.
Muitos profissionais de TI e BI estão insatisfeitos com a interoperabilidade e os esforços de fornecedores e provedores de armazenamento. Os fornecedores deixaram claro que estão interessados nos padrões de criptografia em oposição aos desafios de custo e integração. A expansão da criptografia é boa, mas não é a solução única ou definitiva. Um aplicativo crítico, em um ponto ou outro, precisará de acesso a dados criptografados. Se um invasor pode visualizar dados não criptografados em um aplicativo, muito provavelmente, todos os outros também podem. Em uma arquitetura de toda a empresa, bem como em um único nó pessoal – o acesso não autorizado é inaceitável – a proteção é extremamente necessária.
A mídia de notícias e informação respeitável realizou uma pesquisa. Técnicos de Informação e Profissionais de Business Intelligence foram entrevistados. 28% dos participantes disseram que querem expandir o uso de criptografia muito além do(s) padrão(ões) mínimo(s).
A criação de padrões públicos de interoperabilidade daria às comunidades de código aberto condições equitativas. Comparado com tecnologias de produtos comerciais, “Open Source” (compartilhamento livre de informações tecnológicas; descreve práticas de produção e desenvolvimento que promovem o acesso aos materiais de origem dos produtos finais; a Internet; caminhos de comunicação e comunidades interativas) não é conhecido como tendo o melhor capacidades gerenciais. A competição provou manter todos na ponta dos pés. A análise da pesquisa resultante e as conversas com os CISOs (Chief Information Security Officer), uma ênfase em criptografia e conformidade não estão sendo usadas corretamente e/ou em toda a sua extensão. As organizações que utilizam os principais aplicativos estão criptografando ou planejando… ao lado de vários aplicativos de software de proteção de firewall. Com a inclusão de VPNs (Redes Privadas Virtuais), e-mail, sistemas de arquivos e dados, uma violação pode ser devastadora. Essas práticas não resolvem realmente o problema de proteção. Embora uma redução de risco seja evidente.
Um Chief Information Security Officer (CISO) é o executivo de nível sênior dentro de uma organização. O CISO orienta a equipe na identificação, desenvolvimento, implementação e manutenção de processos em toda a organização para reduzir os riscos de informação e tecnologia da informação (TI), responder a incidentes, estabelecer padrões e controles apropriados e direcionar o estabelecimento e implementação de políticas e procedimentos. Normalmente, a influência do CISO atinge toda a organização. Michael A. Davis relata estatísticas de alto nível sobre o uso de criptografia por 86% dos 499 profissionais de tecnologia de negócios que dizem se sentir bastante seguros. Seus dados são baseados em uma pesquisa sobre o estado de criptografia da Information Week Magazine. Davis também afirma que 14% dos entrevistados dizem que a criptografia é generalizada em sua(s) organização(ões). Variando de desafios de integração e custo, a falta de liderança é a razão para o estado sombrio das feiras de criptografia. “38% criptografam dados em dispositivos móveis, enquanto 31% caracterizam seu uso como apenas o suficiente para atender aos requisitos regulatórios.” O foco de conformidade na criptografia alivia as empresas de notificar os clientes sobre uma violação na segurança de seus dispositivos. O relatório de Davis continua afirmando que a “resistência entrincheirada” não é um fenômeno novo. Uma pesquisa do Phenomenon Institute em 2007 descobriu que 16% das empresas dos EUA incorporam redes de criptografia em toda a empresa, começando com backups em fita. “Fazer o mínimo não é segurança”, citou Davis. “Os profissionais de TI e BI enfrentam forte resistência quando tentam fazer mais pelos usuários de tecnologia.”
Muitos funcionários de TI e BI da empresa trabalham para aumentar o uso de criptografia. O acesso rápido e fácil aos dados interessa aos usuários mais do que sua atenção à segurança. Mesmo com o uso de flash drive(s), laptops e outras mídias portáteis, do CEO (Chief Executive Officer) até o(s) usuário(s) da linha de frente, a criptografia nunca passa pela cabeça deles.
A interoperabilidade (uma propriedade que se refere à capacidade de diversos sistemas e organizações trabalharem juntos; interoperar; trabalhar com outros produtos ou sistemas, presentes ou futuros, sem qualquer acesso ou implementação restritos) tornaria o gerenciamento de criptografia menos caro e mais fácil de utilizar . Declarações de profissionais de TI e BI endossam o uso de criptografia para arquivos e pastas (algo em que a Microsoft está trabalhando atualmente) facilita o desempenho e o uso, enquanto a redução de custos é a chave para um melhor gerenciamento. Muitos profissionais continuam desejando mais regulamentação(ões). Uma violação exigiria a notificação do cliente… essa ação permitiria a interação de financiamento e gerenciamento, trazendo mais atenção à intervenção regulatória. “Uma iniciativa corporativa tão complexa quanto a criptografia, principalmente para cumprir as regulamentações, geralmente resultará em um projeto mal planejado e provavelmente acabaria custando mais do que um programa de compreensão mapeado”, de acordo com o relatório Davis.
A tokenização (o processo de dividir um fluxo de texto em elementos significativos chamados tokens) usa um serviço em que um sistema é acessado a informações confidenciais, ou seja, um número de cartão de crédito. O sistema recebe um “número de identificação de token único”. Um exemplo disso é um número de 64 dígitos usado em aplicativos sempre que o número do cartão de crédito é chamado pelo sistema. A ação também inclui números de banco de dados. Essa mudança foi implementada em 2007. Se os dados fossem comprometidos (atacados ou hackeados) de alguma forma, o manipulador técnico não teria como reverter os números de 64 dígitos de volta para o cartão…fazendo uma verificação de leitura virtualmente impossível. Vários sistemas são projetados para destruir a chave (número) em emergências. A ação impossibilita a recuperação dos dados armazenados no sistema… inacessíveis a todos. Este é o pesadelo de um Chief Information Officers. Muitas empresas estão interessadas em produtos de criptografia únicos, especializados e padronizados. O produto opera em uma “plataforma de criptografia única”, enquanto um aplicativo único ou central gerenciará várias formas de chaves de código de criptografia. Essa plataforma promete aumentar a eficiência e reduzir o custo ao mesmo tempo em que oferece segurança. A ressalva para o uso desse modelo é o uso de uma plataforma simples para lidar com criptografia de e-mail e uma função de backup pode ser prejudicial se mal planejada e/ou mal gerenciada. cesta.” O caminho a percorrer é o uso de “Native Key Management” (provisões feitas em um projeto de sistema de criptografia que estão relacionadas à geração, troca, armazenamento e proteção – controle de acesso, gerenciamento de chaves físicas e acesso) em um A consolidação no setor de criptografia é um desenvolvimento contínuo. É um ambiente criado onde os fornecedores de criptografia vendem vários produtos como “plataformas uniformes”. r produtos de criptografia como acreditam alguns profissionais de TI e BI.
Outro problema de segurança é que os fornecedores de criptografia têm dificuldade em gerenciar chaves de código de provedores separados. Eles parecem tropeçar uns nos outros por meio de competição e disputando do último ao primeiro da fila. Os fornecedores têm dificuldade em obter seus padrões separados na mesma página. Eles lutam continuamente pelos detalhes de operação e conformidade e se “Produtos gratuitos e de baixo custo os levarão para fora” – e assumirão o controle da indústria.
Um diretório central de chaves de código é fácil de gerenciar. A atualização e geração de relatórios é uma tarefa essencial e vital para todos os profissionais de TI e BI. O Active Directory (AD) da Microsoft pode muito bem ser o principal vendedor de criptografia do bloco. O(s) sistema(s) básico(s) instalado(s) do AD da Microsoft são gerenciáveis por meio de objetos de política de grupo que são incorporados ao(s) aplicativo(s) e programa(s) do sistema operacional (SO). AD é o diretório mais usado para empresas e usuários de PC, enquanto muitos engenheiros de TI e BI já sabem como usar e trabalhar. Todos os principais produtos de criptografia da Microsoft oferecem gerenciamento centralizado por meio do AD, bem como suas tecnologias de criptografia corporativa. O que é mais barato do que grátis?
A(s) oferta(s) do Windows criptografia de disco portátil e poderosa… criptografia de e-mail, pasta, arquivo e banco de dados está disponível gratuitamente. Quem pode bater esse preço?
Os usuários não são impedidos de enviar por e-mail versões não criptografadas de pastas e arquivos – ou de transferir dados para um dispositivo portátil conectado à porta USB (Universal Service Bus)… um aplicativo de e-mail comparável, que muitas empresas não são compatíveis – (ninguém parece estar seguindo o protocolo para a política de criptografia de dados). A interoperabilidade na criptografia e no gerenciamento de chaves pode ser utilizada com base no tipo de armazenamento e implementação de dados – enquanto aguardamos a padronização para livrar sua juba totalmente carregada de impedimentos. Exploração de dados, hackers e outros invasores, ou seja, malware, spyders, pop-ups, etc., não teriam nada além do agravamento e privação que causam aos outros. O uso de interoperabilidade de criptografia… pode não impedir os invasores, mas com certeza tornará a invasão difícil, se não impossível.
Empresas, organizações e usuários pessoais precisam e devem adotar uma abordagem de gerenciamento de risco… implementar criptografia.
Até a próxima…
.
