Atualmente, o roubo de dados e requisitos de conformidade regulamentar causaram um aumento drástico no uso de chaves de criptografia nas empresas
Conteúdo produzido por E-VAL
É muito comum, por exemplo, que uma única empresa use várias dezenas de ferramentas de criptografia diferentes, possivelmente incompatíveis, resultando em milhares de chaves de criptografia.
Em um mundo perfeito, a Gestão de Chaves Criptográficas tem a responsabilidade pela administração, proteção, armazenamento e o backup de chaves de criptografia.
Afinal, cada chave deve ser armazenada com segurança, protegida e recuperável. Porém, a realidade é outra e você deve saber bem como termina essa história quanto a perda de chaves.
A importância do armazenamento e backup de chaves de criptografia
O gerenciamento de chaves significa proteger as chaves de criptografia contra perda e acesso não autorizado.
Muitos processos devem ser usados para fazer o controle e a gestão de chaves. Isso inclui alterar as chaves regularmente, gerenciar como as chaves são atribuídas e quem as recebe.
A experiência nos mostra que a perda de chaves nos leva a um grande impacto em importantes processos de negócio das empresas.
Isso faz com que ocorra a perda de acesso a sistemas e dados, bem como torna um sistema completamente inútil, a menos que seja formatado e totalmente reinstalado.
Vale destacar que é essencial para qualquer empresa atualmente, ter mais de uma pessoa responsável pelo armazenamento e backup das chaves de criptografia.
Desta forma, somos direcionados a diversas boas práticas do mercado. Temos por exemplo, as funções dos responsáveis definidas e a criação de uma política de gerenciamento de chaves de criptografia eficiente e acessível a todos.
Entretanto, temos um grande desafio pela frente. Um dos grandes problemas conhecidos é a falta de ferramentas unificadas para reduzir a sobrecarga do gerenciamento.
Um sistema de gerenciamento de chaves comprado de um fornecedor não pode gerenciar as chaves de outro fornecedor. Isso é devido ao fato que cada um implementa um mecanismo de gerenciamento de maneira própria.
Você provavelmente deve estar recordando de alguns fatos relacionados a falta de um armazenamento eficiente. Inclusive os casos de perda de chaves e os impactos para a empresa.
A perda de chaves expõe dados de pessoas e empresas
A perda ou a exposição de chaves de criptografia nunca será uma boa experiência. Imagine, por exemplo, um desenvolvedor armazenando acidentalmente as chaves em um repositório público?
Infelizmente este é um cenário provável e que pode acontecer facilmente para qualquer tipo de chaves de criptografia em diferentes empresas.
Alguém pode enviar acidentalmente as chaves em um código fonte ou através de qualquer envio de um conjunto de arquivos ou dados.
Seja na nuvem ou em data centers próprios, as empresas precisam construir uma estratégia de gerenciamento que evite a perda das chaves e/ou exposição indevida.
Como vimos anteriormente, as chaves devem ser mantidas em armazenamento seguro e com acesso limitado àqueles que precisam delas para o seu trabalho.
Por isso, algumas empresas utilizam aplicativos de proteção contra perda de chaves.
Elas servem para verificar o tráfego na rede em busca de vazamentos de dados. Assim como detectar a divulgação acidental ou maliciosa de informações confidenciais ou particulares.
Não apenas a gestão deficiente de chaves pode levar a servidores comprometidos. Mas também se as chaves usadas para criptografar dados forem perdidas, os dados criptografados com essa chave também serão perdidos.
Portanto, não existe um substituto para o gerenciamento de chaves de criptografia.
Situações comuns que levam a perda de chaves criptográficas
Por ser algo de relativa complexidade para determinados funcionários das empresas. Assim como, é possível imaginar que a perda de chaves não aconteça com tanta frequência.
Entretanto, existem situações muito comuns em nossas rotinas que nos leva a cenários de perda de chaves:
- O responsável pelas chaves esquece a senha de acesso à chave;
- O funcionário responsável pelas chaves não lembra onde armazenou a chave;
- O gestor possui uma quantidade de chaves enorme para gerenciar;
- A pessoa encarregada pela responsabilidade das chaves sai da organização e quem fica acaba com um grande problema de gerenciamento.
A importância das chaves de criptografia é óbvia para os profissionais de segurança da informção. Mas a complexidade do gerenciamento delas, pode ser quase tão assustadora quanto os próprios algoritmos de criptografia.
Tudo se resume ao quanto é importante para as empresas controlarem as chaves
Antes de mais nada, é importante ver o que é uma assinatura digital e como ela funciona.
Uma assinatura digital é o equivalente a uma assinatura escrita. Seu propósito pode ser verificar a autenticidade de um documento ou verificar se o remetente é quem ele afirma ser.
Isso nos mostra a importância das chaves de criptografia em processos produtivos, Assim como, o impacto gerado pela perda das chaves em uma rotina das empresas, de diferentes segmentos ou tamanhos.
Em termos de gerenciamento de risco, o custo principal da perda de chaves. Isso por que incidirá principalmente em tornar as empresas alvo para sofisticados ataques virtuais. levando a prejuízos não só financeiros, mas também relacionado a imagem da organização.
Uma das práticas mais recomendadas para reduzir incidentes relativos aos ataques virtuais é a realização de auditorias. Isso por que essa prática auxilia identificar se as chaves estão sendo utilizadas e da forma correta.
Esse processo consiste em auditar a criptografia de chave pública para identificar fontes e dispositivos vulneráveis, de tokens a certificados TLS.
As estratégias de mitigação disponíveis dos fornecedores podem então ser revisadas e aplicadas de acordo com as prioridades baseadas no risco.
A solução para todos os problemas é…
Não faltam orientações sobre como gerenciar identidades digitais e como identificar a melhor opção para sua empresa, tudo depende do ambiente atual e dos recursos disponíveis.
Embora o uso de uma política mais forte de gestão possa ser a opção mais segura. Isso também pode resultar em custos significativos, as empresas devem se concentrar na melhoria contínua. Além disso, pode ajudar a gerenciar seus riscos a um preço compatível com sua realidade.
As empresas devem avaliar criticamente a forma como proteger seus sistemas e considerar as causas-raiz dos incidentes de segurança em seus ambientes como parte de uma avaliação de riscos.
É comum, por exemplo, vários incidentes de segurança relacionados a contas comprometidas. Principalmente em decorrência da falta do gerenciamento correto das chaves de criptografia.
À medida que os sistemas se tornam mais seguros e as empresas adotam medidas efetivas para gerenciar seus processos. Vale lembrar que iniciativas como a autenticação e gestão de chaves estão se tornando cada vez mais importantes.
Garantir que sua empresa esteja usando os processos de autenticação e autorização apropriados, Para isso, é necessário o uso de chaves criptográficas e com base na gestão de riscos. Pois, já é o primeiro passo para reduzir os riscos de incidentes e garantir a confidencialidade dos dados de clientes e funcionários.
Aproveite o final do nosso artigo e responda a seguinte pergunta: Qual é a estratégia de gerenciamento de chaves de criptografia adotada por sua empresa atualmente?
Fonte: Blog E-VAL
Sobre E-VAL
A E-VAL atua há 13 anos no mercado financeiro, pioneira em iniciativas no uso da certificação digital no Brasil, implementando segurança no Sistema de Pagamentos Brasileiros (SPB) para diversas instituições financeiras e também nos primeiros sistemas de assinatura digital, iniciando pelos contratos de câmbio.
