0
0
Nesta entrevista à Help Net Security, Deepika Chauhan, CPO da DigiCert, fala sobre a importância de manter altos níveis de garantia de confiança para as empresas no cenário digital atual.
Como a DigiCert define “confiança digital” e por que é essencial para as empresas manter altos níveis de garantia de confiança no cenário digital atual?
Nosso mundo hoje é hiper conectado. Os dispositivos estão em toda parte. As pessoas estão online constantemente. Os dados confidenciais foram movidos para a nuvem. Até mesmo a tecnologia operacional principal está sendo rearquitetada como infraestrutura conectada.
A confiança digital nos permite construir, participar e fazer crescer o mundo conectado em que vivemos. Ele reduz o risco de interrupção dos negócios, protege superfícies de ataque e melhora a agilidade, além de impulsionar a inovação digital com impacto no mundo real. A Confiança Digital é a infraestrutura fundamental que nos permite ter a confiança de que todas as coisas que agora fazemos on-line – sejam interações, transações ou processos de negócios – são seguras e confiáveis.
Uma estrutura de confiança digital abrangente tem quatro pilares principais:
Padrões robustos são necessários para definir a confiança e torná-la interoperável. Por exemplo, você pode decidir usar certificados digitais padrão do setor para fornecer identidades invioláveis para todos os seus usuários, dispositivos e cargas de trabalho.
Operações rigorosas e conformidade são necessárias para estabelecer e validar continuamente essa confiança, aproveitando uma autoridade de certificação que tenha maturidade operacional comprovada e controles auditáveis rigorosos.
As empresas precisam gerenciar a confiança em toda a organização. Eles têm milhares ou milhões de certificados e ativos criptográficos com diferentes períodos de validade implantados em uma ampla pegada digital. Eles precisam de ferramentas de detecção, automação, notificação e integração para gerenciar isso de forma eficaz.
Por fim, as empresas precisam da capacidade de estender a confiança em seu ecossistema e cadeia de suprimentos para aproveitar todos os benefícios da transformação digital confiável. Isso pode ser para seus parceiros, cadeia de suprimentos e APIs.
Estamos ansiosos para saber mais sobre sua colaboração mais recente com a Oracle. Você pode compartilhar os detalhes emocionantes deste anúncio?
Anunciamos uma parceria com a Oracle Cloud Infrastructure que adicionará disponibilidade nativa do DigiCert ONE no OCI, reunindo a infraestrutura de nuvem segura e escalável do OCI com os melhores benefícios do portfólio de confiança digital da DigiCert. Devido à arquitetura nativa da nuvem do DigiCert ONE, ele fornece um rápido tempo de implantação simples para que os clientes possam proteger todos os seus ativos digitais na nuvem.
Com o DigiCert ONE, os clientes podem proteger usuários, dispositivos, servidores, documentos, software e muito mais com uma arquitetura unificada que centraliza o gerenciamento de iniciativas de confiança digital. O DigiCert ONE é uma plataforma SaaS moderna, multilocatária e nativa da nuvem, com a flexibilidade de ser implantada na nuvem privada dos clientes ou no local, se necessário.
O OCI fornece uma infraestrutura de nuvem com segurança integrada e sempre ativa que oferece conformidade com rigorosos protocolos e operações de segurança. Ele também oferece alto desempenho e confiabilidade com preços simplificados e transparentes e opções flexíveis para ajudar os clientes a atender às suas necessidades comerciais exclusivas, seja no local, na nuvem pública, usando vários fornecedores de nuvem ou uma combinação.
PKI e certificados digitais são abordagens comuns para alcançar a confiança digital. Você pode explicar o papel da PKI na segurança do cenário digital, particularmente no contexto do Global 2000?
A Infraestrutura de Chave Pública (PKI) desempenha um papel crucial na proteção do cenário digital, fornecendo um método seguro para trocar informações e verificar as identidades das partes envolvidas em transações digitais. Do fundo do oceano à borda do espaço, a PKI estabelece a confiança digital.
A PKI é usada para estabelecer confiança entre as partes na comunicação digital, autenticando a identidade de usuários, dispositivos e fluxos de trabalho, garantindo que os dados transmitidos entre eles estejam protegidos contra espionagem, adulteração e falsificação. Isso é obtido por meio do uso de certificados digitais que contêm chaves criptográficas que são usadas para criptografar e assinar mensagens.
Para as maiores e mais influentes empresas do mundo que compõem o Global 2000, o gerenciamento centralizado de PKI é particularmente importante. Essas empresas lidam com grandes quantidades de dados sensíveis, incluindo informações financeiras, dados pessoais e propriedade intelectual. O gerenciamento centralizado de PKI ajuda a garantir que esses dados estejam protegidos contra roubo ou acesso não autorizado, minimizando o risco de perdas financeiras, danos à reputação e responsabilidades legais.
Na DigiCert, nossas raízes estão na PKI e nos certificados digitais. Fornecemos a infraestrutura fundamental para que organizações e indivíduos tenham confiança ao fazer qualquer coisa on-line. Outra maneira de olhar para isso é pensar no DigCert como o encanamento invisível da internet. Um equívoco comum é que a PKI é usada apenas para segurança na Web; no entanto, a realidade é que a PKI é um componente perfeito para um ecossistema digital muito mais amplo, incluindo usuários, dispositivos, conteúdo em várias formas, assinaturas de documentos legalmente vinculantes, software que é executado em todos os aplicativos digitais.
Os clientes da DigiCert estão usando PKI para obter confiança digital para uma ampla variedade de casos de uso. Isso inclui proteger dispositivos médicos conectados para melhorar o atendimento ao paciente, melhorar a confiança do usuário nos dados eleitorais, proteger a coleta e a análise da telemetria do dispositivo para melhorar as operações de varejo e automatizar a autenticação de usuários e dispositivos para serviços de TI corporativos. Por exemplo, se você mora na Europa e tem uma smart TV, ela é protegida pela DigiCert.
Vimos uma quantidade constante de ataques recentemente à cadeia de suprimentos de software, aumentando a necessidade de confiança digital. Quais são algumas das vulnerabilidades mais comuns que surgem de processos de assinatura de código ruins e como o DigiCert aborda esses problemas?
Os processos modernos de desenvolvimento de software, como o DevOps, são altamente automatizados. Um engenheiro clica em um botão que aciona uma sequência de etapas complicadas, mas automatizadas. Se uma parte dessa sequência (por exemplo, assinatura de código) for manual, é provável que a etapa seja perdida porque todo o resto é automatizado.
Erros como usar o certificado errado ou as opções de linha de comando erradas podem acontecer. No entanto, o maior perigo geralmente é que o desenvolvedor armazenará chaves de assinatura de código privado em um local conveniente (como seu laptop ou servidor de compilação) em vez de um local seguro.
Roubo de chaves, chaves usadas indevidamente, violações de servidor e outros processos inseguros podem permitir que o código com malware seja assinado e distribuído como software confiável. As empresas precisam de uma solução de assinatura de código segura e de nível empresarial que se integre ao pipeline de CI/CD e aos fluxos de trabalho automatizados de DevOps, mas também forneça proteção de chave e imposição de política de assinatura de código.
A DigiCert resolve esses problemas com sua plataforma SaaS segura, o DigiCert Software Trust Manager, que usa controles e técnicas de segurança avançados para limitar o acesso de chaves de assinatura de código privado a signatários autorizados. O Software Trust Manager armazena chaves de assinatura em um local offline seguro quando elas não estão sendo usadas, protegendo-as contra roubo ou uso indevido. Ele fornece recursos abrangentes de auditoria e geração de relatórios, o que permite que as organizações rastreiem e monitorem as atividades de assinatura de código em tempo real. Isso ajuda a identificar quaisquer ameaças ou problemas potenciais, permitindo resposta proativa e mitigação.
O Software Trust Manager tem como alvo o problema de gerenciamento manual de chaves para garantir a assinatura segura de código em todos os estágios do processo de criação de software para uma experiência confiável de DevSecOps em toda a organização.
Com o aumento do trabalho remoto e dos processos de negócios digitais, como a demanda por confiança de assinatura em fluxos de trabalho de assinatura eletrônica de documentos evoluiu e quais medidas a DigiCert tomou para atender a essas necessidades crescentes?
A transformação digital e o trabalho remoto aumentaram a necessidade de comunicações e transações digitais, e indivíduos, equipes e organizações têm buscado cada vez mais a assinatura digital de documentos. De facto, a maioria dos documentos hoje em dia são assinados eletronicamente e as assinaturas vinculativas digitais para transações são particularmente de forte interesse na UE e têm a atenção dos reguladores, que exigem altos níveis de garantia da identidade do signatário. O regulamento da UE relativo à identificação eletrónica e aos serviços de confiança (eIDAS) tem requisitos muito específicos para que as assinaturas digitais sejam aceites e retidas num tribunal. A DigiCert oferece várias opções como um provedor de serviços confiável da UE para ajudar os clientes. Vemos movimentos semelhantes no Japão e em outros países para exigir níveis mais altos de garantia sobre assinaturas digitais.
Recentemente, nossa solução ajudou um grande país asiático a melhorar a confiança em suas eleições nacionais. Implementamos a validação remota de identidade dos mesários, que puderam assinar criptograficamente os resultados das cédulas e enviá-los com segurança para a nuvem. Isso melhorou a velocidade da contagem, que também era resistente a adulterações.
O DigiCert Document Trust Manager permite que as organizações e as principais soluções de fluxo de trabalho de assinatura eletrônica obtenham assinaturas digitais confiáveis e compatíveis que oferecem experiências de assinatura e selagem mais flexíveis em uma ampla gama de casos de uso.
No cenário digital em rápida evolução, como a DigiCert permanece na vanguarda da inovação e continua a fornecer soluções de ponta para garantir a confiança digital?
A DigiCert participa ativamente e impulsiona muitos padrões de confiança digital. Lideramos muitos esforços e criamos regularmente requisitos para o CA/Browser Forum. Desempenhamos um papel importante no lançamento do Matter 1.0 pela Connectivity Standards Alliance (e fomos o primeiro CA raiz da Matter), estamos definindo padrões para veículos elétricos, o setor financeiro, a confiança da UE, estamos envolvidos em iniciativas de criptografia pós-quântica e muito mais. Com esses padrões em vigor, temos um programa de conformidade muito rigoroso, com auditorias 25+ todos os anos para garantir que não apenas estamos atendendo aos requisitos de linha de base, mas que estamos definindo a referência do setor de como você deve estar em conformidade e seguro contra alguns desses controles.
Nosso serviço está disponível globalmente e temos clientes em mais de 180 países. Nosso suporte é de classe mundial, com um Net Promoter Score (NPS) para suporte em meados dos anos 70. O NPS médio para empresas SaaS é de cerca de 40. Temos um modelo de entrega 24/7 365 follow-the-sun e, portanto, combinado com grandes padrões e grande suporte, temos uma plataforma que pode se estender a todos os setores, países e casos de uso.
O investimento da DigiCert em padrões, conformidade e operações define a referência para uma abordagem abrangente para definir e estabelecer confiança digital. Disponibilizamos todo esse trabalho em nossa solução DigiCert ONE, a plataforma de gestão de confiança digital. Também fornecemos tecnologia para estender a confiança em ecossistemas em rápido crescimento, como cadeias de suprimentos para software e dispositivos, criptografia pós-quântica, integridade de conteúdo e muito mais.
FONTE: HELPNET SECURITY