Entrevista Dr. Dean Coclin/ DigiCert: Orientações sobre segurança digital para empresas
O Jornal do Comércio do Ceará, na sua seção de Tecnologia entrevista o Dr. Dean Coclin, Diretor Sênior de Desenvolvimento de Negócios da Digicert.
A DigiCert é a provedora mundial de escaláveis TLS/SSL, soluções PKI para identidade e encriptografia. As empresas mais inovadoras, incluindo 89% das organizações da Fortune 500 e 97 – de um total de 100 maiores bancos globais – escolheram a DigiCert por sua experiência em identidade e criptografia para servidores web e Internet das Coisas. DigiCert suporta TLS/SSL e outros certificados digitais e desenvolvimento para PKI em qualquer escala por meio da plataforma de gerenciamento de ciclo de vida, a CertCentral®. A organização é reconhecida pela sua plataforma de gerenciamento, rapidez e um suporte reconhecido ao usuário, além de líder de mercado em soluções de segurança. Para as últimas notícias e atualizações, visite digicert.com ou siga @digicert.
JCC – Qual é a primeira coisa que uma empresa deve levar em consideração ao migrar seus negócios para o online?
Dean Coclin – Eu diria que a adoção do certificado SSL / TLS é fundamental para empresas que mudam seus negócios para o ambiente digital. SSL significa Secure Sockets Layer e é a tecnologia padrão para manter segura uma conexão à internet e proteger todos os dados confidenciais enviados entre dois sistemas, impedindo que criminosos leiam e modifiquem qualquer informação transferida, incluindo possíveis detalhes pessoais. Os dois sistemas podem ser um servidor e um cliente (um site de compras e navegador) ou um servidor para servidor (um aplicativo com informações pessoais identificáveis ou informações sobre folhas de pagamento).
O SSL usa algoritmos de criptografia para embaralhar os dados em trânsito, impedindo que os hackers os leiam à medida que são enviados pela conexão. Isto ajuda na proteção de informações pessoais, como número de cartão de crédito, telefone e e-mail.
O TLS (Transport Layer Security) é apenas uma versão atualizada e mais segura do SSL. Ainda se refere aos certificados de segurança como SSL porque é um termo usado com mais frequência, mas quando você compra SSL da DigiCert, na verdade, está comprando os certificados TLS mais atualizados com a opção de criptografia ECC e RSA.
Antes, os certificados TLS eram exclusivamente para transações financeiras, comércio eletrônico ou sites com senhas e logins de identificação pessoal. Hoje, o esforço para criptografar a web é impulsionado pela proteção da livre troca de ideias e da privacidade dos usuários contra olheiros de órgãos governamentais ou criminosos.
JCC – Quais são as principais ameaças digitais a um negócio online?
Dean Coclin – São várias, mas vou listar aqui as mais comuns. A primeira é o pishing, em que o ataque vem na forma de um e-mail parecido ao de um estabelecimento comercial, mas na verdade é de um hacker. O pharming também está se tornando cada vez mais popular. O criminoso pega o tráfego real de uma loja virtual e redireciona os acessos para uma página falsa, mas muito semelhante à original, o que torna difícil para o usuário entender que está em um ambiente invadido e não no site verdadeiro.
Há ainda o DDoS, que visa tornar um servidor, serviço ou infraestrutura indisponível. Ele pode assumir várias formas: uma sobrecarga da largura de banda do servidor para torná-lo indisponível ou um esgotamento dos recursos do sistema da máquina, impedindo o site de responder ao tráfego legítimo. E por último não podemos deixar de falar do roubo de dados, que coloca em risco as informações da empresa e de seus clientes.
JCC – Sabemos que no Brasil, especialmente as PMEs, passam por um momento complicado e justamente por isto têm medo de investir, seja em tecnologia ou qualquer outro serviço. Qual seu conselho para estas empresas?
Dean Coclin – O empreendedor deve ter em mente que o vazamento de dados e as falhas de segurança causam danos irreparáveis à reputação das companhias e podem custar caro, já que será preciso contratar equipes extras de TI para remediar a situação e, dependendo do caso, advogados. Fora isto, ninguém quer que seu e-commerce seja considerado inseguro. Portanto, ter um site confiável faz com que sua empresa ganhe credibilidade com aqueles que já fizeram compras, pois poderão recomendar seu e-commerce a conhecidos.
Os consumidores estão se tornando cada vez mais conscientes dos ataques cibernéticos e é comum ouvir sobre os clientes que abandonam o carrinho ao inserir seus dados financeiros, pois não se sentem seguros em avançar no processo. Portanto, ter um site que transmita essa segurança fará com que mais pessoas avancem no processo de compra.
JCC – Quais são as principais soluções que essas empresas devem adotar?
Dean Coclin – Ao adotar o certificado SSL / TLS, é importante lembrar que existem três tipos de validação: validação de domínio (DV), validação de organização (OV) e validação estendida (EV). O DV é o nível básico e ele apenas atesta que a empresa é proprietária do domínio, mas não comprova sua identidade como dona do site. Os certificados OV e EV fornecem segurança extra, pois garantem ao usuário que o site é legítimo, sendo que o VE é o mais completo pois exige provas abrangentes da identidade do operador do site.
Além da adoção do certificado SSL / TLS, é importante investir em certificados de cliente para assinatura de e-mail, criptografia de e-mail, autenticação de usuário e de dispositivo. As PMEs devem considerar soluções que usem um agente que possa ser implantado externamente e internamente, fazendo assim uma varredura de sua rede para encontrar vulnerabilidades.
JCC – O que devo considerar ao procurar a empresa que fornece esse serviço?
Dean Coclin – Ao procurar um parceiro da Autoridade Certificadora (CA), ao invés de considerar apenas o preço, analise a reputação da empresa, veja a lista de seus principais clientes, se informe sobre o atendimento ao cliente e também pergunte quais outras ferramentas ela oferece, como um gerenciador de certificados centralizado, que irá ajudar na automatização de tarefas. Os melhores parceiros da CA são especialistas em seu campo e oferecem suporte a seus parceiros, ajudando-os a proteger seus dados e de seus clientes.