A migração de grandes provedores de nuvem dos EUA para atualizar seus níveis de criptografia reflete a relevância da criptografia de dados na nuvem para proteger dados confidenciais e cumprir os regulamentos de privacidade de dados em todo o mundo..

Criptografia não é um sim ou não, corte e matéria seca. Depois de se comprometer a criptografar seus dados, você deve descobrir como, em que medida e quais dados você deve criptografar. Mantenha essas diretrizes em mente ao desenvolver sua estratégia de criptografia na nuvem.

Perceba que você tem opções para criptografia

Nem todos os seus dados precisarão de criptografia na nuvem, nem deveriam. Isso seria uma tarefa cara e, em última análise, contraproducente. Nem todos os seus dados devem ser criptografados da mesma maneira.

O que funciona para nomes pode não funcionar tão bem para números de seguridade social; para fins de funcionalidade, os números de cartão de crédito podem precisar que seus formatos sejam preservados de forma que as informações de endereço postal não.

Por causa dessas condições, sua solução de criptografia na nuvem deve fornecer uma variedade de opções, incluindo:

  • Tokens de índice e blocos, que substituem os dados por tokens criptográficos ou os criptografam e descriptografam usando chaves privadas geradas aleatoriamente de uso único.
  • Criptografia robusta, que a PCI define como criptografia baseada em "algoritmos testados e aceitos pela indústria", por exemplo, AES, usada em conjunto com comprimentos de chaves fortes e práticas de gerenciamento de chaves adequadas.
  • Gerenciamento do ciclo de vida do armazenamento de dados: a criptografia na nuvem só pode ser considerada verdadeiramente segura e eficaz se persistir durante todo o ciclo de vida dos dados armazenados na nuvem..

Mas quando se trata de dados armazenados por um provedor de serviços em nuvem (CSP) de terceiros, como você pode realmente conhecer o ciclo de vida de seus dados??

Incertezas que cercam o arquivamento, o backup e a exclusão oportuna de dados, seja em sua agenda ou a seu pedido, tornam difícil determinar o ciclo de vida das informações armazenadas na nuvem. Para contornar este problema, você precisa ter certeza de que não importa quanto tempo seus dados permaneçam na nuvem, sua organização é a única que detém as chaves para isso - e, portanto, é a única que pode acessá-lo..

Dessa forma, quando você decidir que chegou a hora de destruir seus dados, tudo o que você precisa destruir é a sua chave. Se você excluir essa chave, "destruirá digitalmente" seus dados, tornando-os inúteis para olhos curiosos, independentemente de quanto tempo eles existam na nuvem.

Como os pesquisadores discutiram no International Journal of Engineering e Advanced Technology, o armazenamento de dados na nuvem resulta em riscos de segurança, já que "os dados da nuvem podem ser acessados ​​por todos".

Em seguida, observa que "é necessária uma medida de prevenção para proteger os dados de usuários não autenticados ou intrusos". A criptografia somente na nuvem pode não mitigar totalmente esses riscos, pois qualquer usuário interno do CSP com a chave de criptografia pode acessar os dados.

O que tudo isso significa?

Para começar, proteja totalmente seus dados criptografando informações confidenciais na nuvem da maneira apropriada para os campos designados. Como um controle de segurança adicional, retenha exclusivamente as chaves.

Você também deve garantir que quem detém as chaves de criptografia em sua organização esteja justificado em ter acesso. Por esse motivo, a política de controle de acesso de dados granular é uma obrigação.

À medida que você procura maneiras de implementar criptografia eficaz na nuvem para proteger seus dados e garantir a conformidade com as regulamentações, verifique se o programa de proteção de informações na nuvem inclui esses elementos essenciais.

Sem eles, seus dados são tão seguros quanto uma fortuna armazenada em um cofre para o qual muitas pessoas têm as chaves.

  • Paige Leidig tem 20 anos de experiência em tecnologia, marketing e vendas de soluções de aplicativos empresariais e gerenciamento de relacionamentos confiáveis ​​com clientes. Como vice-presidente sênior de marketing, ele é responsável por todos os aspectos do marketing na CipherCloud..