O que é criptografia de dados?
A criptografia de dados embaralha os dados em "texto criptografado" para torná-los ilegíveis para qualquer pessoa sem a chave de descriptografia ou a senha corretas. Soluções de criptografia robustas combinadas com gerenciamento de chaves eficaz protegem dados confidenciais contra acesso, modificação, divulgação ou roubo não autorizados e, portanto, são um componente crítico de qualquer programa de segurança. A criptografia de dados pode ser usada para dados armazenados (“em repouso”) e para dados que estão sendo transmitidos ou transportados (“em movimento”).
Há dois tipos principais de criptografia de dados:
- Criptografia simétrica: com algoritmos de chave simétrica, a mesma chave é usada para criptografar e descriptografar os dados. Isso permite criptografia rápida e eficiente e geração e gerenciamento de chaves mais simples, mas é essencial que a chave única esteja disponível somente para usuários autorizados, pois essa chave única permite que alguém acesse os dados, bem como modifique e criptografe novamente os dados sem detecção.
- Criptografia assimétrica: os algoritmos de chave assimétrica usam duas chaves matematicamente relacionadas, uma chave pública e uma chave privada. A chave pública é usada para criptografar os dados, enquanto uma chave privada correspondente, mas separada, é necessária para descriptografar os dados. Um benefício da criptografia assimétrica é que uma chave pública mais conhecida pode ser usada para criptografar dados, mas somente aqueles com a chave privada podem descriptografar e acessar os dados.
O que são soluções de criptografia de dados?
Uma solução de criptografia de dados é um sistema de software que emprega algoritmos de criptografia de dados para proteger dados confidenciais, combinados com ferramentas de gerenciamento para distribuir e monitorar a criptografia de dados em uma organização. As soluções de criptografia também podem fornecer ferramentas de gerenciamento de chaves para garantir que as chaves, senhas e outras informações necessárias para criptografar ou acessar dados estejam disponíveis somente para usuários autorizados e sejam alteradas ou revogadas com base em políticas definidas.
A maioria das organizações protege suas informações com produtos de segurança tradicionais, como firewalls, prevenção de intrusão e aplicativos de controle de acesso baseado em função. Tudo isso ajuda a evitar violações de dados. No entanto, quando os atacantes violam uma rede com êxito, o que é inevitável, o software de criptografia de dados é a última defesa crítica contra roubo e exposição de dados confidenciais.
A maioria das regulamentações governamentais e do setor, como as que protegem a privacidade e os dados financeiros do consumidor, exige que as organizações usem ferramentas de criptografia de dados. A não conformidade pode resultar em penalidades severas. Por outro lado, o uso de uma solução de criptografia de dados forte pode proteger uma organização em caso de violação de dados ou de roubo de um laptop.
Principais recursos de uma solução de criptografia de dados
Dois aspectos importantes das ferramentas de criptografia de dados são a usabilidade e a escalabilidade. O software de criptografia de dados deve ser conveniente para os funcionários usarem, ou eles não o usarão, e escalável para acomodar o crescimento da organização e as necessidades de segurança em constante mudança.
Veja abaixo outros recursos importantes a serem considerados ao avaliar uma solução de criptografia de dados.
Padrões de criptografia fortes. Órgãos governamentais e organizações públicas e privadas em todo o mundo usam o padrão do setor para criptografia: o Advanced Encryption Standard (AES)-256. O AES substituiu o antigo Data Encryption Standard (DES), que se tornou vulnerável a ataques de força bruta, que ocorrem quando um invasor tenta várias combinações de uma criptografia até que uma delas funcione. Os dois processos de certificação conhecidos para produtos ou implementações de criptografia são:
- O Federal Information Processing Standard (FIPS) 140-2 do Instituto Nacional de Padrões e Tecnologia (NIST), que é um padrão de segurança de computadores do governo dos EUA.
- O Common Criteria for Information Technology Security Evaluation, que é um programa e padrão de certificação com suporte internacional
Criptografia de dados estáticos e dinâmicos. Os dados estáticos, ou dados em repouso, são salvos em servidores, desktops, laptops etc. Os dados estáticos são criptografados pelo arquivo, pela pasta ou pela unidade inteira.
Os dados dinâmicos, ou dados em movimento, trafegam por uma rede ou pela Internet. O e-mail é o exemplo mais comum. Os dados dinâmicos podem ser protegidos de duas maneiras:
- Criptografar a transmissão usando protocolos de criptografia de rede, como segurança do protocolo da Internet (IPsec) e segurança da camada de transporte (TLS), para estabelecer uma conexão segura entre os endpoints
- Criptografar a mensagem e sua carga, o que garante que somente um destinatário autorizado possa acessá-la
Criptografia granular. Embora seja possível criptografar todos os dados, isso pode sobrecarregar os recursos de TI. Em vez disso, a maioria das organizações criptografa somente os dados mais confidenciais, como propriedade intelectual e informações de identificação pessoal, como números de previdência social e informações de contas bancárias.
As ferramentas de criptografia de dados oferecem diferentes níveis de granularidade e flexibilidade. As opções comuns incluem criptografia de pastas, tipos de arquivo ou aplicativos específicos, bem como criptografia de unidade inteira e criptografia de mídia removível. A criptografia de disco inteiro é usada com frequência em laptops, que podem ser perdidos ou roubados. A criptografia de laptops, tablets e mídias removíveis pode proteger uma organização de responsabilidade em caso de roubo do dispositivo.
Gerenciamento de chaves. O software de criptografia de dados tem recursos de gerenciamento de chaves, que incluem a criação, distribuição, destruição, armazenamento e backup de chaves. Um gerenciador de chaves robusto e automatizado é importante para criptografia e descriptografia rápidas e contínuas, o que, por sua vez, é essencial para o bom funcionamento dos aplicativos e fluxos de trabalho da organização.
Imposição de políticas de criptografia. As políticas de criptografia definem como e quando os dados são criptografados. Uma solução de criptografia de dados com recursos de gerenciamento de políticas permite que a TI crie e imponha políticas de criptografia. Por exemplo, considere o caso de um funcionário que tenta salvar um arquivo confidencial em uma unidade USB removível para usá-lo no trabalho em casa. O software de criptografia envia ao funcionário um alerta de que essa ação viola uma política de segurança de dados e impede que o funcionário copie o arquivo até que ele seja criptografado. A imposição automatizada pode garantir que as políticas de segurança de dados sejam seguidas.
Criptografia sempre ativa Um recurso útil para garantir que os arquivos confidenciais permaneçam criptografados é a criptografia “sempre ativa”, que segue um arquivo aonde quer que ele vá. Os arquivos são criptografados quando são criados e permanecem criptografados quando são copiados, enviados por e-mail ou atualizados.
Gerenciamento de criptografia unificado. Os departamentos de TI geralmente precisam lidar com tecnologias de criptografia preexistentes em suas organizações. Por exemplo, uma unidade de negócios recém-adquirida pode usar sua própria tecnologia de criptografia, ou um departamento pode usar criptografia nativa que faz parte de produtos da Apple e da Microsoft, como o FileVault no OS X ou o BitLocker no Windows. Por esse motivo, algumas soluções de criptografia de dados oferecem suporte ao gerenciamento unificado de várias tecnologias.
Um console de gerenciamento unificado também fornece visibilidade de todos os endpoints, incluindo um registro do uso de criptografia de cada dispositivo. Isso pode evitar multas por não conformidade em caso de perda ou roubo de um laptop.
Criptografia no local ou baseada na nuvem?
Uma organização não pode presumir que um provedor de nuvem fornecerá criptografia automaticamente como parte de um aplicativo na nuvem ou serviço de infraestrutura. A criptografia usa recursos extras de largura de banda e CPU, aumentando os custos de um provedor de nuvem. Por isso, a maioria dos provedores não inclui criptografia ou oferece apenas criptografia parcial. Em geral, a criptografia dos dados é de responsabilidade do cliente.
A melhor estratégia de criptografia na nuvem inclui a criptografia de ponta a ponta da conexão e de todos os dados que são carregados na nuvem. Nesses modelos, os provedores de armazenamento em nuvem criptografam os dados após o recebimento, passando as chaves de criptografia para os clientes para que os dados possam ser descriptografados com segurança quando necessário. As organizações podem pagar por um serviço de criptografia de ponta a ponta ou criptografar dados no local antes que eles sejam carregados na nuvem.
O software de criptografia de dados é uma das formas mais eficazes de segurança de dados, quando acompanhado de práticas recomendadas de prevenção contra perda de dados e gerenciamento seguro de chaves de criptografia. As ferramentas de criptografia de dados oferecem criptografia robusta de endpoints corporativos e de usuários e serviços compartilhados, protegendo dados corporativos valiosos e fornecendo gerenciamento centralizado de políticas de criptografia.