Últimas notícias

Fique informado

Como melhorar a segurança no uso de e-mail?

19 de abril de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

How can we improve email security?

If we consider the emails that corporate organizations send, there is a high risk of spam, phishing attacks and others

28 de abril de 2022

Pesquisa indica que o tráfego de e-mails foram de 319.6 bilhões de e-mails por dia, e uma previsão de atingirmos 376.4 bilhões/dia em 2025

Por João Paulo Foini

João Paulo Foini – Business Consulting – Foini Consultores – Brasil

Retrospectiva 2021

5.4 bilhões de pessoas economicamente ativas

A população mundial distribuída nos diversos países do nosso planeta era de 7.87 bilhões de pessoas.

Considerando a faixa etária da população economicamente ativa (15 a 64 anos) temos aproximadamente 5.13 bilhões de pessoas. Essas pessoas estão divididas em empregados, autônomos, estagiários, aprendizes e empregadores.

4.1 bilhões de usuários de e-mail

Segundo pesquisa realizada pelo The Radicati Group (Londres), Inc. (Sumário Executivo – E-mail Market 2021-2025), em 2021 havia aproximadamente 4.1 bilhões de usuários de e-mail, e uma expectativa de crescimento anual de 3% ao ano, com previsão de 4.6 bilhões de usuários em 2025.

319.6 bilhões de e-mails por dia

Essa pesquisa indica também que o tráfego de e-mails foram de 319.6 bilhões de e-mails por dia, e uma previsão de atingirmos 376.4 bilhões/dia em 2025.

Com estes números podemos extrair os seguintes indicadores com valores aproximados (2021):

– 222 milhões e-mails/minuto trafegam no planeta;

– 41 e-mails/dia ou 15 mil e-mails/ano em média emitidos por ou para cada habitante do planeta;

– 145 milhões de e-mails/minuto ou 208 bilhões de e-mails/ano somente para o tráfego da população economicamente ativa.

Interessantes estes números, não é? Neste cenário, podemos questionar:

– Quantos destes e-mails foram de uso pessoal?

– Quantos destes e-mails foram de uso corporativo (interno ou externo)?

– Quantos foram de processos B2C, B2B ou B2E?

– Quantos estavam atrelados a algum consumo de serviços eletrônicos (ex. e-commerce, streaming de vídeos, ensino a distância, assinatura de conteúdos etc.)?

– Quantos foram de ações de marketing?

– Quantos foram indevidos ou equivocados?

– Quantos foram de ações fraudulentas?

– Quantos foram instrumentos para crimes cibernéticos?

É importante ressaltar a relevância do e-mail, pois mesmo no contexto tecnológico atual onde utilizamos mensagens instantâneas, vídeo chamadas, reuniões online, digitalização de documentos e processos, canais de conteúdos (blogs, vídeos etc.), plataformas de atendimento etc., o e-mail ainda é um recurso muito utilizado e necessário à população mundial. Isso ocorre devido ao fato de o e-mail além de ser um meio assíncrono de comunicação, e possuir uma forte utilização no registro de informações trocadas, tendo culturalmente uma conotação mais “oficial”.

Posso confiar?

Com esse volume de utilização, você já parou para pensar se o autor daquele e-mail é realmente  a pessoa que se diz ser? Se sim, será que o conteúdo do e-mail é o mesmo que o original, ou seja, não foi alterado no meio do caminho por terceiros mal-intencionados?

Considerando apenas os e-mails referentes ao mundo corporativo na relação das empresas ou organizações com seu público interno e externo (clientes, fornecedores e parceiros), há um alto risco na comunicação por e-mail, devido ao uso indesejado de spam, spoofing, ataques de phishing etc.

Estes riscos podem comprometer os processos atrelados a comunicação corporativa por e-mail (faturamentos, contratos etc.), danos à imagem corporativa, seus negócios, e a confiança dos clientes e fornecedores.

S/MIME (Secure / Multipurpose internet Mail Extentions)

Uma das maneiras das empresas se protegerem de ameaças é a utilização do protocolo S/MIME (Secure / Multipurpose internet Mail Extentions) para incrementar a segurança no uso de e-mails corporativos.

O S/MIME é um protocolo para a troca segura de e-mails e documentos anexados, originalmente desenvolvidos pela RSA Security. As extensões de e-mail da Internet Seguras/Multiuso (S/MIME) adicionam segurança ao e-mail da Internet com base no método SMTP (Simple Mail Transfer Protocol) e adicionam suporte para assinaturas digitais e criptografia ao e-mail SMTP para apoiar a autenticação do remetente e a privacidade da comunicação. Observe que, como as mensagens HTTP podem transportar dados MIME, elas também podem usar S/MIME.

O S/MIME mantém os seus e-mails protegidos durante a transferência. O S/MIME usa criptografia assimétrica para criptografar e assinar digitalmente o seu e-mail para evitar a interceptação de qualquer pessoa não autorizada.

O S/MIME inclui dois recursos de segurança:

– Criptografia de e-mails – Criptografia do conteúdo do e-mail enviado entre dois usuários (remetente/destinatário) habilitados para S/MIME para torná-lo ilegível a outras pessoas diferentes do destinatário desejado.

– Assinatura digital – Assinatura digital dos e-mails enviados entre dois usuários habilitados para S/MIME para eliminar qualquer risco de falsificação e adulteração de conteúdos.

A utilização do S/MIME na maioria das tecnologias de e-mail e plataformas de distribuição de e-mail pode ser configurada facilmente. Seguem alguns exemplos com referências de plataformas amplamente utilizadas no mercado:

Criptografar mensagens utilizando S/MIME no Outlook na Web.

– Ativar o S/MIME hospedado para reforçar a segurança das mensagens.

– S/MIME – Zoho Mail.

O S/MIME usa a infraestrutura de chave pública (PKI) e criptografia assimétrica para fornecer autenticação e criptografia de mensagens de email.

Os mais utilizados são certificados digitais em um ambiente PKI de chaves públicas com raízes mundiais, confiáveis e reconhecidas pelos sistemas de e-mail, browsers e sistemas operacionais de desktops e dispositivos móveis.

Entretanto nas relações corporativas há a possibilidade de se utilizar certificados digitais privados, ou seja, emitidos um ambiente PKI com chaves privadas onde as raízes são as próprias empresas.

O modelo é bem interessante para agilizar processos eletrônicos, reduzir custos, aumentar flexibilidade e facilitar o crescimento escalonável de usuários (internos ou externos) com certificados digitais. Porém é necessário observar as legislações de cada país (origem/destino da mensagem) para documentar e implementar uma política de certificação digital correta, aderente aos aspectos legais e transparente.

Como pode ser utilizado?

– Nas comunicações por e-mails em processos B2B e B2C, para garantir a procedência  dos remetentes e os conteúdos.

– Em plataformas de assinatura de conteúdos permitindo maior confiança em relação a origem do conteúdo.

– Em relações comerciais e judiciais, que são entregues via e-mail, através da proteção do conteúdo.

– Em políticas de proteção e segurança da informação.

– Adequação a legislação de proteção de dados.

– Para trabalhadores remotos e em home Office.

– Política de boas práticas na troca de mensagens com parceiros e clientes.

Como gerenciar os certificados digitais utilizados?

Dependendo do porte da empresa, de como irá utilizar os certificados digitais, do público-alvo, a quantidade de certificados digitais e das suas políticas de segurança, realizar este gerenciamento pode não ser uma tarefa fácil, seguem alguns pontos a serem analisados:

– Definição do público-alvo: interno e/ou externo.

– Definição quais grupos irão adotar o protocolo s/mime.

– Definição de raízes de certificação públicas, privadas ou híbridas.

– Definição de quais workflows de mensageria eletrônica utilizarão S/MIME.

– Relacionar quais outros tipos de certificados digitais (públicos ou privados) a empresa utiliza.

– Definição dos fluxos de validação e identificação para emissão dos certificados digitais.

– Definição do ciclo de vida do certificado digital (emissão, renovação e revogação)

– Definição do ciclo de uso do certificado digital – onde e como utilizar.

– Definição do(s) fornecedores de certificados digitais – raiz pública.

– Integrações necessárias com sistemas internos.

– Configurações e licenciamentos de plataformas de e-mails.

– Se for raiz privada, definição da tecnologia para emissão de certificados digitais internos e definição dos campos e validades dos certificados digitais próprios.

– Documentar a política de segurança, considerando as legislações locais.

Posso ter um modelo híbrido de utilização (raízes pública e privada) e adotar outros tipos de certificados digitais na minha empresa?

Sim este é o cenário mais adequado para as empresas, pois o que acontece é que a maioria das empresas já utiliza alguns tipos de certificados digitais em seus servidores de aplicação, banco de dados etc.,  e alguns casos também para usuários.   

O que deve ser entendido é que, após as definições das políticas de segurança (acima descritas), muito provavelmente o responsável de tecnologia e da segurança da informação da empresa deverá decidir (muito em função do volume de certificados digitais que irá administrar) se utiliza várias plataformas de gerenciamento de ciclos de vida e uso do certificado digital, de vários fornecedores, ou uma plataforma única e universal para a gestão de todos os tipos de certificados digitais.

BlueX – Gerenciador de Identidades Digitais

Nos meus últimos 15 anos estive a frente de projetos no Brasil em certificação digital, com centenas de milhares de usuários e certificados digitais emitidos. Não é fácil administrar e gerenciar todas as necessidades, recursos e políticas necessárias. Entretanto, tendo a ferramenta certa podemos ter maior serenidade e eficiência nesta gestão.

Há alguns anos tenho utilizado em projetos o BlueX da AET Europe, que permite a flexibilidade ideal de gestão dos ciclos de uso e de vida, para vários tipos de certificados digitais, inclusive o para uso S/MIME.

Como tecnologia, o BlueX utiliza uma arquitetura cliente-servidor e suporta os principais sistemas de gerenciamento de bancos de dados relacionais e os principais protocolos de mercado.

Também é capaz de integrar-se com os principais softwares utilizados pelas autoridades certificadoras de raízes públicas do mercado mundial. Com o BlueX, foi possível configurá-lo para emissão de certificados digitais privados, do jeito exato para cada necessidade da empresa/projeto, inclusive em projetos que utilizam certificados digitais de identificação e atribuição juntos.

E, e em todos os casos, foi possível o armazenamento em equipamentos locais, ou em dispositivos criptográficos cartões PKI, HSM e nuvem.

Com o seu motor de desenvolvimento de workflows customizados, o BlueX fornece a possibilidade de criação de fluxos de trabalho personalizáveis para cada etapa do ciclo de vida de um certificado digital, inclusive o S/MIME.

Lembre-se que todo o esforço para dar segurança eletrônica aos usuários e as empresas é compensador, principalmente quando falamos do recurso de e-mail, que é uma das principais ferramentas de trabalho utilizadas no ambiente corporativo. Neste sentido, o uso do S/MIME pode auxiliar na prevenção desta inquietação dos tempos atuais dos ataques cibernéticos.

AET EUROPE SLOGAN

AET Europe é líder global na área de soluções de segurança digital.

Fundada em 1998, é especializa na criação de soluções seguras em identificação, autenticação, assinatura digital, consentimento e gerenciamento de credenciais

Fornecemos soluções de segurança para identificação de usuários, autenticação e assinaturas digitais. Outras informações https://aeteurope.com

Leia outros excelentes artigos da AET Europe aqui!

Certificados de atributo: Se temos tecnologia disponível, porque permanecer na idade média?

Philip R. Zimmermann apresenta o 4º episódio AET Security Topics: Passwords and what this means for you!

AET Europe e um dos seus produtos, o middleware SafeSign, são nomeados no ecossistema da ICP-Brasil

AET Europe anuncia o lançamento da próxima geração do SafeSign Identity Client versão 3.7, apresentando o suporte QSCD