Porque as Autoridades de Certificação (CAs) têm um papel importante na segurança digital de empresas

18 de março de 2022 Off Por Ray Santos
Compartilhar

As pequenas e médias empresas precisam estar cientes de que os certificados TLS fornecem segurança e ajudam na reputação de seus negócios

Por Dean Coclin *

Como saber se sua empresa oferece uma experiência de navegação segura na internet? Você pode ser o tipo de pessoa que instrui sua equipe a percorrer apenas sites conhecidos, onde sabe que suas informações estarão protegidas, a não acessar links suspeitos e até restringir as páginas que os funcionários podem e não podem acessar – isso não é suficiente. E você deve proteger não apenas seus funcionários, mas também clientes e fornecedores.

Na América Latina, os casos de falsificação de marca na internet e redes sociais continuam acontecendo apesar da recente queda. Por exemplo, entre o segundo semestre de 2020 e o primeiro semestre de 2021, os casos de phishing identificados na América Latina pela empresa de monitoramento e eliminação de riscos e ameaças digitais Axur caíram 32%, segundo seu relatório mais recente Atividade criminosa online na América Latina 2021. De acordo com o relatório, o país que teve a maior exposição a dados de cartões de crédito e débito este ano na região foi o Brasil, seguido pela Costa Rica; o total de cartões de crédito e débito encontrados no semestre foi de 687 mil cartões, dos quais 94,7% ainda estavam válidos.

O Brasil mostra que está longe de ter uma internet segura. Em 2020, houve cerca de 1,6 bilhão de casos de roubo de dados pessoais na internet, segundo um estudo da Akamai. Com isso, o país ocupa o terceiro lugar na lista das nações que mais sofreram com ataques e invasões de credenciais no mundo no último ano.

Entendendo as Autoridades de Certificação (CAs)

Fala-se muito sobre certificados TLS/SSL e sua importância na proteção dos dados de empresas, indivíduos e governos. Mas apenas algumas pessoas entendem o significado de uma sigla importante que acompanha os certificados: Autoridades de Certificação (CAs). Em grandes empresas onde há maiores equipes de TI, cabe aos profissionais de tecnologia saber o que uma CA faz, mas nas pequenas e médias empresas, cabe ao empreendedor entender.

Dependendo do navegador e do sistema operacional que sua empresa usa, de 50 a mais de 100 organizações diferentes em todo o mundo são confiáveis ​​para garantir que sua experiência de navegação na internet seja segura. Essas organizações, CAs, emitem certificados de autenticação de servidor TLS/SSL. Esses certificados são usados ​​por bilhões de usuários todos os dias para verificar a identidade dos sites que você visita e garantir que todas as informações enviadas para esse site sejam criptografadas e protegidas de olhares indiscretos. Dada a importância crítica dessa tarefa de fornecer identidade na internet, é imperativo que as CAs operem sob um conjunto de requisitos claros para garantir a segurança e a conformidade.

As CAs nas quais os navegadores confiam hoje para emitir certificados TLS para sites seguros são realmente globais; cada CA tem a capacidade técnica de emitir um certificado para qualquer site. Do ponto de vista da segurança, cada CA é igual: a segurança geral na internet é tão forte quanto a CA mais fraca. Por esse motivo, deve ser estabelecido um padrão mínimo que garanta uma linha de base comum de segurança e conformidade à qual todas as CAs devem aderir.

Os principais navegadores exigem que as CAs confiáveis ​​operem de acordo com as políticas descritas nos Requisitos básicos do CA/Browser Fórum para a emissão e gerenciamento de certificados publicamente confiáveis. Esses requisitos são definidos e acordados por um grupo de CAs e navegadores e representam um conjunto comum de requisitos mínimos para o setor.

Garantindo a segurança

Depois que as alterações nos Requisitos de linha de base do CA/Browser Fórum são acordadas e finalizadas, essas alterações são incorporadas aos critérios de auditoria que são usados ​​pelos auditores para garantir que as CAs estejam aderindo aos requisitos. Esta etapa de traduzir as alterações do Requisito de Linha de Base em itens específicos que os auditores verificam durante seu trabalho de auditoria é uma parte crítica para garantir a segurança e a conformidade no setor. Dado que não há visibilidade externa das operações e controles internos em uma CA, as auditorias periódicas e a experiência dos auditores e o conhecimento dos padrões relevantes desempenham um papel importante na proteção do ecossistema de certificados. Se quaisquer requisitos não estiverem claros ou não estiverem totalmente definidos, diferentes auditores podem chegar a diferentes interpretações dos requisitos.

Os documentos de política que as CAs publicamente confiáveis ​​devem aderir para fornecer a base sobre a qual a confiança na Internet é construída. Dado seu papel crítico na segurança, requisitos claros são obrigatórios. Para elevar o nível da linha de base comum de segurança, as partes interessadas devem poder discutir abertamente possíveis ambiguidades nos requisitos para que possam ser abordadas. Mas, para que essa discussão ocorra, é preciso fomentar um ambiente que valorize o diálogo aberto e o compartilhamento de ideias. Reconhecendo o papel de documentos de política, como os Requisitos de linha de base do CA/Browser Fórum, como a base da segurança da Internet, apoiamos fortemente a discussão aberta e a melhoria contínua para fornecer orientações claras às CAs publicamente confiáveis.

Agora você entende a importância das CAs e como elas podem proteger seus negócios. Investir em segurança é essencial para as empresas de hoje. Não apenas porque protege os dados corporativos, mas também evita que informações de clientes e fornecedores caiam nas mãos de criminosos. Um caso de violação de dados pode prejudicar a reputação da sua empresa e custar muito mais do que você imagina. Por isso, se você deseja garantir uma experiência de navegação segura para o seu negócio, invista em certificados TLS.

Sobre a DigiCert, Inc.

DigiCert é a provedora mundial de escaláveis TLS/SSL, soluções PKI para identidade e encriptografia. As empresas mais inovadoras, incluindo 89% das organizações da Fortune 500 e 97 – de um total de 100 maiores bancos globais – escolheram a DigiCert por sua experiência em identidade e criptografia para servidores web e Internet das Coisas. DigiCert suporta TLS/SSL e outros certificados digitais e desenvolvimento para PKI em qualquer escala por meio da plataforma de gerenciamento de ciclo de vida, a CertCentral®. A organização é reconhecida pela sua plataforma de gerenciamento, rapidez e um suporte reconhecido ao usuário, além de líder de mercado em soluções de segurança. Para as últimas notícias e atualizações, visite digicert.com ou siga @digicert.

Dean Coclin *, Diretor Sênior de Desenvolvimento de Negócios da DigiCert.

isource@marketing


Compartilhar