O que aconteceria se você perdesse um dispositivo móvel carregado com dados sigilosos? ? Com a criptografia, você pode ficar tranqüilo
Confira reportagem especial sobre o uso de criptografia em dispositivos móveis, importante quesito de segurança em caso de perdas de laptops ou smartphones com dados cadastrais.
Cobrindo sua retaguarda
Se um dispositivo com dados sigilosos for perdido, você precisará provar que ele realmente estava criptografado. A auditoria é fundamental para limitar os prejuízos. Felizmente, esse é um recurso que todas as suítes de criptografia com gerenciamento centralizado oferecem. A SafeBoot tem, até mesmo, auditorias de flash drives de USB criptografados, o que é muito útil, porque o tamanho pequeno dos drives de USB torna mais provável que eles sejam perdidos.
O File Armor, da Mobile Armor, cria arquivos com capacidade de auto-decodificação, que são muito úteis para o compartilhamento de arquivos com dados sigilosos entre usuários ou com parceiros de negócios. Mas o que há de melhor nesse produto é que quando um usuário tenta decodificar o arquivo, o software de decodificação verifica no console de gerenciamento se o acesso ao arquivo não foi revogado e, então, registra o acesso.
A capacidade de forçar um dispositivo a criptografar, por meio de políticas, e de fornecer registros demonstrando que ele foi criptografado e verificado recentemente no console de gerenciamento pode ser a diferença entre investir muito dinheiro e boa-vontade corporativa notificando clientes de que seus dados foram roubados e apenas assumir os custos de um laptop perdido.
A política das políticas
Já dissemos antes e vamos afirmar novamente: o sucesso da segurança começa com políticas abrangentes. Isso é especialmente verdadeiro em relação à criptografia móvel. Não há como ignorar o fato de que a criptografia de dispositivos é inconveniente para os usuários. Uma política ajudará a conseguir o apoio dos executivos, que é vital para diminuir a resistência. Suas políticas deverão definir exatamente quais dados precisam ser protegidos e em que circunstâncias, e limitar a quantidade de dados sigilosos armazenados em dispositivos móveis, favorecendo, desse modo, o acesso remoto seguro. Seu objetivo é evitar que alguém não autorizado possa acessar dados. Limitar a criptografia a esse perfil de ameaça pode simplificar bastante o desenvolvimento de um sistema de criptografia e aumentar a facilidade de uso.
Sempre que usuários precisem levar dados consigo, a quantidade desses dados deverá ser a mínima necessária. Um analista de negócios estudando as tendências de compra de clientes não precisa armazenar números de cartões de crédito. Fundamental para a adequação: incluir em sistemas de dados corporativos a capacidade de excluir dados sigilosos do recurso de exportar ou, melhor ainda, dificultar a criação de um formato portátil.
Tudo é uma questão de tamanho
PDAs e smartphones podem até mesmo ser mais difíceis de serem criptografados do que os laptops. Primeiro, porque é difícil inserir senhas complexas ? principalmente caracteres especiais ? em teclados pequenos, e a autenticação envolvendo diversos fatores é quase impossível. Isso pode impedir a integração da autenticação de dispositivos móveis no sistema de autenticação corporativo. A capacidade limitada de processamento, característica dos pequenos dispositivos, também significa que a necessidade de recorrer à computação extra para realizar a criptografia pode diminuir consideravelmente a velocidade de processamento.
E, por fim, a natureza característica dos smartphones significa que é preciso tomar cuidado para que a criptografia não prejudique a funcionalidade. Criptografar o banco de dados de uma agenda pode ser uma boa idéia, por exemplo, mas se o notificador por alarme não puder ler as anotações porque a senha não foi inserida, ele não poderá avisar seu proprietário das reuniões marcadas na agenda.
Por isso, existe o armazenamento portátil em USB. Gostamos da nova linha de hardware da SafeBoot ? drives de USB criptografados, que não exigem o uso de software, e em vez disso dependem de uma leitora biométrica de impressões digitais para fornecer as chaves da criptografia. Esses drives também podem ser gerenciados por meio da Central de Gerenciamento da SafeBoot, que pode lidar com alterações de senhas, recuperação de chaves e, até mesmo, bloqueio de dispositivos.
Como se o suporte técnico a usuários fora do escritório já não fosse suficientemente difícil, agora, você está dando a eles mais uma senha para ser esquecida. Será preciso fornecer métodos para ajudar os usuários em campo a desbloquear seus dispositivos; os produtos de nível mais corporativo são compatíveis com alguma forma de recuperação de chave. Por exemplo, o PGP Whole Disk Encryption resolve este problema armazenando uma senha, que será usada uma só vez, no servidor de gerenciamento. Se um usuário esquecer sua senha, a central de atendimento pode ler uma seqüência de caracteres com 32 dígitos ou enviá-la em uma mensagem por SMS. Uma vez que o usuário ativa o token de recuperação e inicia o laptop, o sistema solicita uma alteração de senha, o token de recuperação é invalidado, e um novo é enviado para o servidor, da próxima vez.
Esta capacidade também é crucial para situações em que é preciso acessar os dados de um laptop, mas o usuário não trabalha mais para a companhia. Algumas empresas de TI utilizam até mesmo o token de recuperação como um meio controlado de dar à central de atendimento acesso a um laptop trazido para realizar algum serviço, ao passo que outros com capacidade de atribuição menos rígida criam uma frase-senha separada para criptografia, que é compartilhada entre os técnicos da central de atendimento com essa finalidade.
Leia a primeira parte da reportagem clicando aqui.
