Vídeo: Criptografia e descriptografia com NodeJS (Novembro 2024)
Se você está preocupado com o fato de os dados da empresa caírem em mãos erradas, é hora de você considerar a criptografia. Você provavelmente já ouviu falar sobre o termo, mas não sabia ao certo o que significava ou como poderia usá-lo para beneficiar sua organização. Em termos literais, criptografia é a transformação de dados de texto sem formatação em texto cifrado. Pense da seguinte maneira: os dados da sua empresa são um poema rima de fácil leitura, escrito no idioma inglês. Qualquer pessoa que saiba ler em inglês poderá decifrar rapidamente o texto do poema, bem como o padrão da rima do poema. Quando criptografado, o poema é transformado em uma série de letras, números e símbolos sem sequência ou implicação óbvia. No entanto, quando uma chave é aplicada a essa bagunça confusa de texto, ela imediatamente se transforma novamente no poema original de rima.
A criptografia não garante automaticamente que sua empresa permanecerá protegida contra invasores. Você ainda precisará empregar um software de proteção de terminal para garantir que não seja atingido por ransomware, que pode ser usado para chantagear você a desistir de sua chave de criptografia. No entanto, se os hackers tentarem acessar seus dados e perceberem que você utilizou criptografia em toda a empresa, é muito menos provável que eles continuem o ataque. Afinal, qual casa um ladrão provavelmente escolheria hambúrguer: aquele com torres de metralhadora no gramado da frente ou aquele com a porta da frente aberta?
"O melhor motivo para criptografar seus dados é que eles diminuem seu valor", disse Mike McCamon, presidente e CMO da SpiderOak. "Mesmo que entrassem, todos os dados armazenados são criptografados. Eles não teriam como fazer nada se o fizessem o download".
Para ajudar a determinar a melhor forma de proteger sua empresa contra roubo de dados, compilei as seis maneiras a seguir para implantar a criptografia em sua organização.
1. Criptografia de senha
É lógico que, se você estiver usando senhas em toda a sua empresa, estará protegido contra ataques. No entanto, se os hackers obtiverem acesso à sua rede, eles poderão facilmente chegar ao ponto de extremidade onde todas as suas senhas e nomes de usuários estão armazenados. Pense assim: O código para desbloquear o seu smartphone é apenas uma salvaguarda para entrar no seu smartphone se alguém não estiver por cima do seu ombro, pressionando o botão. Bem, os hackers podem se infiltrar na sua rede, encontrar o ponto em que suas senhas estão armazenadas e usá-las para inserir pontos de acesso adicionais.
Com a criptografia de senha, suas senhas são criptografadas antes de deixarem o computador. No momento em que você pressiona o botão Enter, a senha é embaralhada e salva no terminal da sua empresa em nenhum padrão decifrável. A única maneira de qualquer pessoa, incluindo administradores de TI, acessar a versão não criptografada da sua senha é empregar a chave de criptografia.
2. Criptografia de banco de dados e servidor
O tesouro de qualquer hacker é o local em que a maioria dos seus dados está em repouso. Se esses dados forem armazenados em texto sem formatação, qualquer pessoa capaz de se infiltrar em suas configurações de segurança poderá ler e aplicar esses dados facilmente a ataques ou roubos adicionais. No entanto, criptografando seus servidores e bancos de dados, você garante que as informações sejam protegidas.
Lembre-se: seus dados ainda podem ser acessados em qualquer um dos seus muitos pontos de transferência, incluindo informações enviadas do navegador para o servidor, informações enviadas por e-mail e informações armazenadas nos dispositivos. Entrarei em detalhes sobre como criptografar esses dados posteriormente neste artigo.
3. Criptografia SSL
Se você precisar proteger os dados que seus funcionários e clientes enviam dos navegadores para o site da empresa, convém empregar a criptografia Secure Sockets Layer (SSL) em todas as propriedades da web da empresa. Você provavelmente já viu a criptografia SSL empregada em outros sites da empresa; por exemplo, quando você se conecta a um site e um bloqueio aparece no lado esquerdo do URL, isso significa que sua sessão entrou em um estado criptografado.
As empresas hiperparanóicas em relação ao roubo de dados devem entender que a criptografia SSL protege apenas a transferência de dados do navegador para o site. Ele protege contra invasores que conseguem interceptar informações enquanto elas são transferidas do navegador para o terminal. No entanto, quando os dados entram nos servidores, eles são armazenados como texto sem formatação (a menos que outros métodos de criptografia sejam empregados).
4. Criptografia de identidade de email
Os hackers criaram uma maneira bacana de induzir as pessoas a renunciar voluntariamente a informações pessoais. Eles criam endereços de e-mail corporativos falsos, se apresentam como executivos da empresa e enviam e-mails com aparência oficial aos funcionários solicitando senhas, dados financeiros ou qualquer coisa que possa ser usada para prejudicar um negócio. Com a criptografia de identidade de email, seus funcionários recebem uma chave complexa que eles fornecem a todos os destinatários de email. Se o destinatário receber um email que afirma ser do CEO da sua empresa, mas o email não contiver o prompt de descriptografia, ele deverá ser ignorado.
5. Criptografia de dispositivo
Todos sabemos sobre a criptografia de dispositivos da recente batalha da Apple com o FBI. Basicamente, você descriptografa seu dispositivo e os dados armazenados nele - toda vez que você digita a senha necessária para abrir a unidade. Isso se aplica a todos os dispositivos, de laptops e desktops a tablets e smartphones. No entanto, é realmente fácil para alguém acessar as configurações do telefone e desativar o requisito de senha. Essa é uma maneira super conveniente de entrar e sair do telefone, mas também torna o dispositivo vulnerável a qualquer pessoa que (literalmente) coloque as mãos nele.
Para proteger sua empresa contra ataques práticos, você deve tornar a criptografia de dispositivos um requisito para todos os seus funcionários e para todos os parceiros da empresa que armazenam dados confidenciais em seus dispositivos. Seu departamento de TI pode configurar isso usando o software de gerenciamento de dispositivo móvel (MDM).
6. Criptografia de ponta a ponta e zero conhecimento
Talvez a versão mais abrangente e segura da criptografia, a criptografia de ponta a ponta embaralha todos os dados da sua organização antes que ela atinja o ponto final. Isso inclui tudo, desde senhas de login e senhas de acesso ao dispositivo até as informações contidas em aplicativos e arquivos. Com a criptografia de ponta a ponta, os únicos que têm acesso à chave para decifrar seus dados são sua equipe de TI e a empresa de software com a qual você trabalha para criptografar os dados.
Se você precisar de uma proteção ainda mais extrema contra invasões, a criptografia de conhecimento zero mantém sua chave de criptografia em segredo, mesmo do seu parceiro de software. O SpiderOak, por exemplo, ajudará você a criptografar seus dados, mas não armazenará a chave de criptografia necessária para decodificar as informações.
"Se alguém perder sua senha conosco, não podemos ajudá-lo", disse McCamon, em referência aos clientes de criptografia de conhecimento zero do SpiderOak. "Queremos garantir que os clientes saibam que também não podemos ler seus dados".
McCamon disse que é importante especificar com seu parceiro de software se eles são de ponta a ponta ou de zero conhecimento, especialmente se é necessário conhecimento zero. "A única coisa que sabemos sobre nossos clientes é seu nome, endereço de e-mail, informações de cobrança e quantos dados eles armazenam conosco."