Melhorando a crypto agilidade em sua empresa

Posted on Updated on

Enquanto continua a crescer o número de dispositivos conectados e a tecnologia desenvolve-se rumo ao futuro cheio de computadores quânticos, é fundamental para uma organização que seus serviços de segurança e aplicativos tornem-se “crypto ágeis” para que ela se mantenha segura, hoje e no futuro.

Um objetivo comum nos negócios é melhorar a agilidade. A habilidade de rapidamente adaptar-se às mudanças no mercado dão a uma empresa vantagens competitivas, além de reduzir perdas desnecessárias. Informação é vital para empresas e cabe ao departamento de Segurança da Informação estabelecer e manter conexões confiáveis entre os sistemas de TI e todos os dispositivos externos.

A melhor prática para isso é usar a criptografia entre os diversos sistemas operados, ou seja, sua empresa deve usar links criptografados para proteger a informação em trânsito, seja destinada para uso interno ou externo. Por isso, quanto maior o número de aparelhos conectados, a crypto agilidade é um fator chave na rapidez dos negócios.

Pouca visibilidade limita a agilidade

Um fator comum que muitos profissionais de segurança enfrentam é não ter uma compreensão ampla de como a criptografia é usada pela infraestrutura de TI. Manter um inventário do software é algo familiar e o mesmo deve ocorrer com os dispositivos conectados.

Uma das formas mais comuns de criptografia usadas atualmente estão os certificados TLS/SSL, usados para estabelecer conexões seguras entre navegadores, servidores e o crescente número de aplicativos.

Os certificados TLS usam tanto a criptografia simétrica quanto a assimétrica  – via Infraestrutura de Chave Pública (ICP ou PKI, da sigla em inglês) – composta de hardwaresoftware, pessoas, políticas e procedimentos necessários para criar, gerir, distribuir, usar, armazenar e revogar identidades digitais. A ICP também é o que liga os usuários por meio de uma Autoridade de Certificação, tendo os benefícios tanto da criptografia simétrica quanto assimétrica. Por exemplo, em comunicações TLS, o certificado TLS do servidor contém um par de chaves: uma assimétrica pública e uma privada. A chave de sessão que o servidor e o navegador criam durante o TLS handshake é simétrica.

O que é a “crypto agilidade”

“Crypto agilidade envolve saber todos os lugares em que a criptografia é usada em sua organização – isto é, protocolos, livrarias, algoritmos, certificados, etc – sabendo como está sendo usada e tendo a habilidade de rapidamente identificar problemas e resolvê-los. A verdadeira cripto agilidade permite que você reponha perfeitamente criptografia desatualizada via automação” afirma Timothy Hollebeek, representante da DigiCert em diversos organismos de padronização, incluindo o CA/Browser Forum.

A crypto agilidade não é somente a capacidade de usar diferentes algoritmos para funções críticas – como hashing, assinatura, encriptação – nem a habilidade de escolher qual algoritmo usar em uma situação específica, por exemplo, SHA-1 ou SHA-256.

Simplesmente tentar colocar os algoritmos no lugar onde eles precisam estar pode ser uma tarefa difícil, o que torna desafiador adquirir essa agilidade criptográfica. A maioria das transições acontecem na escala da internet e mudar um único algoritmo de criptografia requer um trabalho com todos os seus fornecedores, o que dificulta o esforço para alcançar a criptografia. A maioria das transições de criptografia acontecem na escala da Internet e a transição de um algoritmo de criptografia para um novo exige o trabalho com todos os seus fornecedores.

As melhores práticas de criptografia incluem:

– Estabelecer e comunicar políticas claras;

– Fazer um inventário de todos os ativos de criptografia;

– Identificar as vulnerabilidades criptográficas (internas ou de terceiros);

– Ter a habilidade de testar novos algoritmos de criptografia;

– Capacidade de repor chaves e certificados rapidamente;

– Manter a propriedade da informação;

– Automação de gerenciamento;

– Automação no rastreamento de substituição.

O primeiro passo para estabelecer a crypto agilidade na sua empresa é criar e comunicar claramente as políticas de boas práticas em TLS (para mais informações consulte a CertSign, nosso representante DigiCert). Após estabelecer a política, o próximo passo é fazer o inventário de todos os ativos criptográficos, o que pode acontecer pelo uso de uma plataforma moderna de gerenciamento de certificados com uma ampla ferramenta de rastreamento. Uma vez terminado o inventário e já com toda a visão e controle dos ativos criptográficos, você terá a flexibilidade de testar novos algoritmos assim que eles fiquem disponíveis e/ou repor chaves vulneráveis sem a preocupação de deixar sua empresa insegura ou quebrar processos críticos.

Por fim é preciso começar a pensar na transformação de sua estrutura de TI para a computação quântica, que balizará os processos em um futuro não muito distante. A computação quântica vai permitir que computadores e dispositivos de IoT façam cálculos muito mais rápido do que hoje. Ela promete mudar radicalmente a maneira com que lidamos com tudo, desde a busca pela cura do câncer até reduzir o tráfego nas grandes cidades. Porém, para tornar essa previsões factíveis é necessário contornar os novos desafios para a Internet das Coisas que a computação quântica vai criar.

Os benefícios e riscos que a computação quântica apresenta vão afetar virtualmente todos os mercados, incluindo os serviços financeiros, gestão de saúde, energia e manufatura. A realização de sistemas de TI geridos pela computação quântica ainda pode estar distante de cinco a 10 anos, mas é algo a ser considerado agora, enquanto você trabalha para melhorar os padrões de crypto agilidade agora e amanhã.

Para garantir que sua empresa possa manter a crypto agilidade, tenha a certeza de trabalhar com fornecedores – incluindo a Autoridade de Certificação – que seguem os padrões do mercado e esta à frente das necessárias transições criptográficas. Ao mesmo tempo, garanta que sua certificadora possa oferecer uma plataforma ampla e atualizada que possam rastrear o ambiente e garantir atualizações rápidas quando necessário. Trabalhe com fornecedores de hardware e softwares que tenham um claro entendimento da crypto agilidade e possam prover tecnologias que se adaptam à evolução das ameaças de segurança e seus requisitos.

Deixe uma resposta