Compreendendo os controles criptográficos na segurança da informação

Compreendendo os controles criptográficos na segurança da informação. No ambiente digital de hoje , onde violações de dados e ameaças cibernéticas são cada vez mais comuns, a proteção de informações confidenciais surgiu como uma prioridade. Os controles criptográficos desempenham um papel vital na proteção de ativos digitais e na manutenção da integridade dos dados em sistemas de segurança da informação. 

O que é Criptografia? 

A criptografia é o processo de proteger a comunicação e os dados, convertendo-os em um formato ilegível, tornando-os incompreensíveis para indivíduos não autorizados. É um componente fundamental na proteção de informações confidenciais contra acesso não autorizado e na garantia de sua integridade. 

A história da criptografia remonta a milhares de anos, com civilizações antigas usando vários métodos de criptografia para transmitir mensagens secretas. Mais tarde, eles foram desenvolvidos em algoritmos sofisticados.

Alguns tipos de criptografia são:

  • Criptografia – O processo de transformar texto simples, que são dados simples e legíveis, no que é chamado de texto cifrado ou forma criptografada. Envolve o uso de um algoritmo de criptografia e uma chave criptográfica para converter os dados em um formato pouco claro.
  • Descriptografia – É o processo oposto da criptografia. Aqui, o texto cifrado criptografado é convertido novamente em texto simples usando um algoritmo de descriptografia e a chave criptográfica apropriada.
  • Criptografia de Chave Simétrica – Geralmente conhecida como criptografia de chave secreta, emprega uma única chave para criptografar e descriptografar. A mesma chave secreta é compartilhada pelas partes comunicantes, garantindo uma comunicação segura e confidencial.
  • Criptografia de chave assimétrica – Requer o uso de duas chaves ligadas matematicamente: uma chave pública que pode ser compartilhada para criptografia e uma chave privada secreta para decodificação. Esse tipo de criptografia também é conhecido como criptografia de chave pública.
  • Funções de hash – são métodos criptográficos usados para converter dados em uma cadeia de caracteres de comprimento fixo conhecida como valor de hash ou resumo, que mudará mesmo se os dados de entrada mudarem pouco.

Controles criptográficos na segurança da informação

O papel dos controles criptográficos Os controles criptográficos servem como uma linha de defesa crucial contra várias ameaças, incluindo acesso não autorizado, violação de dados, adulteração e espionagem. Ao implementar controles criptográficos, as organizações podem estabelecer uma base segura para seus sistemas de segurança da informação.

A implementação de controles criptográficos traz diversos benefícios, como:

  • Confidencialidade – Os controles criptográficos garantem que apenas pessoas autorizadas tenham acesso a informações confidenciais, protegendo-as de divulgação não autorizada.
  • Integridade dos dados – Ao usar controles criptográficos, as organizações podem verificar a integridade dos dados e detectar quaisquer modificações ou adulterações não autorizadas.
  • Autenticidade – Os controles criptográficos fornecem um meio de verificar a autenticidade dos dados e as identidades das partes que se comunicam, evitando a representação e garantindo a confiança.
  • Não repúdio – Os controles criptográficos permitem a criação de assinaturas digitais, que fornecem evidências da origem e integridade dos dados eletrônicos, garantindo que as partes não possam negar seu envolvimento em uma transação.

Os controles criptográficos encontram aplicação em vários cenários e casos de uso em sistemas de segurança da informação, incluindo proteção de dados, comunicação e transporte seguros, não repúdio de transações, etc.

O que são controles criptográficos em ISO

ISO/IEC 27001 é um padrão reconhecido internacionalmente que fornece uma abordagem sistemática para gerenciar riscos de segurança da informação. Ele descreve um conjunto de requisitos e melhores práticas que as organizações podem seguir para estabelecer, implementar, manter e melhorar continuamente seu SGSI.

A criptografia desempenha um papel significativo na estrutura da ISO/IEC 27001 e as organizações que buscam a implementação da ISO/IEC 27001 devem cumprir os controles criptográficos apropriados para proteger seus ativos de informações.

A criptografia é explicitamente mencionada no anexo A Controle 8.24 da norma ISO/IEC 27001:2022 como um meio de proteger as informações. Ele destaca a importância de selecionar e implementar controles criptográficos apropriados para mitigar riscos e garantir a confidencialidade, integridade e disponibilidade dos ativos de informação.

Requisitos de controles criptográficos

Enquanto os controles criptográficos são mencionados explicitamente na ISO/IEC 27001, a ISO/IEC 27002 os explica de maneira mais detalhada, fornecendo diretrizes e melhores práticas para implementá-los. Ele especifica vários requisitos relacionados a controles criptográficos que as organizações devem cumprir para atender ao padrão. Esses requisitos abrangem áreas como:

  • Identificação de riscos e controles criptográficos apropriados – a ISO/IEC 27002 enfatiza a necessidade de as organizações realizarem avaliações de risco para identificar os riscos potenciais associados a seus ativos de informação. Essas avaliações de risco permitem que as organizações determinem os controles criptográficos apropriados a serem implementados.
  • Gerenciamento de chaves criptográficas – O gerenciamento eficaz de chaves é fundamental para garantir a segurança dos sistemas criptográficos. A ISO/IEC 27002 exige que as organizações estabeleçam procedimentos robustos de gerenciamento de chaves, com base em padrões, procedimentos e métodos seguros. Inclui geração de chaves, armazenamento de chaves, distribuição de chaves, uso de chaves, backup de chaves, recuperação de chaves e descarte de chaves.
  • Algoritmos e protocolos criptográficos – a ISO/IEC 27002 incentiva a identificação e o uso de algoritmos e protocolos criptográficos considerados seguros e amplamente aceitos. As organizações devem avaliar a força e a adequação dos algoritmos criptográficos com base nas melhores práticas do setor.
  • Conformidade e considerações legais – ISO/IEC 27002 enfatiza a importância de garantir regularmente a conformidade com quaisquer requisitos legais, regulatórios ou contratuais relacionados à criptografia.

Desenvolvendo uma Política de Controle Criptográfico

Para garantir a implementação eficaz de controles criptográficos, as organizações devem desenvolver uma política de controle que descreva as diretrizes e procedimentos para a utilização da criptografia em sua estrutura de segurança da informação.

Uma política de controle criptográfico serve como um documento abrangente que orienta as organizações na implementação e gerenciamento desses controles de forma consistente. Ele fornece instruções claras para garantir o uso adequado da criptografia e manter um ambiente seguro.

Alguns dos principais componentes de uma política de controle criptográfico são:

  • Declaração de política e objetivos
  • Papéis e responsabilidades
  • Diretrizes de implementação de controles criptográficos
  • Procedimentos de gerenciamento de chaves
  • Resposta e relatórios de incidentes

Os controles criptográficos são ferramentas indispensáveis na segurança da informação, desempenhando um papel crucial na salvaguarda de dados sensíveis e na garantia da integridade e confidencialidade das informações. Compreender os conceitos básicos de criptografia, seu significado na ISO/IEC 27001 e o uso apropriado de controles criptográficos é essencial para organizações que desejam estabelecer estruturas robustas de segurança da informação.

Por: Vlerë Hyseni – Digital Content Officer at PECB, publicado em PECB

Veja também:

 

Sobre mindsecblog 2427 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. Mais de 300.000 firewalls Fortinet vulneráveis | Minuto da Segurança da Informação
  2. Microsoft nega violação de dados e roubo de 30 milhões de contas de clientes | Minuto da Segurança da Informação
  3. Siemens Energy confirma violação de dados | Minuto da Segurança da Informação
  4. Novo malware Mystic Stealer atinge 40 navegadores e 70 extensões | Minuto da Segurança da Informação
  5. ANPD Divulga a primeira aplicação de Multa com inconsistências! | Minuto da Segurança da Informação
  6. Mais de 10 milhões de senhas vazadas mensalmente no Brasil | Minuto da Segurança da Informação
  7. O sono do CISO: Sonho ou Pesadelo? | Minuto da Segurança da Informação

Deixe sua opinião!