|
Na comunicação
de dados e, particularmente, de informações
confidenciais, os padrões de segurança
precisam ser os mais elevados possíveis.
Potencialmente, os e-mails podem ser considerados
como cartões postais que todas as
pessoas que a ela tenham acesso podem ler.
Isto é alarmante, principalmente,
nas mensagens contendo informações
corporativas. Para excluir os confidentes
indesejáveis desse páreo, o
recurso mais eficiente é, e continuará sendo,
a criptografia que, em conjunto com outras
importantes ferramentas para proteção
como os antivírus, é a garantia
de comunicação por e-mail realmente
sigilosa e segura.
Hoje em dia, criptografar
os conteúdos que trafegam
no mundo virtual é indispensável.
Mais que isso, a criptografia precisa
tornar-se parte integrante da estratégia
corporativa de e-mail. Afinal, a
troca de conteúdos - confidenciais
ou não - enviados por e-mail,
vem sendo ameaçada constantemente,
ainda mais com a disseminação,
quase que diária, de novos
worms, que se espalham como chamas,
via endereços capturados da
própria caixa postal do usuário.
Daí até o acesso não
autorizado ao conteúdo das
mensagens é apenas um passo.
Quem envia dados por
via eletrônica precisa se certificar
de que nenhuma pessoa não
autorizada terá acesso a eles,
em nenhum estágio do processo
de comunicação. Para
se ter uma idéia, até mesmo
um super computador, com um milhão
de processadores, cada um deles capaz
de realizar um milhão de operações
aritméticas por segundo, precisaria
de cerca de 10 milhões de
anos para desbloquear uma codificação
simétrica em 128 bits, com
algoritmo a prova de erro. Frente
a isto, não há como
contestar sua validade para efeitos
de proteção do conteúdo.
Entretanto, a grande maioria das
pessoas e empresas envia dezenas
de mensagens, diariamente, sem se
preocupar por quais mãos -
e olhos - estas imagens irão
passar antes de chegar às
mãos do destinatário
correto.
A verdade é que
a criptografia das mensagens eletrônicas,
embora esteja longe de ser coisa
do passado, tem sido deixada um pouco
de lado. Infelizmente, alguns ainda
têm preconceitos em relação
ao uso desses aplicativos. Entre
os argumentos contrários está a
impossibilidade de se administrar
os conteúdos baseados no servidor
e a verificação de
vírus em mensagens criptografadas
no cliente, o que exclui a utilização
de mecanismos de verificação
de vírus ou de filtragem de
conteúdo localizado no servidor,
uma vez que as mensagens pré-codificadas
não conseguem ser lidas por
eles. Assim, a melhor saída é centralizar
a criptografia no servidor.
A justificativa é simples:
passar a verificação
de vírus e filtragem de conteúdo
para os clientes é muito cara,
uma vez que o software que realiza
a verificação de vírus
e criptografia precisa ser instalado
e configurado em cada máquina,
ter manutenção e atualização
contínuas. Além disso,
os próprios usuários
são responsáveis pelas
etapas do processo de criptografia,
o que implica em treinamento oneroso
e em um processo suscetível
a falhas. Outro complicador é que
cada usuário de e-mail também
precisa de uma chave ou par de chaves
exclusivas e, dependendo do tipo
do processo de criptografia, são
necessárias centenas ou milhares
de chaves que, normalmente, têm
que ser aplicadas via autoridades
de certificação autorizadas
e pagas. E ainda, as chaves dos funcionários
que se desligam da empresa perdem
a validade, sendo impossível
o acesso ao seu e-mail.
O mais sensato é transferir
essa etapa também para o servidor
e vinculá-la a outras áreas
do gerenciamento seguro de e-mails
- verificação de vírus
e de conteúdo, assinatura
automática, etc. Afinal, a
criptografia não precisa,
necessariamente, ser administrada
na estação cliente.
Note-se que para estabelecer uma
política de segurança
de e-mails, com uma estrutura de
comunicação segura, é importante
codificar as mensagens; incluir um
mecanismo central de verificação
de vírus e de filtro e controle
de conteúdo e todos os processos
devem ser realizados no servidor
para que os e-mails, rotineiramente
(ou seja, sem a intervenção
do usuário) saiam e cheguem à empresa
com o máximo de segurança.
Isto, além de
ser perfeitamente possível,
representa um diferencial bastante
significativo à segurança.
Já existem no mercado modernas
ferramentas e aplicativos, que centralizam
o gerenciamento no servidor, sem
interferir na performance. Essas
novas suítes de segurança
permitem que a criptografia seja
incorporada, de forma transparente,
a outros processos de gestão
de e-mails, inclusive a recursos
para monitoramento e controle.
Tais soluções
utilizam processos criptográficos
PGP (Pretty Good Privacy), GnuPG
(GNU Privacy Guard) e S/MIME (Secure
Multipurpose Internet Mail Extension)
padrão, que oferecem um nível
bastante elevado e seguro de criptografia.
Assim, instalada no servidor de correio,
permite que cada parte gere uma chave
corporativa, que é integrada
no devido procedimento de criptografia
(PGP, GnuPG, S/MIME), o que simplifica
enormemente a administração
de chaves. Estas novas tecnologias
contam ainda com plataformas modulares
de gestão de e-mails, o que
facilita integrar cada módulo.
De qualquer forma, para
se obter os mais elevados níveis
de segurança, a criptografia
deve ser empregada, sempre, até de
forma banal, uma vez que utiliza
processos seguros para codificar
o conteúdo da mensagem, garantindo
que somente o destinatário
correto poderá abri-la. E,
até agora, o caminho mais
viável é baseá-la
no servidor.
*Fernando Neves é diretor
da Gaia Informática, especializada
em sistemas de segurança de
rede.
Gaia Informática
Rua Novo Horizonte, 131
CEP. 01244-020 - São Paulo/SP
Tel. (11) 3156 9696 - Fax. (11) 3214-0089 - www.gaia.inf.br
Press Consult
Edilma Rodrigues Alves - (11) 3865-8555
pressconsult@pressconsult.com.br |
