O Brasil acompanhou o movimento mundial e, o SSL teve maior adesão no segmento financeiro seguido por empresas de saúde e governo
Por William Bergamo, Cofundador, Membro do Conselho de Administração e VP Comercial e Novos Negócios na e-Safer
Com o aquecimento do mercado corporativo e a transposição de processos analógicos para o meio digital que está ocorrendo mundialmente, cada vez com mais velocidade, é importante que as empresas preservem seus dados, suas informações e também sua reputação.
Sim, a reputação da empresa, uma vez que as pessoas começaram a dar mais atenção ao sigilo de dados trocados com as empresas.
O evidente aumento de invasões hackers para roubo de dados e para Ransomwares – sequestro de dados seguido de exigência de resgaste – que vem ocorrendo em empresas de diversos segmentos, portes e atividades, com certeza está refletindo em queda do valor das empresas invadidas.
Prova disso é que as gigantes globais do mercado de consultoria e auditoria não só estão contratando profissionais de tecnologia especializados em segurança da informação para estudar riscos e passivos envolvidos nas aquisições, como criaram uma área de consultoria e compliance focada em cibersegurança e transformação digital.
Isso coloca as empresas em estado de alerta em relação ao uso do meio digital para agilizar processos e reduzir custos.
A LGPD – Lei Geral de Proteção de Dados não atinge apenas as empresas que transacionam no meio digital. Para exemplificar o alcance da LGPD, pense nos documentos antes arquivados em pastas suspensas de papelão e guardadas em arquivos de metal e, que agora, estão devidamente armazenadas em servidores web, estas informações também precisam ser preservadas.
Voltando ao início da era digital
A criação da Internet veio simplificar, e muito, a rotina das pessoas e os processos das organizações e reduzir custos operacionais, isso é fato!
Mesmo antes da Internet romper os limites acadêmicos e emergir no mundo corporativo, os cientistas perceberam que seria muito importante a criação de mecanismos que identificassem empresas e pessoas e que garantissem o sigilo das transações realizadas pela rede mundial de computadores.
Surgem, então em meados de 1994, o protocolo de segurança que por meio de cálculos matemáticos – criptografia – que foi capaz de criar canais de comunicação seguros para que informações fossem trocadas sem a possibilidade de terceiros acessarem os seus dados.
Assim surgiu o protocolo SSL – Secure Sockets Layer, desenvolvido pela empresa Netscape, na época, a única empresa de browser do mundo.
Desta forma, seus desenvolvedores criaram esse protocolo de segurança com base na equação: sigilo + identificação = confiança. Eles imaginaram que pessoas e empresas precisariam ter confiança umas nas outras para transacionarem na Internet. Essa é a essência que motivou o desenvolvimento do protocolo SSL: Criptografia e Identificação Digital.
Na época existiam poucos criptógrafos e cientistas da computação com o entendimento do significado da interoperabilidade para a Internet, adicionado a isso haviam poucas empresas fornecedoras desse protocolo, com isso criou-se um alinhamento natural na estrutura do protocolo seguido pelas empresas que iriam fornecer esse recurso ao mercado. Desta forma, o padrão foi naturalmente criado.
Em 1996, nasce a primeira Autoridade Certificadora Comercial com o nome de VeriSign, operando a nível global, um spin-off da RSA. A VeriSign inicia sua operação já com uma fila de empresas demandantes dos certificados SSL, em sua maioria atuantes no mercado financeiro.
A interoperabilidade dos Certificados SSL emitidos pela VeriSign com os navegadores e principais softwares foi assegurada porque o mercado entendeu a extrema necessidade da criptografia e sigilo das informações para que a Internet se viabilizasse para o meio comercial.
E esse foi o início da comercialização do SSL no mundo.
O Brasil acompanhou o movimento mundial e, não diferente de outros países, o SSL teve maior adesão no segmento financeiro seguido por empresas de saúde e governo.
A adoção da internet foi um fenômeno. Rapidamente, já estava ocupando seu espaço nas casas das pessoas e na rotina das empresas.
Nesse meio tempo – estamos falando de aproximadamente duas décadas – muitas empresas negligenciaram a segurança digital por falta de conhecimento e por terem sido fortemente induzidas ao erro por fornecedores que vendiam “gato por lebre”.
A indústria de Certificação Digital cresceu muito no mundo todo e novos players chegaram a esse mercado.
Para entrar nesse mercado e competir com as tradicionais Autoridades Certificadoras, os novos fornecedores de SSL optaram pela estratégia de redução de custos e brigar por preço e com isso precisaram alterar os procedimentos de validação, que é o maior custo no processo de emissão dos Certificados Digitais.
Visando resguardar os requisitos técnicos e, principalmente, os procedimentais “sobre controle”, um grupo de empresas de Certificação Digital, fornecedores de software de navegador de Internet e fornecedores de outros aplicativos que usam Certificados Digitais X.509 v.3 para SSL/TLS, assinatura de código e S/MIME se uniram, voluntariamente, e criaram em 2005 um conselho chamado de CA/Browser Forum.
O CA/Browser Forum é um órgão internacional formado por cerca de 50 empresas que trabalham em conjunto, na definição de padrões chamados Requisitos de Linha de Base, para proteger sites com os protocolos de criptografia TLS / SSL, assim como, tantas outras definições relacionadas à segurança online e aos dados armazenados em servidores web.
Mesmo com as ações do CAB Forum, o grupo de guardiões das boas práticas para uma internet segura do qual a e-Safer é parte, tem ainda muito a trabalhar para elevar a compreensão dos profissionais envolvidos na seleção de recursos de tecnologia e seus respectivos fornecedores, sejam das áreas de segurança de conformidades ou suprimentos.
A falta de conhecimento dos profissionais em geral sobre SSL/TLS pode causar sérios problemas as organizações em que trabalham, e podem facilitar a entrada dos cibercriminosos nos servidores dessas empresas.
As empresas que negligenciam a segurança da informação já estão pagando um preço altíssimo. A tendência é que esse quadro se agrave à medida que as ações dos cibercriminosos aumentam e se tornam mais sofisticadas, a medida que os indivíduos comuns tomem ciência das responsabilidades que as empresas devem ter em relação aos seus dados e as sanções impostas pelas leis de privacidade e proteção de dados. As empresas que não se prepararem para esse novo ambiente podem ser surpreendidas a qualquer momento, de forma muito desagradável.
A experiência que adquirimos na e-Safer tratando caso reais de ataques hackers sofisticados, nos fez entender que precisamos preparar nossos clientes para essa realidade trabalhando em conjunto na definição das estratégias de cibersegurança e nos processos de transformação digital.
E, então percebemos que enquanto falamos de cibersegurança e transformação digital também precisamos falar do que seria mais simples de ser resolvido, mas não é.
Estou me refiro aos protocolos de segurança SSL/TLS que são adquiridos de forma errada sem adequado critério de seleção de fornecedores. Mesmo quando as empresas contratam o tipo do certificado correto para o nível de criticidade da sua operação ainda correm o risco de falharem na instalação.
Por isso, resolvemos entrar nesse mercado de SSL/TLS, a fim de levar conhecimento e recursos realmente seguros.
e-Safer dá dicas sobre como comprar com segurança na Internet
Crypto ID entrevista: William Bergamo – Padrões técnicos dos protocolos SSL/TLS
Cadastre-se para receber o IDNews
E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!