∴ Diogenes Bandeira - Consultor de Segurança Eletrônica ∴

∴ Diogenes Bandeira - Consultor de Segurança Eletrônica ∴

Como a criptografia pode ajudar os bancos contra violação de dados.


De acordo com um estudo realizado pela Verizon, mais de 50% dos roubos de propriedade intelectual ou de dados sigilosos são feitos por funcionários da própria empresa. Então, em teoria, utilizar apenas a prevenção contra vazamentos de dados é uma estratégia não tão efetiva para proteger dados corporativos, pois cada empresa já tem seus próprios “adversários” dentro dela mesma. Neste ambiente, é necessário, além de prevenir, ficar atento e criar outras formas para evitar esse tipo de invasão.

Os custos de perder a confiança de um cliente como resultado de um ciberataque em um sistema bancário, por exemplo, são quase o dobro do valor de quaisquer danos monetários incorridos, segundo um estudo da Longitude Research. Isso porque as instituições bancárias são naturalmente vistas como organizações que prezam pela segurança. Uma invasão acaba se tornando um pesadelo para a empresa e um bom motivo para a preocupação do cliente. Um ataque que desliga a rede de um banco pode ser incapacitante, com as paradas de custo por minuto chegando à casa dos milhões de dólares. Mesmo que apenas a velocidade da rede seja diminuída por tráfego malicioso, os efeitos podem ser extremamente prejudiciais para as empresas bancárias e financeiras.


O que fazer em casos como estes?
Não é tão simples proteger a rede da instituição bancária com base em uma abordagem de aceitação de uma invasão. Um dos principais desafios para a TI atualmente é a proteção de dados corporativos, devido à implementação de tecnologias como Cloud Computing, Virtualização e até mesmo a prática de BYOD, algo bastante comum. Essas novas tecnologias estão trazendo um aumento exponencial da superfície de ataque. Para resolver este problema, umas das estratégias aplicadas pela equipe de TI é a de limitar o número de compartilhamentos desses dados e permitir apenas que um número pequeno e controlado de funcionários tenham acesso à essas informações.

No entanto, essa estratégia de liberar o acesso para apenas algumas pessoas caminha contra tudo o que a tecnologia permite atualmente. Afinal, ela trouxe grandes vantagens como aumentar a velocidade de processos e a possibilidade de checar informações a partir de um dispositivo conectado sem ter que buscar essas informações fisicamente. A regra de hoje é conseguir uma estratégia construída em torno da consciência de que a movimentação e compartilhamento de dados é fundamental para o sucesso dos negócios.


Preocupe-se com o básico.
Não importa o que acontecer, os princípios básicos de confidencialidade, integridade, autenticidade e negação ainda permanecem como os pilares de confiança por mais de 30 anos. Mesmo com esses pilares sendo fundamentais para a segurança de sistemas financeiros, as instituições bancárias não têm conseguido estender e replicar esses mesmos pilares em outras aplicações de missão crítica do núcleo de processos. Elas ainda têm receio na hora de compartilhar serviços de infraestrutura ou contratar prestadores de serviço terceirizados, o que salvaria gigantescos custos operacionais e ainda forneceria uma proteção extra aos seus dados, já que esses provedores criptografam as informações e possuem o controle das chaves para acessá-las.

Atualmente, alguns bancos estão usando métodos independentes de segurança como, por exemplo, o de resposta (baseado em senhas). Também são utilizadas senhas de uso único, digitais e verificação por íris. No entanto, esses últimos métodos citados ainda não são tão difundidos nem reconhecidos pela legislação, ficando unicamente com os bancos a responsabilidade em caso de uma disputa legal.


Criptografia: uma mentalidade diferente.
A criptografia é necessária para a proteção de dados centrais e é a única estratégia comprovada e testada que transita entre ambientes tradicionais e ambientes virtualizados ou em Nuvem. Nenhuma outra metodologia ou ferramenta de segurança fornece o mesmo nível de qualidade para os princípios básicos de segurança. O plano B - proteger os dados ou torná-los inutilizáveis caso roubados - deve permitir que os bancos estejam em conformidade regulatória com as leis referentes à questões de TI.

Em um passado recente, diversos incidentes ocorridos expuseram as brechas de segurança de bancos que empregam seus próprios métodos de segurança independentes e não regulamentados. Isso fez com que a responsabilidade financeira das transações disputadas (aquelas que necessitam de informações adicionais para serem aceitas e processadas) fosse jogada nas instituições bancárias. Apesar de recomendações para proteger transações de alto valor através de Certificados de Assinatura Digital (DSC) para prevenir implicações legais, poucos bancos integraram essa opção nas aplicações de Internet Banking, Core Banking, Gestão de Liquidez, banco de Varejo, entre outros.

Utilizar a criptografia vai ajudar os bancos a mudar esse passivo financeiro, previnindo implicações legais de uma forma juridicamente aceitável usando Certificados de Assinatura Digital. Quando a criptografia é usada, o risco é transferido dos próprios dados para as chaves criptográficas. Sem uma forte segurança para chaves privadas, os sistemas estarão sempre vulneráveis. Essa é uma área na qual os revendedores de softwares têm tido grande esforço. Quando as chaves particulares são armazenadas no mesmo servidor tal qual os outros componentes de um sistema, é muito mais fácil obter acesso a estas chaves e comprometer esse sistema. Com uma cópia da chave particular, um hacker pode criar identidades fraudulentas e certificados à vontade.


Fonte: Informationweek, Banktech, Cocc e Blog Brasil.
Edição: Diogenes Bandeira - Consultor de Segurança Eletrônica.
Como a criptografia pode ajudar os bancos contra violação de dados. Como a criptografia pode ajudar os bancos contra violação de dados. Reviewed by Consultor de Segurança Eletrônica on 11:17:00 Rating: 5

Nenhum comentário:

Pixel Segurança Eletrônica

Pixel Segurança Eletrônica
Tecnologia do Blogger.