*Por Ricardo Céspedes
As empresas dependem da Internet e suas redes corporativas para conduzir negócios globais e facilitar a comunicação no mundo todo. Para isso, precisam implantar soluções de segurança projetadas para proteger as redes de intrusões não autorizadas, ataques cibernéticos e violações de conformidade.
As tecnologias de certificados digitais e chaves criptográficas são essenciais para qualquer projeto de segurança de TI eficaz. Estas ferramentas indispensáveis permitem a sistemas e servidores autenticarem uns aos outros, protegerem dados, e validarem que apenas usuários e sistemas autorizados estão realizando comunicações de entrada e saída e transações de negócios. Informações sigilosas, como a assinatura de contratos digitais e a entrega do imposto de renda, entre as mais comuns realizadas pelas empresas, ficariam completamente expostas sem o uso de certificados digitais e chaves de criptografia.
Todas as organizações que dependem de comunicações eletrônicas e autenticação - não importando o tamanho ou tipo de indústria - utilizam chaves de criptografia e certificados. Companhias maiores podem utilizar milhares e até mesmo centenas de milhares de chaves criptográficas e certificados digitais em suas redes globais. Isso faz com que seja imprescindível a definição de políticas, processos, procedimentos e ferramentas tecnológicas, como os sistemas automatizados de gerenciamento, para o controle completo do ciclo de vida dos certificados e das chaves da empresa.
A falta de um gerenciamento apropriado expõe as empresas a um risco não quantificado dentro das organizações, incluindo acesso não autorizado e falhas em auditorias de segurança. Pesquisa recente da Fortune 1000 Companies mostrou que nada menos que 73% das empresas tinham dados incompletos ou inacurados sobre a sua população de certificados digitais e chaves criptográficas.
Para entender os riscos a que está exposta uma organização, o responsável pela sua segurança deve saber responder afirmamente às seguintes questões: Você sabe quantos certificados possui? Onde todos os seus certificados e chaves de criptografia estão localizados? Qual a força do algoritmo que as suas chaves utilizam? Quando os certificados estão programados para expirar? Quais autoridades certificadoras (CAs) os emitiram?
Como apontado pelo relatório Gartner “X.509 Gerenciamento de certificado: evitando prejuízo e danos da marca”, entre os principais riscos difundidos para as empresas que esse desconhecimento acarreta está que os certificados têm data de validade, podendo variar de um até cinco anos. Os certificados que expiram inesperadamente podem derrubar sistemas inteiros e aplicações de função crítica. Por outro lado, certificados com prazos de validade extensos são alvos fáceis para hackers e funcionários descontentes.
Outro problema grave que mostra a importância de ter um sistema de gestão automatizada de certificados para a segurança das empresas é um fato que tem recebido extensa cobertura da mídia. Algumas autoridades certificadoras foram recentemente comprometidas por roubos, invalidando os certificados emitidos. Sistemas automatizados podem ser utilizados para descobrir os certificados em uma rede, identificar as CAs, determinar sua validade e, dependendo do caso, renová-los automaticamente. Isso ajuda a identificar questões de segurança, conformidade e operacionais dentro de um ambiente, além de prover indicações que as organizações devem seguir no sentido de eliminar riscos.
Ricardo Céspedes é diretor de Pré-vendas e Aliança da Etek NovaRed Brasil, especializada em soluções integradas de segurança da informação.