Independentemente de querer proteger os seus dados ou qualquer outra coisa, lembre-se que a segurança é um processo contínuo. Se encarado com a necessidade de escolher uma solução de encriptação adequada, o seu trabalho não termina após a seleção. A encriptação não torna os dos dados seguros por si mesma: existe uma variedade de outras atividades e passos que são precisos tomar.
Para os seus dados estarem protegidos deve adotar as melhores práticas de encriptação – mas isto aplica-se para todo o tipo de segurança de informação. Existem imensas formas dos seus dados serem comprometidos e a encriptação aborda apenas algumas delas.
Por outro lado, se alguma coisa correr mal com o processo de encriptação, pode acabar por ter os seus dados protegidos até de si mesmo. Por isso não se esqueça de ter backups de todos os seus dados importantes. Claro que os dados em backup devem também ser protegidos; quando escolher o meio para executar isto, assegure-se que não coloca estes dois ovos no mesmo cesto.
Quando consideramos a proteção dos dados, é importante distinguir entre dados imóveis e dados móveis. Dados imóveis são dados a que não está a aceder – exemplos disto são os dados gravados num DVD parado na prateleira ou passados para um disco rígido do PC desligado. Dados móveis são dados que estão a ser usados, ou dados que estão a ser enviados.
O seu objetivo primário deve ser proteger os dados móveis de todos os que não são os seus utilizadores legítimos. Mas deve também proteger os dados imóveis, porque estes podem em breve ser dados móveis.
A encriptação pode resolver ambas estas situações, mas apesar de ser o componente chave na sua estratégia de proteção de dados, deve saber que estão disponíveis mais ferramentas.
E mais importante que isso existem riscos que a encriptação não consegue resolver. Quando tiver que escolher uma solução de encriptação apropriada, tenha em consideração estas 5 dicas:
1. Determine a sua estratégia de proteção de dados; não dependa apenas da encriptação…
Os especialistas em segurança dirão que não há nada como encriptação suficiente. É
verdade, mas não se esqueça que a encriptação não é nada mais do que uma camada extra de proteção entre os seus dados e cibercriminosos como hackers, bisbilhoteiros e ladrões de propriedade intelectual.
E sim, a encriptação protege os seus dados em alguns casos do seu próprio comportamento arriscado. É
extremamente valioso ter todo o disco encriptado quando deixa o seu stick USB na lavandaria ou quando perde o seu portátil – nenhuma destas ocorrências é particularmente rara.
Num estudo conduzido recentemente pela ESET descobriu-se que mais de 22 mil sticks USB foram esquecidos nos bolsos de roupa deixada na lavandaria no Reino Unidos durante 2015.
E de acordo com uma pesquisa levada a cabo pelo Ponemon Institute, mais de 600 mil portáteis são perdidos por ano em aeroportos nos Estados Unidos.
Quando se trata de um portátil perdido, tenha em mente que usar uma palavra-passe não protege os seus dados. Apesar de uma palavra-passe e janelas de logon impeçam que usem o seu computador diretamente, ao transferirem o seu disco rígido ou SSD para outro computador, é possível usar todos os seus dados.
Nesses casos, encriptação plena do disco é essencial para prevenir que acedam ou roubem os seus dados. Por outro lado, a encriptação não o ajuda se perder as suas credenciais e ceder aos hackers acesso completo ao PC. Existem muitos outros riscos para os seus dados: considere por fim os seus serviços na nuvem e comunicação por email.
Se considerar os seus dados valiosos e se importar realmente com eles, tenha em consideração todos os riscos e encare-os de forma adequada.
2. …mas a encriptação é uma boa forma de começar
Seja um indivíduo ou uma empresa, os seus dados são valiosos. Infelizmente, eles não são valiosos só para si. Se os criminosos que roubarem os seus dados não os puderem usar eles mesmo, eles podem vendê-los no mercado negro ou simplesmente expô-los em “dumps” para toda a Internet underground.
Os benefícios da encriptação são vários, e as desvantagens podem ser mitigadas. E algumas são mais lendas urbanas do que realidade, como o seu suposto efeito de abrandamento dos computadores.
Sim, há alguns anos atrás, a diferença entre ter o seu disco sem encriptação e com encriptação plena era significativo.
Mas hoje em dia, com computadores que raramente trabalham na sua capacidade máxima, é muito difícil detetar qualquer abrandamento durante a utilização.
A encriptação oferece benefícios significativos, com apenas alguns pontos fracos. Se quiser proteger os seus dados de forma séria, a maneira mais fácil e eficiente de começar (de acordo com uma pesquisa levada a cabo pelo Ponemon Institute) é construindo a segurança dos dados em torno da encriptação.
3. Ao escolher a solução de encriptação certa, foque-se na usabilidade e procure adaptabilidade e escalabilidade
Os seus processos e requisitos são únicos – a sua solução de encriptação adapta-se? E se as suas necessidades mudarem, a sua encriptação consegue lidar com isso?
Se a resposta é não, terá de adaptar o seu negócio ou a sua vida de acordo com como alguém concebeu a sua solução de encriptação. Mesmo que conseguisse fazer isto, você não ia querer.
Existem soluções de encriptação no mercado que são flexíveis o suficiente para irem ao encontro dos seus requisitos.
A sua solução de encriptação deve também ser fácil de implementar e simples de usar no dia-a-dia. Deve ser escalável, para que consiga facilmente acrescentar funções se necessário.
Selecione uma solução que não requeira reinstalação para actualizações ou renovação.
E não se esqueça que se uma solução de encriptação está disponível como licença perpétua com gestão e suporte anual, ou como licença de subscrição, isso pode permitir que gira os custos e obtenha maior flexibilidade financeira.
4. Escolha em quem confia
Existem muitos programas de encriptação disponíveis no mercado. Alguns têm preços razoáveis, mas outros não. Selecione uma solução que contenha algoritmos de encriptação standard em que possa confiar, e um sistema de partilha de chaves sofisticado para troca de dados seguros entre todos os utilizadores.
Verifique se a solução de segurança que está a considerar vai ao encontro dos rigorosos standards FIPS-140-2 nos Estados Unidos e é validado pelo National Institute of Standards and Technology (NIST).
Veja também se foi certificado por figuras chave no mercado (i.e. OPSWAT) e se se deu bem em testes de desempenho independentes.
5. Siga a sua estratégia de protecção de dados e preocupe-se com os seus dados
Não dependa inteiramente da sua solução de encriptação: lembre-se que uma vez acessíveis os dados apenas pode limitar os riscos, nunca eliminá-los completamente. Com os dados online, a encriptação traz benefícios significativos. Mas não se deixe levar por uma falsa sensação de segurança.
Não espere que a encriptação – mesmo uma solução adequada, implementada da forma certa – resolva todos os seus problemas de segurança de dados.
Por exemplo, use palavras-passe fortes, não as reutilize entre serviços e não as partilhe com outros.
Fonte: Nuno Mendes – ESET Portugal
#risema #riseSEC #ESET