Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

As 10 principais tendências em TI para 2014 – Criptografia de dados arquivados é fundamental

As empresas que utilizam serviços gerenciados ou armazenam seus dados em cloud, devem estar atentas também à destruição dos dados criptografados. É extremamente importante manter registros que se apliquem a estes dados para propósitos de auditoria

Hu Yoshida, vice presidente e CTO global da Hitachi Data Systems, dá continuidade à sua lista das 10 principais tendências em TI para 2014, publicada inicialmente em seu blog corporativo e reproduzida com exclusividade pela CIO no Brasil.

Abaixo, a CIO publica a análise da nona tendência, em que o executivo questiona a forma se os dados confidenciais estão sendo destruídos corretamente e os tipos de registro de destruição de dados mais adequados para atender as demandas e diretrizes de compliance.

Tendência 9: Criptografia de dados arquivados torna-se fundamental

Há pouco tempo, conversava com um cliente sobre capacity-on-demand e ele disse que havia contratado, em leasing, um programa de armazenamento que era renovado a cada três anos. Quando perguntei o que ele fazia para garantir que seus dados confidenciais fossem totalmente destruídos quando decidisse finalizar seu contrato, ele ficou mudo. Ou não estava ciente do que estava sendo feito nesse sentido, ou acreditava que seu fornecedor cuidaria para que nenhum dos dados de sua companhia permanecesse armazenados após o fim do contrato. A mesma resposta veio de um cliente que utilizava armazenamento em cloud para atender suas necessidades sazonais. Idealmente, deveria haver algum tipo de registro da destruição dos dados ao fim do contrato para atender as demandas e diretrizes de compliance.


A maneira mais fácil de destruir mídias utilizadas para o armazenamento de dados é a destruição por meio de criptografia, apagando-se as chaves criptografadas.. Outros métodos para destruir os dados incluem substituí-los por padrões aleatórios, de acordo com a norma americana DOD 5220.22-M, o que pode levar horas, dependendo da capacidade da mídia, por desmagnetização, que também torna a mídia inutilizável, ou ainda por destruição física.

A criptografia intensa de dados com geração aleatória de chaves garante que todo o conteúdo esteja protegido não apenas enquanto arquivado, mas também depois que a mídia for aposentada. Também permite que o disco seja reutilizado no mercado de segunda mão sem o risco de expor suas informações. E, por outro lado, facilita que empresas fabricantes de mídias também tenham a possibilidade de recuperar os discos para análise de eventuais falhas, caso solicitado, algo impensado até pouco tempo atrás. Antes, os discos com defeitos eram destruídos pelo cliente para evitar expor seus dados, o que tornava difícil analisar as causas das falhas.

Os fabricantes de mídias oferecem discos com auto-criptografia (SED), mas a criptografia no disco limita a flexibilidade de configuração, e eu não conheço discos flash com auto-criptografia.

Se você está armazena dados em cloud ou os transfere a terceiros, deve cuidar para que o fornecedor não apenas criptografe seus dados arquivados, mas também os destrua por meio de criptografia quando eles forem movimentados ou excluídos, para que a empresa ofereça um registro de eventuais mudanças em criptografia e no gerenciamento de chaves. De outro modo, a privacidade de seus dados estará ameaçada e você não estará em dia com a auditoria de compliance.

A Hitachi Data Systems utiliza criptografia intensa de acordo com o AES 256 em modo XTS. AES 256 significa Advanced Encryption Standard (ou Padrão de Criptografia Avançada) com uma chave de 256 bits. O modo XTS é um algoritmo de criptografia para discos, o que inclui a chave criptográfica, o dado em si, o número do setor em que os dados estão armazenados, e o número do bloco dentro do setor. Todos os eventos de criptografia e gerenciamento de chave são registrados. Se o gerenciamento de chave externo via KMIP for selecionado, um Módulo de Segurança de Hardware (HSM - Hardware Security Module) será solicitado. O HSM é um processador de criptografia seguro com o principal propósito de gerenciar chaves criptográficas e operações de criptografia aceleradas utilizando tais chaves. Os módulos geralmente oferecem recursos de proteção tais como autenticação intensa e resistência a alterações físicas. SafeNet e Thales são exemplos de produtos HSM.

A criptografia de dados arquivados deveria ser fundamental para as empresas de armazenamento. Os chips de criptografia, o padrão de gerenciamento de chaves e os fabricantes HSM da Hitachi Data Systems estão disponíveis para dar suporte ao gerenciamento de chaves externo. Isso garantirá que a privacidade de seus dados esteja intacta mesmo depois que você aposente a mídia em que eles estavam armazenados. Os custos são mínimos e não há mais desculpas para não proteger seus dados com criptografia intensa. Se você utiliza serviços gerenciados ou armazena seus dados em cloud, cuide para que seus dados sejam criptografados enquanto arquivados e que sejam destruídos com criptografia quando movimentados ou excluídos. Também é importante que haja um registro que demonstre a criptografia e eventos ligados ao gerenciamento de chaves que se apliquem aos seus dados para propósitos de auditoria.

Fonte: CIO