Com esse crescimento exponencial da conectividade, a confiança digital agora deve ser incorporada às arquiteturas de TI que são mais complexas
A confiança digital é o que nos permite construir, participar e crescer no mundo conectado em que vivemos.
Ela permite que todos nós tenhamos a confiança de que as coisas que fazemos online — sejam interações, transações ou processos de negócios — são seguras.
Isso torna os processos necessários para gerenciar e manter toda essa rede – incluindo segurança cibernética – também cada vez mais complexos.
No caso da América Latina, a transformação digital continua avançando, já que, segundo a consultoria IDC, 50% das PMEs da região são digitais. Com esse crescimento exponencial da conectividade, a confiança digital agora deve ser incorporada às arquiteturas de TI que são mais complexas.
Mas existe uma complexidade desnecessária e prejudicial, e os executivos seniores já perceberam isso. A pesquisa Estado da Segurança Digital de 2022 da DigiCert revelou que para 100% das empresas analisadas a confiança digital é importante.
Os principais motivos incluem a crescente importância dos dados, uma superfície de ameaças em expansão, um aumento de agentes mal-intencionados e a pressão dos clientes.
Quase todas as empresas (99%) acreditam que é possível que seus clientes mudem para um concorrente se perderem a confiança na segurança digital da empresa.
“Dentro dos departamentos de TI, pode haver vários administradores de confiança digital, entre eles: administradores de PKI, gerentes de identidade e acesso e arquitetos de segurança de informações/produtos. Cada um desses departamentos de TI tem métricas que medem o sucesso — ou um caminho para o sucesso — de iniciativas de confiança digital. E algumas dessas métricas chegam à sala de reuniões, ressaltando a importância da confiança digital para os objetivos de negócios”, explica Diana Jovin, vice-presidente de marketing de produtos da DigiCert.
Essas métricas podem cair em quatro áreas principais:
– Interrupções
O que está sendo medido: as interrupções causadas pela expiração não intencional do certificado são altamente visíveis, principalmente se ocorrerem em sistemas de missão crítica. As interrupções podem ter várias causas.
Eles podem ocorrer devido a supervisão, principalmente se os certificados forem rastreados manualmente. Eles podem ser causados por erro humano, devido a certificados configurados incorretamente.
Ou podem ser causados por atividades não autorizadas, ou seja, certificados não controlados adquiridos fora do alcance do gerenciamento de TI.
As métricas podem incluir:
– o número de interrupções devido à expiração não intencional do certificado (para muitos, esse número de destino é zero),
– o impacto financeiro da interrupção e/ou
– tempo de resolução se tal interrupção ocorrer.
Quem está medindo: as interrupções afetam vários grupos, mas são significativas para as operações de TI, engenharia de confiabilidade do local e engenharia de aplicação.
Como abordar: os métodos para reduzir o número ou o potencial de interrupções podem incluir centralizar o gerenciamento de certificados e automatizar a renovação de certificados.
– Adoção, usabilidade e segurança
O que está sendo medido: a adoção também é uma métrica importante. Os usuários estão instalando certificados onde são necessários? Eles estão ligando para o suporte técnico para obter ajuda na configuração? Os problemas de certificado estão impedindo que os funcionários sejam produtivos na integração ou criando lacunas de segurança entre a saída do funcionário e a revogação do acesso ao sistema?
As métricas podem incluir:
– Taxa de adoção
– Carga de suporte técnico
– Tempo para provisionar/revogar
Quem está medindo: esses tipos de considerações são importantes para os gerentes de identidade e acesso responsáveis pelo acesso ao sistema e pelo fornecimento de serviços como VPN, wireless ou segurança de e-mail.
Elas também podem ser métricas importantes para operações de TI centralizadas que atendem às necessidades dos departamentos de TI em outras unidades de negócios ou subsidiárias.
Como abordar: os profissionais de TI veem a automação como uma estratégia fundamental para lidar com questões de adoção, usabilidade e segurança.
A automação pode tornar o provisionamento e o gerenciamento de credenciais invisíveis para o usuário final e integrados e desativados, melhorando as taxas de adoção, reduzindo a carga de suporte técnico e eliminando as lacunas de provisionamento.
– Agilidade e vulnerabilidade
O que está sendo medido: os profissionais de TI encarregados do gerenciamento de vulnerabilidades podem estar preocupados com a criptoagilidade — a capacidade de responder a ameaças ou de se preparar para mudanças na conformidade ou nos padrões criptográficos.
Esses profissionais exigem uma visão abrangente dos ativos criptográficos e suas vulnerabilidades associadas ou perfis criptográficos.
As métricas podem incluir:
– Um inventário de ativos criptográficos
– Perfis de algoritmo
– Chaves e perfis e status de certificado
Quem está medindo: operações de segurança, operações de TI e profissionais de segurança da informação que precisam responder rapidamente a ameaças podem se beneficiar de um inventário de ativos criptográficos centralizado que oferece visibilidade e controle sobre seu ambiente.
Como abordar: as ferramentas de descoberta que inspecionam e fazem o inventário dos ativos criptográficos no ambiente de uma empresa podem fornecer um repositório centralizado.
As ferramentas de avaliação de vulnerabilidade fornecem classificações de segurança e identificam algoritmos desatualizados para priorizar a correção.
As ferramentas de automação podem ajudar a acelerar a correção desejada ou simplificar a resposta às mudanças de conformidade.
– Risco e conformidade
O que está sendo medido: profissionais de TI preocupados com riscos podem estar preocupados com compliance, acesso privilegiado, superfícies de ataque, inteligência de ameaças e indicadores de confiança.
As métricas podem ser definidas como os principais indicadores de risco que rastreiam a postura de risco e as tolerâncias em uma ou mais dessas áreas.
Quem está medindo: departamentos de TI focados em engenharia de sistemas, aplicativos ou redes; operações de segurança; operações de TI.
Como abordar: as ferramentas que controlam a autenticação, acesso privilegiado, inventários de rede e monitoramento podem apoiar os objetivos dessas equipes. Estratégias para evitar compras de certificados não autorizados também podem desempenhar um papel.
O bloqueio de domínio de Autorização de Autoridade de Certificação (CAA) pode impedir a compra de certificados não autorizados, que podem desempenhar um papel em ataques man-in-the-middle.
“Alguns profissionais de TI observam que são mais bem-sucedidos quando as métricas de confiança digital são mantidas fora da sala do conselho – o que significa que não há interrupções causadas pela expiração não intencional do certificado, o provisionamento de credenciais é automatizado, os principais indicadores de risco estão dentro das tolerâncias declaradas e as vulnerabilidades criptográficas são abordadas em tempo hábil. No entanto, para atingir esse objetivo, é preciso de estratégias que reduzam interrupções, melhorem a adoção, agilizem operações, mantenham a conformidade e reduzam riscos. Os líderes executivos podem querer revisar as métricas que mostram o progresso em direção a essas metas”, conclui Diana Jovin.
Sobre a DigiCert, Inc.
DigiCert é a provedora mundial de escaláveis TLS/SSL, soluções PKI para identidade e encriptografia. As empresas mais inovadoras, incluindo 89% das organizações da Fortune 500 e 97 – de um total de 100 maiores bancos globais – escolheram a DigiCert por sua experiência em identidade e criptografia para servidores web e Internet das Coisas.
DigiCert suporta TLS/SSL e outros certificados digitais e desenvolvimento para PKI em qualquer escala por meio da plataforma de gerenciamento de ciclo de vida, a CertCentral®.
A organização é reconhecida pela sua plataforma de gerenciamento, rapidez e um suporte reconhecido ao usuário, além de líder de mercado em soluções de segurança. Para as últimas notícias e atualizações, visite digicert.com ou siga @digicert.
O que é confiança digital? Por Trustcert
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!