Enquanto orçamentos de segurança da informação crescem e os investimentos são alocados para proteger o perímetro defensivo, muitas empresas estão ignorando a importância crítica do gerenciamento de certificados digitais
Artigo produzido por E-Val
Para se ter uma ideia desse cenário perigoso, um benchmarking feito pela Keyfactor e o Ponemon Institute mostra que 71% dos profissionais de TI acreditam que sua organização não sabe exatamente quantas chaves e certificados possui.
Isso é muito grave, uma vez que o certificado digital é considerado identidade digital da empresa e um componente crítico de qualquer organização.
O estudo feito pela Keyfactor-Ponemon mostra ainda que as organizações gastam uma média de US$ 18,2 milhões em segurança de TI anualmente. Entretanto, apenas 14% disso é alocado ao gerenciamento de chaves e certificado.
O ônus da gestão da infraestrutura de chave pública (public key infrastructure – PKI) deve ser compensado com o uso da tecnologia. Dessa forma se reduz riscos, custos operacionais, melhora a eficiência e automatiza o gerenciamento do ciclo de vida dos certificados.
O custo de identidades digitais não seguras
O relatório, intitulado “O impacto das identidades digitais não seguras”, apresentado pela Keyfactor-Ponemon fornece informações baseadas em dados sobre os perigos e consequências da baixa eficiência no gerenciamento de identidades digitais.
Os principais resultados do relatório
- O mau gerenciamento de certificados digitais causa tempo de inatividade e interrupções: 74% dos entrevistados dizem que os certificados digitais causaram e ainda causam tempo de inatividade ou interrupções imprevistas — a um alto custo médio por organização.
- As consequências são caras: o custo total de tempo de inatividade e interrupções é em média de US$ 67,2 milhões por empresa, durante um período de dois anos. Isso se deve ao tempo de administração e suporte do sistema, perda de produtividade, perda imediata de receita e diminuição da reputação da marca.
- A reputação está em jogo: 73% dos profissionais de TI acreditam que a falta de segurança de chaves e certificados prejudica a confiança em que sua organização depende para operar.
É importante destacar a partir dos resultados da pesquisa que as empresas precisam tomar medidas hoje para implementar processos e adotar o uso de tecnologias a fim de gerenciar proativamente certificados e chaves. De fato eles não estão recebendo a atenção ou os recursos necessários.
O cenário se repete em vários setores
O estudo conduzido pelo Ponemon Institute e encomendado pela Keyfactor, incluiu as respostas de 596 profissionais. Eles trabalham com TI e segurança da informação nos Estados Unidos em setores críticos, como serviços financeiros, assistência médica, varejo e automotivo, por exemplo. Isso mostra que há uma clara lacuna na compreensão de quão crítica é a situação, principalmente no nível executivo sobre o gerenciamento de identidade digital.
Apesar da pesquisa retratar uma realidade americana, onde questões de segurança, proteção de dados e privacidade estão bem avançadas, o cenário existente também se aplica ao nosso país. Já avançamos bastante, mas ainda há muito trabalho a ser feito.
Chaves e certificados digitais são ativos de segurança vitais para sua empresa, mas você os está protegendo?
Quando as chaves e certificados digitais caem nas mãos dos cibercriminosos, enormes prejuízos podem ser causados. Os certificados digitais permitem que as máquinas se comuniquem com segurança, tornando-se assim parte essencial de um ecossistema de negócios cada vez mais digital.
Da mesma forma, quando certificados expiram inesperadamente, os serviços críticos podem ser afetados. Infelizmente, a maioria das empresas muitas vezes não têm a visibilidade ou acesso às ferramentas necessárias para gerenciar esse elemento fundamental para a proteção cibernética de maneira eficaz.
Os certificados digitais visam autenticar a legitimidade das comunicações, interações e possíveis transações entre o remetente e o destinatário em sites, portais de comércio eletrônico, e-mails, documentos e sistemas bancários. Esses certificados também autenticam a navegação casual de portais, sites e fóruns.
Segurança na Comunicação
Bilhões de e-mails estão sendo transmitidos pela Web. Para uma comunicação importante entre diferentes entidades, um certificado digital é usado como anexo a uma mensagem de correio eletrônico. Afinal, ele traz segurança e verifica a autenticidade dos remetentes.
Acesso a operações bancárias via Internet
Bancos on-line não seriam possíveis e aceitáveis por milhões de clientes se não fossem os certificados digitais fornecidos por Autoridades de Certificação (ACs) respeitáveis.
Esses certificados garantem confiança, integridade e facilitam níveis adicionais de proteção para troca de dados confidenciais, acesso a informações e transações.
Muito comum é o uso de certificados digitais SSL, que junto com o browser aparece o famoso “cadeado”.
Facilita o comércio eletrônico
Milhões de consumidores estão comprando on-line atualmente. Eles precisam, sem dúvida, ter certeza de que navegam em sites e portais de vendas eletrônicas seguros e confiáveis.
Um selo seguro de empresas que fazem auditoria, ou mesmo um certificado SSL (Secure Socket Layer) permite a criptografia de informações confidenciais em sites de comércio eletrônico e tranquiliza os clientes sobre a segurança e a confiabilidade das compras, divulgação de informações de cartão de crédito ou negócios online.
Impede ameaças na internet
Logins regulares em sites, portais, mídias sociais, processamento de informações confidenciais como licenças, endereços e datas de nascimento. Essas são atividades diárias de milhões de usuários da internet atualmente.
A autoridade de certificação terceirizada e os certificados digitais fornecidos podem ser tranquilizadores para milhões de usuários da rede mundial. Afinal, assim se impede os crescentes perigos e ameaças de fraude online e roubo de identidade.
Além desses exemplos, as autoridades de certificação estenderam os recursos padrão de autenticação eletrônica dos Certificados Digitais e aproveitaram suas vantagens para além dos PCs, incluindo assim telefones celulares, cartões inteligentes e outros dispositivos portáteis.
Como as empresas podem lidar com o gerenciamento de certificados digitais?
Muitas empresas tentam gerenciar certificados digitais internamente, utilizando processos manuais e até mesmo com profissionais sem a devida qualificação. Trata-se de um esforço para economizar dinheiro. No entanto, proteger e gerenciar certificados digitais envolve uma infinidade de decisões de segurança. Essas decisões são, sem dúvida, tão importantes quanto a própria emissão de certificados como um todo.
O gerenciamento adequado de certificados requer, em suma, o uso de uma solução de software de gerenciamento de certificados digitais e o abandono do hábito de usar planilha.
Manter a infraestrutura saudável também é fundamental e o ajuda com isso. Existem muitas partes essenciais do gerenciamento de certificados digitais, não apenas da perspectiva do software, mas relacionadas a manter a PKI forte para ter o nível de garantia de que sua empresa não será comprometida.
Algumas dicas são fundamentais para o gerenciamento de certificados digitais associados ao uso de software:
1. Saiba quantos certificados você gerenciará — conheça o número.
Se você tiver uma grande quantidade de certificados, saiba que existem maneiras de tirar o componente humano da equação.
- Através da automação;
- Com uso de fluxo de trabalho;
- Envolvendo terceiros especializados para realizar o gerenciamento da infraestrutura.
2. Configure sua política de segurança em torno da emissão de certificados
Ao executar o gerenciamento de certificados internamente, pergunte a si mesmo se você está realmente confortável e confiante em como configurar sua política de segurança em torno da emissão de certificados.
- Você sabe qual nível de garantia é necessário?;
- Os ciclos de vida do seu certificado estão definidos corretamente?;
- Você não está abrindo seus negócios para vulnerabilidades?
3. Defina sistemas e ativos críticos para os negócios.
Existem pontos em sua organização nos quais você ainda não pensou em usar certificados digitais para proteção?
A vantagem de trabalhar com ferramentas adequadas ao gerenciamento de certificados digitais é ter acesso completo às melhores práticas do setor para lidar com uma infraestrutura complexa, além disso, é ter acesso também ao conhecimento da sensibilidade de políticas para garantir que sua PKI não seja comprometida.
A dica final é: se você não tiver certeza de que possui os especialistas internos e as ferramentas certas, não tente gerenciar certificados digitais de forma manual, busque empresas especializadas, como a E-VAL, por exemplo. Estamos à disposição para ajudar na melhoria dp seu processo de gerenciamento de certificados digitais com as melhores soluções do mercado.
E-VAL Tecnologia, uma empresa do Grupo E-VAL
A E-VAL Tecnologia atua há mais de 15 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como, SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de instituições financeiras, educação e indústria.
Fale com os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.