O recente Regulamento Geral de Proteção de Dados (GDPR) que entrou em vigor na Europa e em todos os países que têm relações comerciais com empresas europeias, juntamente com o crescimento de brechas e roubos de informação, são algumas das razões pelas quais as pequenas e médias organizações começaram a implementar tecnologias de proteção de dados, como uma solução de criptografia.
No entanto, considerando que o tempo é limitado e que o mercado está cheio de produtos, pode ser bem complicado para os donos e gerentes de empresas a tarefa de escolher a opção que mais se adequa às suas necessidades.
Se você é o responsável por tomar essa decisão, evite armadilhas na seleção de um produto de criptografia fazendo as seguintes perguntas:
#1 Quais laptops apresentam maior risco: os que ficam na empresa ou os que saem?
Pode até parecer que esta pregunta não tem sentido e que a resposta seja óbvia: os sistemas e equipamentos são mais vulneráveis ao roubo ou perda quando estão fora do escritório. No entanto, fazer esta distinção e mantê-la em mente é o ponto de partida mais adequado.
Após escolher a sua solução de criptografia, certifique-se de testar a sua eficácia na gestão de cenários problemáticos para os usuários remotos.
#2 A opção escolhida se adequa às necessidades do seu departamento de TI para controlar remotamente a criptografia de equipamentos externos?
Todos os principais produtos de criptografia oferecem meios para a administração de sistemas remotos, mas observe cuidadosamente os requisitos. A maioria solicita uma conexão de entrada aberta para uma zona desmilitarizada (DMZ) no servidor, ou uma conexão VPN.
o verdadeiro desafio é a possibilidade de adaptar a solução para o seu ambiente e práticas de trabalho
Todos envolvem um nível superior de habilidades de TI que podem adicionar custos extras e, para funcionar, podem exigir que o usuário inicie a conexão. Na verdade, isso não seria muito útil para um empregado mal-intencionado ou um laptop roubado.
Um produto bem projetado que te dará a gestão remota necessária sem criar novos problemas de segurança, requer conhecimentos especializados ou gastos adicionais para o projeto.
#3 Por que isso é importante?
A capacidade para alterar rapidamente a política de segurança, as chaves de criptografia, as características e o funcionamento da criptografia nos endpoints de forma remota significa que a sua política padrão pode ser forte e robusta.
As exceções podem ser feitas apenas quando (e onde) sejam necessárias e, em seguida, revertidas com a mesma facilidade. Se você não pode fazer isso, será forçado a deixar "uma chave debaixo do tapete" para utilizar sempre que seja preciso. E isso irá acabar com o cumprimento da política antes mesmo da implementação ser concluída.
#4 A solução de criptografia escolhida permite o bloqueio e a exclusão remota de chaves de laptops?
A resposta pode ser crucial se um computador da empresa com criptografia de disco completa é roubado enquanto está no modo de espera ou com o sistema operacional iniciado. E pode ser pior ainda se esses sistemas possuem a senha de inicialização em uma etiqueta ou na mochila do laptop.
Caso não esteja disponível uma função de bloqueio ou exclusão remota, o sistema está desprotegido ou apenas está protegido pela senha do sistema operacional, e a criptografia é omitida em ambos casos.
Da mesma forma, é importante saber se a solução foi projetada para responder aos casos de uso típicos que incluem uma política de segurança bem projetada.
#5 A solução protege as mídias removíveis sem ter que incluir cada elemento em uma whitelist?
Com a variedade de dispositivos de armazenamento que as pessoas usam para o seu trabalho diário, é quase impossível para os administradores incluam a todos e cada um deles em uma whitelist e decida se é permitido ler, escrever ou não acessar ao dispositivo.
É muito mais fácil estabelecer uma política à nível de arquivo, que permitir distinguir entre os que precisam de criptografia e os que não, e mantê-los protegidos cada vez que se deslocam do equipamento ou da rede corporativa para qualquer dispositivo portátil.
Em outras palavras, se você conecta a sua própria memória USB, não será obrigado a criptografar os seus dados privados. No entanto, qualquer coisa que venha do sistema da empresa deve ser criptografada sem que as chaves sejam armazenadas no dispositivo. É uma ideia simples, mas que faz com que qualquer dispositivo seja seguro, sem a necessidade de uma whitelist.
#6 É uma solução fácil de implementar?
Se a configuração leva horas ou inclusive dias e precisa de ferramentas extras para o funcionamento, pode causar novas dores de cabeça para os administradores de sistemas e criar novos riscos de segurança. Por isso, procure uma solução fácil de implementar, que não requeira conhecimentos avançados de TI e preserve tanto as finanças como os recursos humanos.
Se a experiência do usuário reflete essa simples implementação, o pessoal de TI não enfrentará mais os bloqueios de usuários, a perda de dados e outros obstáculos.
Observações finais
A segurança existe há algum tempo, mas o que facilitará ou complicará a implementação é a flexibilidade e a facilidade de uso.
Todos os produtos de criptografia comerciais têm sido mais do que fortes durante muitos anos, mas uma proporção significativa das brechas registradas que envolvem laptops ou perda ou roubo de unidades USB ocorreram em empresas que haviam comprado e implementado uma solução de criptografia.
A moral da história por trás destes incidentes revela que o verdadeiro desafio é a possibilidade de adaptar a solução para o seu ambiente e práticas de trabalho, assim como tornar a criptografia mais fácil para os usuários.