O ano de 2014 serviu para provar a ineficiência das defesas de perímetro contra ataques de hackers. Basta uma pequena brecha de segurança e todo o investimento vai por água a baixo.
Casos como a invasão à Sony Pictures servem para ilustrar o contexto em que operamos a partir deste momento. A pergunta agora é “Como faço para sobreviver depois que minhas defesas de perímetro são vencidas e quando me torno vítima de um ataque bem sucedido?”
Obviamente, não pretendemos explorar o assunto em todos os seus detalhes, mas analisar alguns aspectos em que a Certificação Digital pode ser uma grande aliada é uma boa opção.
Pra maioria das organizações, a Certificação Digital é vista como uma solução para aplicações de negócio, mas quais são as outras oportunidades de utilizá-la como defesa?
O exemplo da Sony Pictures pode nos ajudar a estabelecer um contexto. A empresa foi invadida, seus dados sigilosos foram roubados e publicados (incluindo filmes inéditos) e muitas informações foram destruídas.
Não se sabe quais dados foram alterados, portanto, quais informações são confiáveis. Então questionamos como uma empresa pode se preparar melhor para sobreviver a essa situação – usando a certificação digital.
- Sigilo – Caso as informações sensíveis sejam mantidas criptografadas, muitos dos arquivos de dados poderiam ter sido copiados, mas seu conteúdo permaneceria totalmente ilegível para os hackers e o publico em geral. É importante ressaltar que esse processo deveria ser automatizado em acordo com o papel de cada usuário na organização, e não depender de intervenção humana e operações manuais.
- Integridade – Quando os dados assinados são documentos ou registros transacionais em um banco de dados, podemos detectar qualquer tipo de modificação não autorizada realizada neles. Não há como reverte-los automaticamente para seus valores originais, mas podemos identificar facilmente as alterações indevidas e corrigir o problema a partir de fontes como backup.
- Disponibilidade – O uso do sigilo criptográfico e assinatura digital permitiria que a empresa mantivesse cópias de seus dados em provedores de serviços de Nuvem onde talvez não tivesse tanta confiança. Ainda assim, os dados permaneceriam ilegíveis e qualquer alteração seria detectada.
Ninguém quer admitir a possibilidade de ser hackeado, como não quer ver o carro batido ou o casa em chamas. Ainda assim, compramos apólice de seguro, pois entendemos a necessidade de proteção. Precisamos nos preparar para sobreviver mesmo quando as nossas defesas externas forem violadas.
Sérgio Leal
- Ativista de longa data no meio da criptografia e certificação digital.
- Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
- Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
- Bacharel em Ciências da Computação pea UERJ desde 1997.
- Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)Sérgio Leal é colunista e membro do conselho editorial do Instituto CryptoID.