Sofrer um ciberataque pode significar o fim de muitas empresas ou, então, uma crise de alta complexidade para os negócios. Segundo uma pesquisa da Harvard Business Review, lançada em maio, empresas podem perder até 7,5% no valor de mercado após sofrerem esse tipo de crime. Já o levantamento da Arcserve, divulgado em junho, aponta que 5% das companhias nacionais já perderam todos os seus dados depois de passarem pela situação. Por isso, alguns pontos têm ganhado destaque entre as organizações que querem se manter protegidas, entre eles a escolha, execução e o monitoramento de ferramentas de tecnologia, incluindo as de protocolos segurança, como o SSL/TLS.

Sendo a garantia de navegação segura, o SSL/TLS é imprescindível para manter a disponibilidade de serviços na internet. Essa é a avaliação do consultor técnico e especialista em segurança digital da CertiSign, Márcio D’Avila. Ele explica que a ausência da solução pode trazer vulnerabilidades de segurança, porque o ambiente fica “aberto” para roubos de dados.

Além da segurança, o SSL/TLS tem um forte peso no quesito negócios, tendo em vista que atua na ponte direta entre a marca, consumidor e parceiros. “Caso tenha qualquer problema com essa solução, um marketplace, por exemplo, pode ficar sem vender por horas, o que prejudica não só a marca, mas também a rede de parceiros e lojistas.”.

Para ajudar as empresas a utilizarem o protocolo da melhor forma possível – mantendo a segurança (seja do usuário ou da própria companhia) e os negócios em andamento, D’Avila preparou três dicas. São elas:

Foco na gestão para não passar da validade

Um dos problemas mais comuns relacionados ao SSL é a gestão das datas de vencimento de cada certificação. O consultor da CertiSign explica que, como muitas companhias têm certificados para cada área de negócios e diferentes projetos, o volume para esse controle acaba sendo um desafio. “Se a renovação não ocorre, o ambiente fica desprotegido”, diz.

Para evitar essa situação, o melhor caminho, segundo o especialista, é aposentar controles manuais e planilhas e investir em uma MPKI (Managed Public Key Infrastructure), plataforma para a administração do ciclo de vida dos certificados SSL/TLS. “De forma centralizada, ela permite emitir, instalar, analisar, corrigir e renovar os certificados, reduzindo custos e a complexidade do gerenciamento. Quando o SSL/TLS está prestes a expirar, ela envia notificações e no próprio console é possível renová-lo”.

O gratuito pode sair caro

Segundo o especialista, outro fator importante para manter a segurança de ambientes protegidos por um SSL/TLS é a complexidade da validação de cada certificação – que é um processo no qual são checadas as informações da empresa solicitante do protocolo, garantindo, assim, a identidade e autenticidade do site. Quanto mais crítico o negócio for, mais exigente, diríamos assim, será a validação. Em um cenário geral, ele explica que muitas companhias optam pelo modelo gratuito do SSL, que não pode ser aplicado em qualquer projeto – principalmente quando envolve dados sensíveis, porque tem um modelo de validação simplificado.

“No modelo gratuito, a validação é muito simples, e é somente verificada a titularidade do domínio e se quem solicitou o certificado é o dono do domínio. Não é efetuada uma validação se a empresa é legalmente constituída. Isso é insuficiente para uma verificação mais aprofundada sobre quem é a empresa que está solicitando”, diz. Ele aponta que o modelo não pago é a preferência dos criminosos. “Muitas páginas para phishing, inclusive, têm certificados gratuitos na tentativa de “enganar” o internauta”, complementa.

Apoio de especialistas

Uma das formas de melhorar a gestão desses certificados e obter até mesmo uma ajuda na decisão de qual é a validação mais indicada para cada caso, conforme explica D’Avila, é contar com a ajuda de empresas especializadas em autenticação. Elas podem fazer a gestão das datas, independente do volume necessário, evitando que os portais fiquem fora do ar por passar da validade. Além disso, oferecem suporte, estando disponíveis para quaisquer dúvidas e desafios que possam surgir em relação à segurança – o que não é oferecido no modelo gratuito.

“O suporte especializado ajuda as equipes de tecnologia das empresas a ficarem focadas em outras questões e decisões estratégicas. Além de garantir uma maior eficiência em cada etapa do processo”, afirma o consultor da CertiSign.