L'implementazione di strategie e soluzioni appropriate rappresenta una sfida costante in questo processo. Nella sicurezza informatica, tutto inizia con la scelta tra software e hardware per l'archiviazione, la gestione e l'operatività delle chiavi crittografiche.
Di fronte alla trasformazione digitale, aziende di diverse dimensioni e settori sono alla ricerca di tecnologie che garantiscano conformità, sicurezza e prestazioni. L'approvazione della Legge Generale sulla Protezione dei Dati (GDPR); il lancio previsto del nuovo sistema di pagamento istantaneo (PIX) a novembre; e la migrazione accelerata verso l'e-commerce sono esempi di cambiamenti che richiedono innovazioni di mercato.
L'implementazione di strategie e soluzioni appropriate rappresenta una sfida costante in questo processo. Nella sicurezza informatica, tutto inizia con la scelta tra software e hardware per l'archiviazione, la gestione e l'operatività delle chiavi crittografiche.
La crittografia è la base per la protezione di dati e transazioni. Funziona come un codice che cripta le informazioni quando vengono memorizzate o trasmesse, impedendone la decifrazione a chiunque non abbia accesso a questo codice, chiamato anche chiave crittografica. Qual è il modo migliore per proteggere questa chiave? In una cassaforte o nascosta sotto il tappeto?
Inserire la chiave all'interno di un elemento fisico – un hardware – migliora chiaramente la sicurezza, ma comporta un investimento iniziale maggiore. È proprio questo rapporto tra costo e protezione che le aziende devono valutare, con particolare attenzione ai benefici a lungo termine.
Le soluzioni software hanno un costo di acquisizione iniziale inferiore, motivo per cui sono le più diffuse. Tuttavia, vale la pena notare che tutti gli attacchi, le fughe di informazioni e i furti di dati riusciti si verificano in aziende che utilizzano soluzioni basate su software. Per questo motivo, la soluzione hardware, meglio conosciuta sul mercato come HSM (modulo crittografico hardware o Modulo di sicurezza hardware, in inglese) è la scelta corretta.
Uno dei principali difetti del software è che la sicurezza della chiave crittografica è direttamente correlata al dispositivo su cui è archiviata. Se l'azienda utilizza un sistema operativo obsoleto, ad esempio, le chiavi saranno vulnerabili.
O HSM Funziona come una cassaforte digitale, il cui scopo è conservare e proteggere queste chiavi. Dopo aver generato o importato la chiave nell'HSM, questa verrà conservata e gestita solo dai responsabili nominati dall'organizzazione. Queste figure possono variare a seconda della politica di sicurezza informatica dell'azienda.
Un buon esempio per illustrare queste differenze nella pratica è PIX, che richiederà una firma digitale (un tipo di autenticazione) per tutte le transazioni. Se un aggressore ottiene la chiave di firma, può impersonare l'azienda e firmare importi diversi per le transazioni, generando un'enorme perdita monetaria. In pratica, chiunque con un minimo di conoscenze può hackerare il sistema e rubare le chiavi. Se l'ambiente è vulnerabile, anche le chiavi lo sono, rendendo impossibile ricostruire i percorsi di accesso per scoprire chi ha causato la perdita.
Grazie all'HSM, è possibile tracciare tutte le azioni e gli accessi al dispositivo, consentendo, ad esempio, l'esposizione di questi dati in caso di audit. In altre parole, l'azienda sarà pienamente tutelata dalla legge. Inoltre, l'HSM può comunicare con qualsiasi sistema, software, server, ecc. Grazie all'API dedicata, l'HSM stabilisce un canale sicuro (uno dei presupposti della crittografia) per la comunicazione, facilmente integrabile con le API di mercato.
In breve, utilizzare HSM è semplice, pratico e molto più sicuro. Grazie a tutti questi vantaggi, è già possibile osservare un cambio di paradigma nel mercato, con molte aziende che implementano HSM al posto del software. Un'altra tendenza che rafforza sempre più l'adozione di soluzioni hardware è la fornitura di HSM nel cloud, poiché questa modalità consente l'utilizzo della tecnologia "come servizio", riducendo i costi di implementazione.
Autore: Willian Gomes de Oliveira, Pre-Sales Engineer presso Kryptus.
Di: Débora Menezes Uno studio dimostra che il valore delle richieste di riscatto è aumentato da $ 100 a $ 100.000. Per saperne di più
Riconoscere subito i segnali degli attacchi informatici ed evitare intrusioni catastrofiche. In un Per saperne di più