você está mantendo o controle do uso de certificados? É importante monitorar quem está usando certificados e como eles estão sendo usados. Está de acordo com sua política? Observar isso ajudará a evitar ataques de phishing, por exemplo, ou o uso de certificados SSL ou TLS, emitidos em nome da sua organização, por sites falsos. Também ajudará a proteger seus dados e evitar a interceptação de comunicações confidenciais.
Por fim, é importante acompanhar a propriedade dos certificados digitais da sua organização. Normalmente, pessoas diferentes em departamentos diferentes são designadas como responsáveis por diferentes certificados. Você precisa saber quem são os proprietários atuais o tempo todo. Assim, você pode abordá-los rapidamente se houver algum problema relacionado a um deles.
Primeiro, defina sua estratégia de segurança digital
Para abordar todos os pontos descritos acima, é vital ter uma estratégia abrangente de segurança digital. Para começar, estude a maneira como os certificados digitais são gerenciados atualmente em sua organização. Quais são os desafios? O processo é simples e eficaz? Ele atende a todos os padrões relevantes de segurança e privacidade? Você está totalmente no controle?
Se a resposta para qualquer uma das perguntas acima for negativa, é hora de criar uma estratégia de segurança digital – ou atualizar a atual.
Principais considerações para sua estratégia
Ao criar uma estratégia de segurança digital, consideramos cuidadosamente como lidar com as identidades digitais em sua organização.
Se os certificados já estiverem em uso, também verificaremos se há vulnerabilidades internas. Isso inclui certificados expirados; certificados sem um proprietário designado; certificados que expiram na mesma data; certificados que estão sendo mal utilizados; e certificados que não atendem aos padrões criptográficos e estruturas legais atuais, como o eIDAS.
Isso nos permite elaborar uma política baseada em estruturas de segurança como a ISO27001 para gerenciamento de certificados e estruturas de privacidade como o GDPR – General Data Protection Regulation e LGPD – Lei Geral de Proteção de Dados.
Também determinamos se seus certificados podem ser gerenciados manualmente, com planilhas. Ou se um sistema de gerenciamento de certificados, como o BlueX eID Management da AET, deve ser considerado.
Tudo faz parte de nossa busca por um ambiente digital seguro, seguro e confiável, onde todos os dados pessoais e comerciais sejam protegidos. Você se juntará a nós nesta missão?
Jordan van den Akker, consultor de segurança comercial da AET
Artigo Original Why certificate management is key for secure communication.
Leia também…
BlueX eID – Ferramenta de gerenciamento do ciclo de vida dos certificados digitais
O Bluex suporta todos os aspectos do gerenciamento do ciclo de vida do certificado, portanto, proporciona o gerenciamento de vários certificados digitais com datas de vencimento diferentes, emitidos por diferentes fornecedores.
Indicado para empresas com mais de 50 certificados digitais ou eIDs.
Para Autoridades Certificadoras e Autoridades de Registro proporciona o total controle de emissão, revogação e renovação dos certificados digitais ICP-Brasil indepemndte de seus PSSs- Prestadores de Serviço de Suporte utilizarem ou não essa ferramenta.
Controla além do ciclo de vida dos certificados digitais, o tipo de armazenamentos. Suporta uma ampla gama de cartões inteligentes e tokens multifuncionais e suporta todas as principais autoridades certificadoras (CAs) e os certificados emitidos em HSMs – hardware security module e em núvem.
Adicionalmente o BlueX oferece suporte às organizações, ACs e ARs para implementação de políticas de conformidade com a governança da segurança da informação, funções e responsabilidades da empresa na área do processo de gerenciamento de identidade digital ou eletrônica.
O BlueX contribui na otimização dos investimentos necessários permitindo que as organizações sejam eficientes na implantação, gerenciamento e manutenção em uma infraestrutura baseada em certificado.
O BlueX pode se integrar perfeitamente a qualquer organização e infraestrutura devido à sua abordagem baseada no fluxo de trabalho e alta configurabilidade.
ET Europe e AARB reunem-se para gerar negócios para as ARs
Certificados de atributo: Se temos tecnologia disponível, porque permanecer na idade média?