Nem uma semana se passa sem notícias de um grande vazamento de dados: 60 milhões de usuários da transportadora USPS; 40 milhões de números de cartão de créditos usados nas lojas Target; 500 milhões de hóspedes da rede Marriott.
Gigabites e mais gigabites de dados jogados na internet para que todos vejam. E esses são somente alguns casos que ficamos sabendo.
A escala é muito mais espantosa. Um estudo feito pelo Centro de Recursos sobre Roubo de Identidade e Acompanhamento Cibernético mostrou que o número de violações de dados nos Estados Unidos atingiu 791 incidentes somente na primeira metade do ano. São mais de quatro ocorrências diárias. Extrapolando isso para o mundo interior, dá para ser ter uma ideia.
E, em reposta a tudo isso, tivemos somente um lenga-lenga cheio de jargões típicos de qualquer gerente de TI. Porém, a segurança digital não é mais restrita aos profissionais da área e ter um departamento inteiro dedicado à Tecnologia da Informação é um luxo que muitas pequenas empresas não podem bancar.
Provedores de softwares devem ser responsáveis pelos seus próprios padrões de segurança, mas como você vai saber que eles estão fazendo um bom trabalho? Aqui estão quatro elementos a serem conferidos para garantir a segurança de um software (e uma muito útil dica de segurança!).
Criptografia (preferencialmente de ponta-a-ponta)
O aumento nos padrões de segurança fizeram da criptografia comum entre os provedores de softwares. Isso significa que os seus dados são embaralhados durante a transmissão e depois decodificados quando chegam ao servidor.
Com a criptografia de ponta-a-ponta somente o emissário e o receptor são capazes de ver a informação. As mensagens passam por servidores mas não são impossíveis de serem lidas até chegar ao receptor final.
Os grandes navegadores requerem o uso de https, ou certificados TLS/SSL, para evitar os avisos de “Não Seguro” em suas páginas. Websites altamente seguros, que provêm identificação para o usuário final são os melhores.
Dica: Pergunte ao seu provedor sobre sua estratégia de criptografia.
Criptografia é o que evita fraude de informações. Esse é o processo que criptografa a mensagem de acordo com um protocolo acordado, desde o início, pelo emissário e pelo receptor, que transforma a informação em uma mensagem ilegível, caso alguém tente interceptá-la.
Quando falamos em certificados digitais, a criptografia é gerada por softwares específicos, que colocam uma chave secreta em cada mensagem.
“Mas é necessário estabelecer e manter conexões seguras entre os sistemas de TI e dispositivos externos para proteger informações sensíveis enquanto elas viajam para dentro e fora da sua rede. Nosso mundo depende da segurança digital criptografada”, explica Dean Coclin, Diretor Sênior de Desenvolvimento de Negócios da Digicert, a líder global em soluções TSL/SSL, IoT (Internet das Coisas) e ICP (Infraestrutura da Chave Pública)
SSL vs. TLS
E por falar em criptologia, SSL (Secure Socket Layer) garante uma conexão criptografada entre navegador e servidor. Foi desenvolvido pela Netscape em 1995, é o precursor do TLS (Transport Layer Security), e foi primeiro introduzido em 1999 (com sua versão 1.3 atualmente em desenvolvimento).
SSL 2.0 e 3.0 não foram aprovados pelo IETF em 2011 e 2015, respectivamente, assim o TLS tornou-se o protocolo de segurança mais abrangente na internet para bancos online e sites de compras.
Genericamente falando, a presença do ‘https://’ e oposição ao ‘http://’ na barra de endereço do site indica que a conexão entre seu computador e o website é TLS encriptada. Isso protege melhor o usuário, que consegue verificar que o certificado foi submetido à empresa correta. Desta forma, a conexão tipo de certificado protege informações confidenciais – tais como dados de cartão de crédito, trocados durante cada visita, considerada o tipo de sessão mais comum de ser interceptada por uma terceira parte não autorizada.
Dica: Cheque a URL dos sites que você visita, particularmente aqueles nos quais você informa dados pessoais.
Acrescente Autenticação
Saber com quem você se conecta on-line é tão importante quanto os dados que você envia criptografados. Certificados de alta-segurança TLS/SSL e outros certificados dão a você a garantia de que o operador do website que você está visitando foi examinado de acordo com os requisitos globais para certificados de autoridades.
Desta maneira, você tem como saber melhor que o website que você pretende visitar é legítimo. Donos das páginas podem também obter melhor proteção contra impostores requerendo certificados OV (Validação Completa) ou EV (Certificado de Validação Extendida) somente para seus próprios sites.
Dica: Pergunte aos seus sites favoritos se eles usam certificados OV ou EV ou procure pela barra verde de endereços.
Tópico chave: ICP
ICP (ou em inglês PKI) e certificados digitais não são usados somente para assegurar a comunicação entre websites, mas também para autenticação e criptografia dentro do próprio empreendimento: a Digicert é a líder em prover plataformas ICP que ajuda companhias assegurarem seus e-mails, autenticar dispositivos Wi-Fi, assegurar acesso remoto via VPN, manejar dispositivos móveis, promover assinatura de documentos, dar suporte robusto a autenticações web, prover o login em smart cards, entre outros.
O certificado de gerenciamento em uma plataforma ICP são automatizadas e integradas ao Microsoft Active Directory. As líderes globais, como a IBM, entendem o valor de uma plataforma ICP escalável para autenticação e criptografia dentro de suas redes.
Padrões de segurança estão em constante desenvolvimento e mudança, o que pode ser difícil acompanhar a linguagem técnica. Mas, fazer sua pesquisa trará benefícios a longo prazo e evitará ataques maliciosos.
Dica: Pergunte ao seu funcionário como ele usa certificados digitais para autentificar conexões e dispositivos e criptografar dados nos aplicativos de sua empresa.
O que as empresas podem fazer?
Bons hábitos empresariais de cibersegurança começam com educação. Empregados precisam saber conceitos como spearfishing (quando criminosos usam brechas para “pescar” dados) e clickjacking (quando uma pessoa clica em um site achando estar em outra).
Eles precisam aprender como identificar links maliciosos, reconhecer sites de phishing (técnica usada para roubo de dados pessoais e de cartões), e a importância da atualização de softwares e autenticações multifatoriais.
Gerenciar senhas deve ser uma obrigação para evitar a reutilização e a crescente entropia, mas tudo isso deve acontecer juntamente com ensinamentos sobre como usá-las apropriadamente.
A autenticação forte e robusta deve acontecer nos bastidores com certificados digitais para website e aplicativos para negócios. Ensinar empregados a verificar antes de clicar, inclusive procurando pelo https, a barra verde de endereços e o nome da companhia na barra de endereços quando visitar outros websites.
SSL embarcado em equipamentos médicos e carros inteligentes. Entrevista com a DigiCert
DigiCert, Microsoft e Utimaco implementam com sucesso teste com algoritmo Picnic