www.cesce.pt
 


O correio electrónico (e-mail) transformou-se na principal ferramenta de produtividade para as organizações, oferecendo um meio de comunicação de baixo custo, partilha de informação e acelerando a tomada de decisão. No entanto, o enorme volume de e-mail que temos actualmente a entrar e sair de uma organização trouxe novos riscos que necessitam ser geridos.

As organizações têm que lidar com a preocupação do spam e o seu impacto na performance e nos custos de exploração da rede. Precisam decidir como forçar políticas no e-mail que permitam controlar a linguagem ofensiva e a protecção de informação crítica. E têm que lidar com uma grande quantidade de regras de conformidade tanto internas, como do negócio.

Para resolver estes problemas, os gestores de e-mail das grandes organizações têm de recorrer a múltiplos produtos para segurança do e-mail como cifra de mensagens, assinatura digital, anti-vírus, anti-spam e scanning de conteúdos, tendo o cuidado de que estas novas ferramentas não produzam qualquer impacto negativo na rede e nos utilizadores.

Segurança do e-mail na fronteira electrónica

A Gartner criou o termo Secure e-Mail Boundary (SEB) para definir a forma de agrupar modularmente os serviços específicos de segurança de e-mail para as necessidades actuais das organizações.

O SEB inclui normalmente a protecção contra vírus, protecção contra spam e filtragem de conteúdos baseados em texto.
Adicionalmente passou a incluir também serviços de cifra. Todos estes serviços são geridos a partir de servidores seguros onde são desenvolvidas políticas baseadas nos processos de negócio.

A SEB pode ser gerida internamente ou externamente por outsourcing:
. No cenário de gestão interna ou in-house é necessário recorrer ao licenciamento de software ou de um appliance que irá residir no Data Center da organização e será gerido pelo seu staff;

. No cenário de outsourcing, o fornecedor desse serviço recebe em primeiro lugar as mensagens de e-mail efectuando a filtragem de conteúdos. Como resultado são passadas à organização cliente as mensagens que estão em conformidade com as políticas. As restantes são alvo de quarentena e notificação da mesma à organização. Desta forma a infra-estrutura da organização não é comprometida com os resultados dos e-mails não conformes com as políticas.

A Gartner categoriza ainda em três as aproximações à temática da segurança do e-mail, tendo em vista uma mitigação do risco das organizações e a redução na exposição de informação crítica:

. Boundary-to-boudary – que significa que a mensagem de e-mail é transportada de forma segura através de Secure Socket Layer (SSL) ou Transport Layer Security (TLS) do servidor remetente para o servidor destinatário;

. Staging server – em que as mensagens de e-mail são enviadas a partir de um servidor externo, ex. mensagens de envio de e-cards;

. Desktop-to-desktop – em que a própria mensagem é cifrada, por exemplo através de um algoritmo de chave pública, como S/MIME ou PGP. O remetente tem que usar um conjunto de ferramentas para cifrar e o destinatário deve também usar as mesmas ferramentas para que possa decifrar e abrir a mensagem.

A solução da Entrust

A Entrust é um reconhecido líder mundial nesta temática do e-mail seguro. É também parceiro de mais de uma década do Grupo SIA, ao qual pertence a CESCE SI.

Ao reconhecer a necessidade de endereçar o problema actual do e-mail seguro através de uma solução completa e integrada, a Entrust realizou nos últimos anos algumas aquisições e parcerias que denotam uma preocupação de inovação e liderança do mercado. São exemplo disso a aquisição em Abril de 2004 da componente de software de compliance da empresa AmikaNow, líder de produtos de gestão de risco em ambientes de e-mail, e a recente parceria este ano com a empresa Vericept, que lhe permitiu disponibilizar no mercado a melhor solução integrada de controlo e monitorização de conteúdos com cifra de e-mail.

A Entrust pode oferecer agora uma solução de Secure Messaging - Entrust Entilligence Messaging Server - que permite o enforcement de políticas em tempo real, incluindo a protecção automática de informação crítica ao nível da fronteira electrónica (boundary). Trata-se de uma suite integrada de componentes de software que permite efectuar o scanning automático de todo o fluxo de mensagens de e-mail, o enforcement centralizado de políticas, cifra de e-mail boundary-based, etc.

A Entrust encontra-se assim numa óptima posição para ajudar as organizações a melhorar a performance da sua infra-estrutura de e-mail, aumentar a produtividade dos seus empregados, evitar as penalizações associadas a não conformidades, baixar os riscos de roubo ou divulgação de informação crítica (propriedade intelectual, dados financeiros, informação de clientes, etc.) e transformar as populares ferramentas de e-mail – Microsoft Outlook e Lótus Notes – em veículos de comunicação segura e de confiança, sem alterar a forma de trabalho dos utilizadores.

Enforcement automático de políticas

Com a crescente preocupação em relação à exposição e perda de informação crítica, as organizações estão a aumentar o controlo de conteúdos em trânsito para fora da organização para efeitos de conformidade, protecção contra roubo de identidade e salvaguarda de propriedade intelectual. Em conjunto, o controlo de conteúdos e a cifra automática de e-mail, podem fornecer uma solução efectiva de segurança para as organizações, com vista à mitigação do risco de roubo de informação e à protecção da marca institucional.

Em parceria com a Vericept, companhia líder em soluções de controlo de conteúdos, a Entrust disponibiliza o produto Vericept Content 360º, uma solução multi-protocolo para controlo e monitorização de conteúdos, que nos dá uma visibilidade sobre como a informação critica está sendo tratada na organização. Utilizando um conjunto de técnicas de detecção de conteúdos e mais de 70 categorias de tipos de risco, o Vericept Content 360º funciona em conjunto com o Entrust Entelligence Messaging Server para identificar quais as mensagens que necessitam de ser cifradas antes de passar a fronteira electrónica (boundary) da organização.

Com o Content 360º os conteúdos de e-mail podem ser monitorizados com grande precisão com o intuito de detectar propriedade intelectual, informação pessoal identificável com empregados ou dados críticos de clientes.

Segurança end-to-end para melhor mitigar o risco

Para as organizações que já estão familiarizadas com a tecnologia Public Key Infrastructure (PKI) e que já fizeram a implementação de certificados digitais nos Desktops ou em aplicações Web, a Entrust disponibiliza uma solução de e-mail seguro end-to-end. A implementação da PKI pode ser expandida de forma a incluir as funcionalidades de e-mail da Microsoft, Lótus ou Macintosh. Para tal, poderão ser utilizados, além do software Entrust Authority Security Manager, os seguintes produtos da Entrust, entre outros:

. Entrust Entelligence Security Provider – um thin client que habilita a autenticação forte de utilizadores e adiciona segurança às aplicações com a introdução de cifra e assinatura digital, para proteger o e-mail e os dados, utilizando uma única identidade digital;
. Entrust Entelligence Email Plug-in - um plug-in transparente para Microsoft Outlook que permite aos utilizadores cifrar e assinar digitalmente mensagens sem alterações significativas no seu ambiente de e-mail standard;
. Entrust Entelligence Verification Plug-in for Adobe – permite assinar digitalmente documentos PDF que podem também ser assinados e verificados por utilizadores externos sem a necessidade de utilizar o software de segurança desktop da Entrust;
. Entrust Authority Roaming Server – permite aos utilizadores fazerem login e terem acesso seguro à informação critica – a partir de qualquer lugar – sem a necessidade de transportarem consigo as PKI Digital IDs necessárias ao estabelecimento de uma conexão segura.

O modelo de e-mail seguro end-to-end (ou desktop-based), pode também ser integrado com a solução Entrust Entelligence Messaging Server, a qual se liberta de grande parte do processamento efectuado pelos clientes desktop, melhorando a performance e a facilidade de utilização. O Messaging Server automatiza a gestão dos certificados digitais contendo as credenciais de segurança dos utilizadores que são utilizadas para a cifra e facilita o envio de e-mail seguro para parceiros e clientes fora da organização.
 

João Santiago
Business Sales Consultant
CESCE SI

dci@cesce.pt