A criptografia é considerada um dos controles de segurança para proteger dados mais reconhecidos e largamente implantados hoje
Matéria produzida pela E-Val
De acordo com a empresa americana Vera Security, apenas 4% das violações de dados são consideradas “seguras”, onde a criptografia torna inúteis os arquivos roubados.
A criptografia geralmente é comprada e implantada com objetivos relacionados a conformidade de requisitos. Ou seja, normalmente ela não está alinhada para enfrentar riscos de segurança do mundo real, como roubo de dados e excessos acidentais de funcionários.
De fato, aplicar a tecnologia de criptografia de forma eficaz é um dos principais desafios que as organizações enfrentam para alcançar o desempenho satisfatório na proteção de dados.
Para se ter uma ideia da situação, dados apresentados em uma pesquisa feita pela Vera Security mostram que 61% dos entrevistados acreditam que a conformidade direciona a necessidade de criptografia, não a proteção de dados dos usuários. Dessa forma, aumenta-se ainda mais a desconexão entre criptografia e segurança.
O relatório também cita implantações de criptografia orientadas ao perímetro como uma das principais razões pelas quais os investimentos em criptografia das organizações estão desalinhados com a forma como os funcionários e parceiros de negócios realmente usam dados críticos.
O desafio de proteger dados por todo o ciclo de vida do negócio
Para profissionais especializados em segurança, privacidade e risco, a velocidade e a escala de como os dados se movem pelas organizações e seus parceiros hoje em dia são os fatores que mais aumentam a necessidade da proteção de dados.
Principalmente no atual ambiente colaborativo pós-nuvem, as organizações devem proteger dados dos clientes por todo o ciclo de vida do negócio.
A abordagem principal é usar a segurança de arquivos sempre ativos para proteger os dados durante sua vida útil. Assim se mantém a conformidade com as legislações e regulamentos existentes. Essa estratégia visa fornecer criptografia forte, controle de acesso em tempo real e gerenciamento de políticas definido.
Outro dado importante do relatório mostra que quase 2/3 dos entrevistados dependem de seus funcionários para seguir políticas de segurança. Só assim é garantida a proteção dos arquivos distribuídos. Entretanto, 69% estão muito preocupados com a falta de controle dos documentos enviados para fora da rede ou colocados em colaboração na nuvem. Por fim, apenas 26% têm a capacidade de localizar e revogar o acesso rapidamente.
A pesquisa mostra ainda que só 35% dos entrevistados incorporam a criptografia nos processos de segurança em geral. Enquanto isso outros citam dificuldades em implementar a criptografia corretamente como motivo da sua baixa priorização na organização.
Uma das principais conclusões da pesquisa é que a criptografia não é vista como uma “vitória fácil”. Além disso ela também é considerada difícil de implantar e usar.
As recomendações para virar esse jogo com criptografia
Apesar das dificuldades em adotar criptografia de dados nas empresas, vale destacar que existem tecnologias de segurança centradas em dados que podem fornecer rastreamento e controle de acesso em tempo real, sem inconvenientes para o usuário final. As recomendações são as seguintes:
1. As equipes de TI e negócios precisam seguir o fluxo de trabalho da empresa para encontrar brechas de segurança
Assim essas equipes poderão encontrar exposições de dados ocultas. Além disso, deve-se observar que mecanismos de criptografia geralmente não conseguem acompanhar os dados e as novas funções dos usuários.
Dessa forma, as organizações precisam estudar como os funcionários realmente usam os dados para identificar áreas onde a criptografia não pode alcançar ou estão desabilitadas por necessidade.
Porém uma equipe que conhece os dados sensíveis da organização podem ajuda no mapeamento para que a área de TI possa implantar corretamente a criptografia. Por isso a equipe de negócios deve ser uma equipe multidisciplinar que envolva várias áreas da empresa.
2. Invista na prevenção de ataques
As organizações devem evitar o pensamento reativo dos incidentes (“ações a serem feitas apenas após o ataque”). Afinal, na maioria das organizações, funcionários bem-intencionados cometem erros que superam as ameaças maliciosas.
Por esse motivo as empresas são aconselhadas a garantir uma visibilidade clara de seus processos para ajudar funcionários e gerentes a conter a exposição acidental de dados e aplicar suas políticas de prevenção a roubo de dados e perda de privacidade.
A pergunta agora é quando os dados da minha empresa irão vazar. Tendo isso em mente, fica mais claro como definir uma estratégia adequada que previna o ataque e caso ocorra os dados permanecerão protegidos.
3. Faça o alinhamento entre o negócio, parceiros e tecnologias como a criptografia
As empresas precisam alinhar seus recursos tecnológicos — e isso inclui a criptografia — para lidar com nuvem, tecnologias móveis e terceiros. A multiplicação de dispositivos mobile e parceiros de negócios apresenta uma ampla variedade de novos locais onde os dados devem trafegar.
O roteamento desse acesso a dados por meio de nuvem e outros serviços centralizados ajuda os líderes de TI, segurança e negócios a restaurar a visibilidade e consolidar o controle, incluindo esses dados às plataformas com criptografia incorporada e controles de acesso a arquivos.
A estratégia para vencer o desafio precisa ser assertiva
Para finalizar, os principais motivos apontados pelos entrevistados na pesquisa para adotarem a criptografia foram que os dados não são levados a sério o suficiente (40%); a implementação de uma política de criptografia em todos os dados é considerada muito difícil (18%), não é fácil manter o controle de onde os dados estão sendo armazenados (17%), os aplicativos internos não foram testados para garantir que dados sejam protegidos de acordo com a política (13%), e os administradores não conseguem configurar controles de criptografia corretamente (12%).
Diante deste cenário, é possível verificar que temos um grande desafio pela frente. As empresas não podem deixar o ônus da segurança de dados somente para equipes de TI. Em vez disso, elas devem conscientizar, implementar e testar adequadamente uma estratégia assertiva de proteção de dados.
E para esses objetivos de segurança, criptografar dados é essencial. Ao planejar as necessidades de criptografia, mapeie os fluxos de dados por todos os aplicativos e pelas tabelas que armazenam informações relevantes. Em seguida, aplique criptografia para armazenamento e na transmissão. E não se esqueça do controle de acesso ao dado também.
Por fim, para proteger ainda mais os dados da organização, tenha cuidado com documentos ou aplicativos compartilhados entre usuários. Eles são fáceis de acessar e compartilhar, mas podem colocar em risco informações confidenciais.
Os controles de acesso baseados em criptografia novamente garantem que apenas usuários autorizados possam acessar determinados dados. Acompanhe e monitore o uso de dados para garantir que os controles de acesso sejam eficazes.
E-VAL Tecnologia
A E-VAL Tecnologia atua há mais de 15 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como, SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de instituições financeiras, educação e indústria.
Como medição inteligente vai auxiliar no combate a fraudes
Agilidade na criptografia: por que as empresas brasileiras vão precisar dela (e logo)