Como melhorar a segurança no uso de e-mail?
19 de abril de 2022Pesquisa indica que o tráfego de e-mails foram de 319.6 bilhões de e-mails por dia, e uma previsão de atingirmos 376.4 bilhões/dia em 2025
Por João Paulo Foini
Retrospectiva 2021
5.4 bilhões de pessoas economicamente ativas
A população mundial distribuída nos diversos países do nosso planeta era de 7.87 bilhões de pessoas.
Considerando a faixa etária da população economicamente ativa (15 a 64 anos) temos aproximadamente 5.13 bilhões de pessoas. Essas pessoas estão divididas em empregados, autônomos, estagiários, aprendizes e empregadores.
4.1 bilhões de usuários de e-mail
Segundo pesquisa realizada pelo The Radicati Group (Londres), Inc. (Sumário Executivo – E-mail Market 2021-2025), em 2021 havia aproximadamente 4.1 bilhões de usuários de e-mail, e uma expectativa de crescimento anual de 3% ao ano, com previsão de 4.6 bilhões de usuários em 2025.
319.6 bilhões de e-mails por dia
Essa pesquisa indica também que o tráfego de e-mails foram de 319.6 bilhões de e-mails por dia, e uma previsão de atingirmos 376.4 bilhões/dia em 2025.
Com estes números podemos extrair os seguintes indicadores com valores aproximados (2021):
– 222 milhões e-mails/minuto trafegam no planeta;
– 41 e-mails/dia ou 15 mil e-mails/ano em média emitidos por ou para cada habitante do planeta;
– 145 milhões de e-mails/minuto ou 208 bilhões de e-mails/ano somente para o tráfego da população economicamente ativa.
Interessantes estes números, não é? Neste cenário, podemos questionar:
– Quantos destes e-mails foram de uso pessoal?
– Quantos destes e-mails foram de uso corporativo (interno ou externo)?
– Quantos foram de processos B2C, B2B ou B2E?
– Quantos estavam atrelados a algum consumo de serviços eletrônicos (ex. e-commerce, streaming de vídeos, ensino a distância, assinatura de conteúdos etc.)?
– Quantos foram de ações de marketing?
– Quantos foram indevidos ou equivocados?
– Quantos foram de ações fraudulentas?
– Quantos foram instrumentos para crimes cibernéticos?
É importante ressaltar a relevância do e-mail, pois mesmo no contexto tecnológico atual onde utilizamos mensagens instantâneas, vídeo chamadas, reuniões online, digitalização de documentos e processos, canais de conteúdos (blogs, vídeos etc.), plataformas de atendimento etc., o e-mail ainda é um recurso muito utilizado e necessário à população mundial. Isso ocorre devido ao fato de o e-mail além de ser um meio assíncrono de comunicação, e possuir uma forte utilização no registro de informações trocadas, tendo culturalmente uma conotação mais “oficial”.
Posso confiar?
Com esse volume de utilização, você já parou para pensar se o autor daquele e-mail é realmente a pessoa que se diz ser? Se sim, será que o conteúdo do e-mail é o mesmo que o original, ou seja, não foi alterado no meio do caminho por terceiros mal-intencionados?
Considerando apenas os e-mails referentes ao mundo corporativo na relação das empresas ou organizações com seu público interno e externo (clientes, fornecedores e parceiros), há um alto risco na comunicação por e-mail, devido ao uso indesejado de spam, spoofing, ataques de phishing etc.
Estes riscos podem comprometer os processos atrelados a comunicação corporativa por e-mail (faturamentos, contratos etc.), danos à imagem corporativa, seus negócios, e a confiança dos clientes e fornecedores.
S/MIME (Secure / Multipurpose internet Mail Extentions)
Uma das maneiras das empresas se protegerem de ameaças é a utilização do protocolo S/MIME (Secure / Multipurpose internet Mail Extentions) para incrementar a segurança no uso de e-mails corporativos.
O S/MIME é um protocolo para a troca segura de e-mails e documentos anexados, originalmente desenvolvidos pela RSA Security. As extensões de e-mail da Internet Seguras/Multiuso (S/MIME) adicionam segurança ao e-mail da Internet com base no método SMTP (Simple Mail Transfer Protocol) e adicionam suporte para assinaturas digitais e criptografia ao e-mail SMTP para apoiar a autenticação do remetente e a privacidade da comunicação. Observe que, como as mensagens HTTP podem transportar dados MIME, elas também podem usar S/MIME.
O S/MIME mantém os seus e-mails protegidos durante a transferência. O S/MIME usa criptografia assimétrica para criptografar e assinar digitalmente o seu e-mail para evitar a interceptação de qualquer pessoa não autorizada.
O S/MIME inclui dois recursos de segurança:
– Criptografia de e-mails – Criptografia do conteúdo do e-mail enviado entre dois usuários (remetente/destinatário) habilitados para S/MIME para torná-lo ilegível a outras pessoas diferentes do destinatário desejado.
– Assinatura digital – Assinatura digital dos e-mails enviados entre dois usuários habilitados para S/MIME para eliminar qualquer risco de falsificação e adulteração de conteúdos.
A utilização do S/MIME na maioria das tecnologias de e-mail e plataformas de distribuição de e-mail pode ser configurada facilmente. Seguem alguns exemplos com referências de plataformas amplamente utilizadas no mercado:
– Criptografar mensagens utilizando S/MIME no Outlook na Web.
– Ativar o S/MIME hospedado para reforçar a segurança das mensagens.
O S/MIME usa a infraestrutura de chave pública (PKI) e criptografia assimétrica para fornecer autenticação e criptografia de mensagens de email.
Os mais utilizados são certificados digitais em um ambiente PKI de chaves públicas com raízes mundiais, confiáveis e reconhecidas pelos sistemas de e-mail, browsers e sistemas operacionais de desktops e dispositivos móveis.
Entretanto nas relações corporativas há a possibilidade de se utilizar certificados digitais privados, ou seja, emitidos um ambiente PKI com chaves privadas onde as raízes são as próprias empresas.
O modelo é bem interessante para agilizar processos eletrônicos, reduzir custos, aumentar flexibilidade e facilitar o crescimento escalonável de usuários (internos ou externos) com certificados digitais. Porém é necessário observar as legislações de cada país (origem/destino da mensagem) para documentar e implementar uma política de certificação digital correta, aderente aos aspectos legais e transparente.
Como pode ser utilizado?
– Nas comunicações por e-mails em processos B2B e B2C, para garantir a procedência dos remetentes e os conteúdos.
– Em plataformas de assinatura de conteúdos permitindo maior confiança em relação a origem do conteúdo.
– Em relações comerciais e judiciais, que são entregues via e-mail, através da proteção do conteúdo.
– Em políticas de proteção e segurança da informação.
– Adequação a legislação de proteção de dados.
– Para trabalhadores remotos e em home Office.
– Política de boas práticas na troca de mensagens com parceiros e clientes.
Como gerenciar os certificados digitais utilizados?
Dependendo do porte da empresa, de como irá utilizar os certificados digitais, do público-alvo, a quantidade de certificados digitais e das suas políticas de segurança, realizar este gerenciamento pode não ser uma tarefa fácil, seguem alguns pontos a serem analisados:
– Definição do público-alvo: interno e/ou externo.
– Definição quais grupos irão adotar o protocolo s/mime.
– Definição de raízes de certificação públicas, privadas ou híbridas.
– Definição de quais workflows de mensageria eletrônica utilizarão S/MIME.
– Relacionar quais outros tipos de certificados digitais (públicos ou privados) a empresa utiliza.
– Definição dos fluxos de validação e identificação para emissão dos certificados digitais.
– Definição do ciclo de vida do certificado digital (emissão, renovação e revogação)
– Definição do ciclo de uso do certificado digital – onde e como utilizar.
– Definição do(s) fornecedores de certificados digitais – raiz pública.
– Integrações necessárias com sistemas internos.
– Configurações e licenciamentos de plataformas de e-mails.
– Se for raiz privada, definição da tecnologia para emissão de certificados digitais internos e definição dos campos e validades dos certificados digitais próprios.
– Documentar a política de segurança, considerando as legislações locais.
Posso ter um modelo híbrido de utilização (raízes pública e privada) e adotar outros tipos de certificados digitais na minha empresa?
Sim este é o cenário mais adequado para as empresas, pois o que acontece é que a maioria das empresas já utiliza alguns tipos de certificados digitais em seus servidores de aplicação, banco de dados etc., e alguns casos também para usuários.
O que deve ser entendido é que, após as definições das políticas de segurança (acima descritas), muito provavelmente o responsável de tecnologia e da segurança da informação da empresa deverá decidir (muito em função do volume de certificados digitais que irá administrar) se utiliza várias plataformas de gerenciamento de ciclos de vida e uso do certificado digital, de vários fornecedores, ou uma plataforma única e universal para a gestão de todos os tipos de certificados digitais.
BlueX – Gerenciador de Identidades Digitais
Nos meus últimos 15 anos estive a frente de projetos no Brasil em certificação digital, com centenas de milhares de usuários e certificados digitais emitidos. Não é fácil administrar e gerenciar todas as necessidades, recursos e políticas necessárias. Entretanto, tendo a ferramenta certa podemos ter maior serenidade e eficiência nesta gestão.
Há alguns anos tenho utilizado em projetos o BlueX da AET Europe, que permite a flexibilidade ideal de gestão dos ciclos de uso e de vida, para vários tipos de certificados digitais, inclusive o para uso S/MIME.
Como tecnologia, o BlueX utiliza uma arquitetura cliente-servidor e suporta os principais sistemas de gerenciamento de bancos de dados relacionais e os principais protocolos de mercado.
Também é capaz de integrar-se com os principais softwares utilizados pelas autoridades certificadoras de raízes públicas do mercado mundial. Com o BlueX, foi possível configurá-lo para emissão de certificados digitais privados, do jeito exato para cada necessidade da empresa/projeto, inclusive em projetos que utilizam certificados digitais de identificação e atribuição juntos.
E, e em todos os casos, foi possível o armazenamento em equipamentos locais, ou em dispositivos criptográficos cartões PKI, HSM e nuvem.
Com o seu motor de desenvolvimento de workflows customizados, o BlueX fornece a possibilidade de criação de fluxos de trabalho personalizáveis para cada etapa do ciclo de vida de um certificado digital, inclusive o S/MIME.
Lembre-se que todo o esforço para dar segurança eletrônica aos usuários e as empresas é compensador, principalmente quando falamos do recurso de e-mail, que é uma das principais ferramentas de trabalho utilizadas no ambiente corporativo. Neste sentido, o uso do S/MIME pode auxiliar na prevenção desta inquietação dos tempos atuais dos ataques cibernéticos.
AET Europe é líder global na área de soluções de segurança digital.
Fundada em 1998, é especializa na criação de soluções seguras em identificação, autenticação, assinatura digital, consentimento e gerenciamento de credenciais
Fornecemos soluções de segurança para identificação de usuários, autenticação e assinaturas digitais. Outras informações https://aeteurope.com
Leia outros excelentes artigos da AET Europe aqui!
Certificados de atributo: Se temos tecnologia disponível, porque permanecer na idade média?
AET Europe e um dos seus produtos, o middleware SafeSign, são nomeados no ecossistema da ICP-Brasil