Noções básicas sobre controles criptográficos em segurança da informação

Views: 343
0 0
Read Time:5 Minute, 28 Second

No ambiente digital atual, onde violações de dados e ameaças cibernéticas são cada vez mais comuns, a proteção de informações confidenciais surgiu como uma prioridade máxima. Os controles criptográficos desempenham um papel vital na proteção de ativos digitais e na manutenção da integridade dos dados nos sistemas de segurança da informação.

O que é criptografia?

A criptografia é o processo de proteger a comunicação e os dados, convertendo-os em uma forma ilegível, tornando-os incompreensíveis para indivíduos não autorizados. É um componente fundamental para proteger informações confidenciais de acesso não autorizado e garantir sua integridade.

A história da criptografia remonta a milhares de anos, com civilizações antigas usando vários métodos de criptografia para transmitir mensagens secretas. Mais tarde, eles foram desenvolvidos em algoritmos sofisticados.

Alguns tipos de criptografia são:

  • Criptografia – O processo de transformar texto sem formatação, que são dados simples e legíveis, no que é chamado de texto cifrado ou uma forma criptografada. Envolve o uso de um algoritmo de criptografia e uma chave criptográfica para converter os dados em um formato pouco claro.
  • Descriptografia – É o processo oposto de criptografia. Aqui, o texto cifrado criptografado é convertido de volta em texto sem formatação usando um algoritmo de descriptografia e a chave criptográfica apropriada.
  • Criptografia de chave simétrica – Muitas vezes conhecida como criptografia de chave secreta, emprega uma única chave para criptografia e descriptografia. A mesma chave secreta é compartilhada pelas partes comunicantes, garantindo uma comunicação segura e confidencial.
  • Criptografia de chave assimétrica – Requer o uso de duas chaves matematicamente vinculadas: uma chave pública que pode ser compartilhada para criptografia e uma chave privada secreta para decodificação. Esse tipo de criptografia também é conhecido como criptografia de chave pública.
  • Funções de hash – São métodos criptográficos usados para converter dados em uma cadeia de caracteres de comprimento fixo conhecida como valor de hash ou resumo, que mudará mesmo se os dados de entrada mudarem pouco.

Controles Criptográficos em Segurança da Informação

A função dos controles criptográficos

Os controles criptográficos servem como uma linha crucial de defesa contra várias ameaças, incluindo acesso não autorizado, violações de dados, adulteração e espionagem. Ao implementar controles criptográficos, as organizações podem estabelecer uma base segura para seus sistemas de segurança da informação.

A implementação de controles criptográficos traz diversos benefícios, tais como:

  • Confidencialidade – Os controles criptográficos garantem que apenas pessoas autorizadas possam acessar informações confidenciais, protegendo-as de divulgação não autorizada.
  • Integridade dos dados – Usando controles criptográficos, as organizações podem verificar a integridade dos dados e detectar quaisquer modificações ou adulterações não autorizadas.
  • Autenticidade – Os controles criptográficos fornecem um meio para verificar a autenticidade dos dados e as identidades das partes comunicantes, evitando a falsificação de identidade e garantindo a confiança.
  • Não-repúdio – Os controles criptográficos permitem a criação de assinaturas digitais, que fornecem evidências da origem e integridade dos dados eletrônicos, garantindo que as partes não possam negar seu envolvimento em uma transação.

Os controles criptográficos encontram aplicação em vários cenários e casos de uso dentro de sistemas de segurança da informação, incluindo proteção de dados, comunicação e transporte seguros, não repúdio de transações, etc.

O que são controles criptográficos na ISO/IEC 27001

A ISO/IEC 27001 é uma norma reconhecida internacionalmente que fornece uma abordagem sistemática para o gerenciamento de riscos de segurança da informação. Ele descreve um conjunto de requisitos e práticas recomendadas que as organizações podem seguir para estabelecer, implementar, manter e melhorar continuamente seu SGSI.

A criptografia desempenha um papel significativo dentro da estrutura ISO/IEC 27001 e as organizações que buscam a implementação da ISO/IEC 27001 devem cumprir os controles criptográficos apropriados para proteger seus ativos de informação.

A criptografia é explicitamente mencionada no anexo A Control 8.24 da norma ISO/IEC 27001:2022 como um meio de proteger as informações. Ele destaca a importância de selecionar e implementar controles criptográficos apropriados para mitigar riscos e garantir a confidencialidade, integridade e disponibilidade dos ativos de informação.

Requisitos de controles criptográficos

Enquanto os controles criptográficos são explicitamente mencionados na ISO/IEC 27001, a ISO/IEC 27002 os explica de maneira mais detalhada, fornecendo diretrizes e melhores práticas para implementá-los. Ele especifica vários requisitos relacionados a controles criptográficos que as organizações devem cumprir para atender ao padrão. Esses requisitos abrangem áreas como:

  • Identificação de riscos e controles criptográficos apropriados – A ISO/IEC 27002 enfatiza a necessidade de as organizações realizarem avaliações de risco para identificar os riscos potenciais associados aos seus ativos de informação. Essas avaliações de risco permitem que as organizações determinem os controles criptográficos apropriados a serem implementados.
  • Gerenciamento de chaves criptográficas – O gerenciamento eficaz de chaves é fundamental para garantir a segurança dos sistemas criptográficos. A ISO/IEC 27002 exige que as organizações estabeleçam procedimentos robustos de gerenciamento de chaves, com base em normas, procedimentos e métodos seguros. Ele inclui geração de chaves, armazenamento de chaves, distribuição de chaves, uso de chaves, backup de chaves, recuperação de chaves e descarte de chaves.
  • Algoritmos e protocolos criptográficos – A ISO/IEC 27002 incentiva a identificação e o uso de algoritmos e protocolos criptográficos considerados seguros e amplamente aceitos. As organizações devem avaliar a força e a adequação dos algoritmos criptográficos com base nas melhores práticas do setor.
  • Conformidade e considerações legais – A ISO/IEC 27002 enfatiza a importância de garantir regularmente a conformidade com quaisquer requisitos legais, regulamentares ou contratuais relacionados à criptografia.

Desenvolvendo uma política de controle criptográfico

Para garantir a implementação efetiva de controles criptográficos, as organizações devem desenvolver uma política de controle que descreva as diretrizes e os procedimentos para a utilização da criptografia em sua estrutura de segurança da informação.

Uma política de controle criptográfico serve como um documento abrangente que orienta as organizações na implementação e gerenciamento desses controles de forma consistente. Ele fornece instruções claras para garantir o uso adequado da criptografia e manter um ambiente seguro.

Alguns dos principais componentes de uma política de controle criptográfico são:

  • Declaração política e objectivos
  • Papéis e responsabilidades
  • Diretrizes de implementação de controles criptográficos
  • Principais procedimentos de gerenciamento
  • Resposta e relatórios de incidentes

Os controles criptográficos são ferramentas indispensáveis na segurança da informação, desempenhando um papel crucial na proteção de dados sensíveis e garantindo a integridade e a confidencialidade das informações. Compreender os conceitos básicos de criptografia, sua importância na ISO/IEC 27001 e o uso adequado de controles criptográficos é essencial para organizações que desejam estabelecer estruturas robustas de segurança da informação.

FONTE: PECB

POSTS RELACIONADOS