Práticas Recomendadas Tecnologia de Criptografia
FACILITANDO A CRIPTOGRAFIA Tudo Gira em Torno dos Dados Somente nos EUA, estima-se que 12.000 laptops sejam perdidos ou roubados a cada semana. De acordo com o Ponemon Institute, um laptop é roubado a cada 53 segundos. Os números referentes a smartphones não são melhores. Em 2011, 439 organizações dos EUA pesquisadas pelo Ponemon relataram que, nos 12 meses anteriores, 142.708 smartphones foram perdidos ou roubados. A proteção proativa de dados é uma necessidade global. A maioria dos principais mercados mundiais requer agora que as organizações de todos os tamanhos implementem iniciativas de segurança e privacidade de dados. PCI DSS, HIPAA, SOX ou a Lei de Proteção de Dados do Reino Unido indicam uma tendência global de as autoridades exigirem que as empresas protejam dados sigilosos de forma proativa. No Reino Unido, por exemplo, o comissário de informações (ICO, Information Commissioner) declarou que as perdas de dados que ocorrem quando não foi usada criptografia para proteger os dados provavelmente resultarão em medidas regulatórias. Se a sua primeira reação às estatísticas acima foi considerar os custos de substituição do hardware, você está se voltando para o problema errado. Os custos de hardware podem ser um problema para sua organização, mas, no caso de um incidente de perda de dados, eles provavelmente serão sua menor preocupação. Quando um laptop ou dispositivo é perdido ou roubado, a limpeza da confusão resultante do vazamento de dados é responsável por mais de 80% dos custos associados, independentemente do tamanho da empresa. Avalie a crescente variedade de multas do governo por violações de dados, os danos à reputação e o impacto sobre a fidelidade de clientes, e é fácil ver como os custos de uma violação de dados vão muito além da substituição do hardware. 85% dos clientes de todo o mundo disseram que mudariam seus negócios para outra empresa, se a atual perdesse suas informações pessoais ou fosse invadida por hackers; e 47% tomariam medidas legais. E você não precisa perder um dispositivo fisicamente para perder dados sigilosos. Informações empresariais sigilosas, propriedade intelectual e segredos comerciais tornaram-se os principais alvos dos ataques de malware. O Ponemon Institute sugere que o valor médio decorrente da perda de um laptop é US$ 49.246, e apenas 2% correspondem aos custos de substituição do hardware. Na média, a criptografia pode reduzir o custo de um laptop em mais de US$ 20.000. Quer você enfrente o roubo de um laptop, a perda de um dispositivo de armazenamento ou um malware de roubo de dados, a criptografia garante que seus dados sigilosos sejam inúteis para os criminosos ou observadores não autorizados. Então, qual é a melhor maneira de lidar com isso?
ABORDAGENS RECOMENDADAS Houve um tempo em que a criptografia era vista como exclusividade das agências do governo ou grandes corporações com orçamentos ainda maiores. No entanto, a tecnologia avançou. Hoje, organizações de todos os portes podem bancar a implementação de soluções de criptografia fáceis de gerenciar e com uso eficiente de recursos. Proteção antimalware (antivírus, antispyware) Cf. 2011 67% -5% Política para lidar com a segurança de TI remotamente... 37% Cf. 2011 2% Gerenciamento de atualizações de software/correções regulares 62% 0% Política de segurança separada para notebooks/laptops 36% Implementação de níveis de acesso a diferentes sistemas de TI por privilégios 45% 0% Criptografia de todos os dados armazenados (ou seja, criptografia do disco completo) 36% Estruturas de rede (por ex., separação de redes críticas das outras) 45% 3% Criptografia de comunicações comerciais 34% 3% Auditoria/verificação da segurança de TI de terceiros 33% 2% Criptografia de dados altamente sigilosos 44% 7% Política de segurança separada para smartphones/tablets 32% Segurança física de sistemas críticos de TI (ou seja, prevenção de roubo e incêndio) 43% 1% Criptografia de dados em dispositivos removíveis 32% Política e preparação de recuperação de desastres 42% 4% Gerenciamento de clientes (Gerenciamento de Ciclo de Vida de PCs) 32% Política de segurança separada para dispositivos removíveis (por exemplo, memória USB) 38% Gerenciamento de dispositivos móveis (por ex., Airwatch, Mobileron,etc.. ) 23% A criptografia é cada vez mais usada como ferramenta contra a perda de dados. Veja aqui algumas abordagens recomendadas que você pode observar para garantir que sua empresa adote uma estratégia de criptografia eficiente.
1. POLÍTICA PRIMEIRO, TECNOLOGIA DEPOIS Da mesma forma que tantas outras estratégias de segurança, a prática recomendada de criptografia começa com a definição de políticas sólidas: Você vai criptografar unidades de disco inteiras? Dispositivos de armazenamento removíveis? Ou apenas determinados tipos de dados, arquivos e pastas? Talvez você queira que alguns documentos sejam ilegíveis para alguns usuários, mas não para outros. E que tal um pouco dos dois? Na maioria das empresas, é prioridade tornar as informações acessíveis para as pessoas certas, na hora certa. Boas políticas, aliadas às tecnologias corretas, o levarão aonde você precisa, sem comprometer a segurança. Alguns pontos indicados para iniciar são: Incluir todos os envolvidos: gerenciamento de TI, operacional, financeiro. Eles ajudarão a identificar os tipos de informações que precisam de proteção extra. Controlar o acesso se todos tiverem uma chave, não faz sentido trancar a porta. Trabalhe com os envolvidos para identificar quem precisa ter acesso a quais informações. E quando. Como precaução adicional, audite os controles de acesso periodicamente para manter sua coerência. Conhecer suas necessidades de conformidade PCI DSS, HIPAA, GLBA, DPA... Talvez você não esteja familiarizado com o número crescente de regulamentações de proteção de dados em vigor, mas muitos de seus colegas estão. Identifique as normas, leis, diretrizes e outros fatores externos que regem a forma como os dados são protegidos ou trocados na organização. Defina políticas para lidar com eles; por exemplo, criptografia automática de dados de cartão de crédito de clientes ou números de CPF dos funcionários. Sim ou não defina sua política por escrito. A diretoria deve endossá-la e divulgá-la para seus usuários finais, inclusive terceiros que lidam com seus dados sigilosos. Se eles não gostarem, não há problema. Mas não poderão ter acesso a seus dados. Fazer backup as práticas recomendadas sempre envolvem o backup dos dados antes de instalar qualquer software novo. Com a criptografia não é diferente. Faça backup de todos os dados de usuários finais antes de prosseguir com seu programa de criptografia.
2. CRIPTOGRAFIA DO DISCO COMPLETO OU CRIPTOGRAFIA EM NÍVEL DE ARQUIVOS? A resposta mais simples é: as duas. Normalmente, as soluções de criptografia têm duas opções principais: Criptografia do Disco Completo (FDE) e Criptografia em Nível de Arquivos (FLE). Cada uma tem suas próprias vantagens: BENEFÍCIOS DA CRIPTOGRAFIA DO DISCO COMPLETO (FDE): A FDE protege dados suspensos no nível mais próximo do hardware possível. Ou seja, cada setor individual da unidade é criptografado. Isso significa que todos os dados em seu disco rígido são criptografados, incluindo o conteúdo de arquivos, metadados, informações do sistema de arquivos e a estrutura de diretórios. Somente usuários autenticados podem acessar os dados da unidade criptografada. Além dos discos rígidos, a tecnologia FDE pode ser aplicada a mídias removíveis, como unidades ou discos rígidos em um compartimento USB. Ativar a autenticação pré-inicialização ela exige que os usuários passem por um processo de autenticação para que o sistema operacional seja iniciado, fornecendo uma camada adicional de segurança, caso um laptop seja perdido ou roubado. Nada poderá ser lido diretamente da superfície da unidade por ladrões, e o sistema operacional não poderá ser iniciado. As práticas recomendadas de FDE também incluem uma política definir e esquecer, eliminando a opção do usuário final da equação. O acesso é feito por login único (SSO) e os usuários finais não ficam sabendo de nada. A maior vantagem da FDE é eliminar os erros do usuário como um risco. Ela simplesmente criptografa tudo. Por outro lado, ela não pode proteger dados em trânsito, inclusive informações compartilhadas entre dispositivos. Se você está seguindo as práticas recomendadas e escolheu uma solução que também oferece Criptografia em Nível de Arquivos, isso não será um problema. BENEFÍCIOS DA CRIPTOGRAFIA EM NÍVEL DE ARQUIVOS (FLE): Operando no nível do sistema de arquivos, além de permitir a proteção de dados suspensos, a FLE também protege dados em uso. Usando a FLE, é possível criptografar arquivos e pastas específicos em qualquer dispositivo. As melhores soluções permitem que arquivos criptografados permaneçam assim, mesmo quando copiados pela rede. Isso torna as informações selecionadas ilegíveis para observadores não autorizados, independentemente de onde estejam armazenadas ou sejam copiadas. A FLE permite aos administradores criptografar arquivos automaticamente com base em atributos como local (por ex., todos os arquivos na pasta Meus Documentos), tipo de arquivo (por ex., todos os arquivos de texto, todas as planilhas do Excel etc.) ou nome do aplicativo que grava o arquivo: por exemplo, as melhores soluções darão suporte à criptografia de dados gravados pelo Microsoft Word, independentemente da pasta ou do disco. A FLE oferece mais flexibilidade para empresas que desejam aplicar políticas granulares de acesso a informações. Somente os dados definidos como sigilosos (de acordo com políticas definidas pelo administrador) são criptografados, o que dá suporte a cenários mistos de uso de dados.
A FLE também facilita a manutenção segura dos sistemas. Os dados de arquivos criptografados podem continuar protegidos enquanto arquivos do sistema ou de software são abertos para facilitar atualizações ou outras operações. Por exemplo, se você é diretor financeiro e deseja manter informações corporativas confidenciais fora da vista de um administrador de sistemas, a FLE dá suporte. A FLE dá suporte ao controle eficiente de privilégios de aplicativos, permitindo que os administradores definam regras claras de criptografia para cenários de uso e aplicativos específicos. Por meio do controle de privilégios de aplicativos, os administradores decidem quando desejam fornecer dados em sua forma criptografada ou até mesmo bloquear completamente o acesso de aplicativos específicos a esses dados. Por exemplo: Simplifique os backups de segurança, garantindo que os dados criptografados permaneçam assim durante a transferência, o armazenamento e a restauração, independentemente das configurações de políticas no endpoint no qual os dados serão restaurados. Impeça a troca de arquivos criptografados por mensagens instantâneas ou pelo Skype, sem restringir a troca de mensagens legítimas. Com a adoção de uma abordagem combinada de criptografia FDE/FLE, as empresas podem aproveitar o melhor dos dois mundos. Você pode, por exemplo, escolher a criptografia de arquivos apenas para os desktops, impondo uma criptografia do disco completo em todos os laptops. 3. IMPOSIÇÃO DA CRIPTOGRAFIA DE MÍDIA REMOVÍVEL As unidades flash USB agora podem manter 100 GB de dados ou mais, e unidades portáteis menores que sua mão podem manter terabytes de dados. São muitas informações possivelmente críticas deixadas nos bolsos dos casacos em lavanderias, esquecidas na bandeja da segurança do aeroporto ou simplesmente caídas de seu bolso. Você não pode controlar o descuido do usuário, nem acidentes, mas pode controlar as consequências. Estratégias de criptografia eficientes incluem a criptografia de dispositivos como padrão. Sempre que dados sigilosos forem transferidos de um endpoint para um dispositivo removível, eles deverão ser criptografados. Você pode fazer isso aplicando políticas FDE ou FLE para todos os dispositivos, garantindo assim que, mesmo que eles sejam perdidos ou roubados, seus dados sigilosos fiquem seguros. Ao trabalhar com informações sigilosas, dentro e fora do perímetro, o chamado modo portátil deve ser adotado. Por exemplo, você está fazendo uma apresentação em uma conferência e precisa usar uma unidade flash para transferir seus dados para um computador público que não tem um software de criptografia instalado. Você deve garantir que seus dados continuem seguros, mesmo enquanto estão viajando de seu laptop para o sistema de apresentação. Para isso, as melhores soluções oferecem o modo portátil. Ele possibilita o uso transparente e a transferência de dados de mídias removíveis criptografadas, mesmo em computadores nos quais não há um software de criptografia instalado.
4. ESCOLHA UMA CRIPTOGRAFIA SEGURA COMPROVADA Sua estratégia de criptografia é tão boa quanto a tecnologia subjacente a ela. Algoritmos de criptografia que são violados facilmente não valem a pena. O AES (Advanced Encryption Standard) com comprimento de chave de 256 bits é considerado o padrão ouro das técnicas de criptografia. Ele é usado pelo governo dos EUA, sendo um padrão mundial do setor. Não subestime a importância das chaves. A qualidade do seu algoritmo de criptografia é igual à da chave necessária para desbloqueá-lo. Chaves que são fáceis de invadir tornam todo seu programa de criptografia inútil. De maneira semelhante, o gerenciamento eficiente de chaves é um componente fundamental da criptografia eficiente. Não faz sentido ter a melhor fechadura do mundo na porta, se você coloca a chave embaixo do capacho. 5. NÃO ESQUEÇA A PROTEÇÃO ANTIMALWARE Os laptops que não são perdidos ou roubados ainda podem perder dados. Cada vez mais, os criminosos virtuais visam informações sigilosas em dispositivos corporativos, criando códigos maliciosos que podem roubar informações de laptops sem o conhecimento do usuário. Nenhuma estratégia recomendada de criptografia é completa sem uma proteção integrada contra malware capaz de detectar códigos maliciosos criados para desviar informações valiosas de seu laptop. As práticas recomendadas exigem atualizações do antimalware e recursos de verificação que possam ser executados automaticamente, sem a interferência do usuário final. 6. ESQUECEU SUA SENHA? Os usuários esquecem suas senhas quase tanto quanto perdem suas chaves USB ou seus smartphones. Às vezes, até mesmo o melhor hardware ou sistema operacional pode falhar, deixando os usuários sem acesso a informações essenciais. Mantenha as chaves de criptografia em um local/depósito de armazenamento centralizado. Isso facilita muito a descriptografia de dados em situações de emergência. Uma boa solução de criptografia deve fornecer aos administradores as ferramentas para recuperação direta de dados nos seguintes casos: Quando o usuário final solicita (por exemplo, quando esquece a senha). Quando o administrador precisa dos dados para manutenção ou quando ocorre um problema técnico, como um sistema operacional que não é carregado ou um disco rígido com danos físicos que devem ser reparados. Quando um usuário esquece sua senha, uma autenticação alternativa pode ser obtida solicitando a resposta correta a uma série de perguntas.
7. CONTINUE SIMPLES, CONTINUE CENTRALIZADO Tradicionalmente, uma reclamação comum das empresas que buscam implantar a criptografia é que sua implementação e seu gerenciamento são muito complicados. Muitas soluções mais antigas são fornecidas separadas do antimalware, por exemplo, acrescentando uma camada extra de complexidade. O gerenciamento de soluções diversas antimalware, controle de endpoints, criptografia mesmo que sejam de um único fornecedor (sem falar dos ambientes de vários fornecedores!), além de ser caro, demanda tempo em todas as fases do ciclo de adoção da solução: compra, treinamento da equipe, provisionamento, gerenciamento de políticas, manutenção e upgrade precisam ser tratados como projetos separados para cada componente. Uma abordagem integrada, além de economizar tempo e dinheiro, torna o processo de adoção de software o mais fácil e tranquilo possível. Soluções fáceis de gerenciar são mais eficientes. Escolha uma que permita o gerenciamento com uma única política, em um único console, desde o início. Isso reduz o investimento e elimina problemas de compatibilidade entre os numerosos componentes gerenciados separadamente. É recomendável aplicar configurações de criptografia de endpoints na mesma política de proteção contra malware, controle de dispositivos e todas as outras configurações de segurança de endpoints. Isso possibilita a abordagem recomendada de políticas coerentes integradas; por exemplo, a equipe de TI pode, além de permitir a conexão de mídias removíveis aprovadas a um laptop, também impor políticas de criptografia para o dispositivo. Uma plataforma tecnológica fortemente integrada conta com o benefício adicional de melhorar o desempenho geral do sistema.
KASPERSKY LAB - TRANSFORMANDO AS PRÁTICAS RECOMENDADAS EM REALIDADE O Kaspersky Endpoint Security for Business pode ajudar a transformar as práticas recomendadas de criptografia em realidade para organizações de todos os tamanhos. Combinando a tecnologia de criptografia padrão ouro com as tecnologias líderes de antimalware e controle de endpoints da Kaspersky Lab, nossa plataforma integrada ajuda a proteger dados sigilosos contra os riscos associados a perda ou roubo de dispositivos, mantendo as informações protegidas contra malwares que roubam dados. Controles granulares e funcionalidades avançadas são facilmente implementados de um único console de gerenciamento centralizado. Isso oferece aos administradores uma verdadeira exibição única de todo o cenário de segurança, com máquinas virtuais, dispositivos físicos ou móveis/removíveis. Diferentemente das ofertas tradicionais de proteção de dados, o Kaspersky Endpoint Security for Business possibilita uma abordagem abrangente de gerenciamento com uma política única: as políticas de criptografia são definidas nas mesmas políticas gerais de proteção antimalware, controle de dispositivos, controle de aplicativos e todas as outras configurações de segurança de endpoints. Essa abordagem total é possível devido à base de código unificada da Kaspersky Lab. Nossos desenvolvedores criam software e tecnologias que interagem de forma completamente integrada, fornecendo aos usuários uma plataforma de segurança e não um pacote desarticulado. A forte integração dos componentes básicos de segurança, como antimalware, criptografia, controle de aplicativos e de dispositivos, simplifica o gerenciamento e o monitoramento, oferecendo estabilidade, políticas integradas, relatórios e ferramentas intuitivas. Um único fornecedor, um único custo, uma única instalação; segurança completa. 1 Pesquisa Newspoll, novembro de 2011. Kaspersky Lab ZAO, Brasil http://brazil.kaspersky.com Tudo sobre segurança de Internet: www.securelist.com Encontre um parceiro perto de você: latamsales@kaspersky.com 2013 Kaspersky Lab ZAO. Todos os direitos reservados. As marcas registradas e marcas de serviço são propriedade de seus respectivos proprietários. Mac e Mac OS são marcas registradas da Apple Inc. Cisco é marca registrada ou marca comercial da Cisco Systems, Inc. e/ou de suas afiliadas nos EUA e em alguns outros países. IBM, Lotus, Notes e Domino são marcas comerciais da International Business Machines Corporation, registradas em diversas jurisdições em todo o mundo. Linux é marca registrada de Linus Torvalds nos EUA e em outros países. Microsoft, Windows, Windows Server e Forefront são marcas registradas da Microsoft Corporation nos Estados Unidos e em outros países. Android é marca comercial do Google, Inc. A marca comercial BlackBerry é de propriedade da Research In Motion Limited; ela está registrada nos Estados Unidos e pode ter registro pendente ou estar registrada em outros países.