Pesquisa com 500 profissionais de tecnologia revela pouco uso da criptografia de ponta-a-ponta. Empresas apenas cumprem regras de compliance
Se considerarmos apenas as estatísticas de alto nível sobre o uso de criptografia, ficaríamos satisfeitos em saber que 86% dos 499 profissionais de tecnologia de negócios que responderam à pesquisa InformationWeek Analytics State of Encryption, usam algum tipo de criptografia. Mas esse fato não chega a ser relevante se comparado ao que realmente acontece. Apenas 14% dos entrevistados disseram que a criptografia predomina em suas empresas. A criptografia básica em banco de dados em uso é feita em 26%, enquanto 38% usam a tecnologia em dispositivos móveis. E 31% – mais do que qualquer outra resposta – caracterizam seu uso extensivo como o suficiente para suprir exigências legislativas.
As razões por trás dessa triste descoberta vão desde custos e desafios de integração até a forte resistência corporativa exacerbada pela falta de liderança. O foco em compliance é o que mais atormenta. Criptografar um sub-sistema de dados seria como conseguir um “passe para a liberdade” porque, assim, as empresas não precisariam notificar seus clientes sobre possíveis brechas. Mas fazer o mínimo para garantir estar em dia com as regras, conscientemente, não é segurança; é escapatória.
Abertamente, os profissionais de TI enfrentam, com frequência, uma forte resistência cada vez que tentam fazer mais. “Nossa equipe de TI vem trabalhando para aumentar o uso da criptografia, mas, sinceramente, os usuários estão mais interessados em acesso rápido e fácil aos seus dados e não levam segurança em conta”, declarou um dos entrevistados. “A idéia de ter seus dados em um disco removível ou laptop criptografado não entra na cabeça da maioria das pessoas da equipe, do diretor pra baixo.”
Falamos em forte resistência porque não se trata de um novo fenômeno. Em 2007, uma pesquisa realizada pelo Instituto Ponemon revelou que apenas 16% das empresas nos Estados Unidos tinham um esquema de criptografia que cobrisse toda a companhia. Na época, a Network Computing examinou o estado da criptografia corporativa e concluiu que a adoção era um processo gradual que, geralmente, se iniciava nas fitas de backup e se espalhava a partir dali. Uma abordagem fragmentada era a norma da época e ainda se move aos trancos, apesar do momento criado por estruturas de compliance, como PCI, que requer a criptografia de dados de cartões de crédito em trânsito.
Fator Interoperabilidade
Parte do problema é que os esforços padrão não renderam em nada onde mais precisávamos: em interoperabilidade, que tornaria o gerenciamento de criptografia mais fácil e barato. E não esperamos que essa situação melhore tão cedo.
Quando perguntamos aos profissionais de TI o que aumentaria o uso de criptografia em suas empresas, as respostas foram desde suporte a sistema operacional desenvolvido internamente, até a criação de pastas e arquivos criptografados (algo em que a Microsoft está trabalhando) para aperfeiçoar o uso e a performance, baixar o custo e melhorar o gerenciamento central. Algumas poucas almas desesperadas desejavam a regulamentação, ou até mesmo uma brecha que exigisse aviso aos clientes, para conseguir alguma vantagem que rendesse fundos e gerenciamento de adesão.
“Eu gosto de pensar que basta força de vontade para fazer a coisa certa”, disse um diretor de rede em uma instituição educacional. “Na verdade, provavelmente, seria necessário alguma brecha ou exposição para destacar o problema.” Nossa resposta favorita: “gostaria de saber para poder explorar.”
Essa atitude “protetora” que prevalece demonstra porque compliance legislativa é o carro chefe da criptografia, hoje e ainda por muitos anos. Atualmente, 44 estados (nos EUA) têm leis contra brechas de dados e muitos dizem que, basicamente, mesmo que jogue uma fita de backup carregada de informações pessoais em uma lata de lixo, em Black Hat, desde que sejam dados criptografados, você não precisa avisar seus clientes.
As empresas que implementam criptografia podem evitar – literalmente – gastar milhões de dólares em notificações caso haja brecha, sem calcular os gastos causados pela perda da confiança dos clientes.
Não estamos dizendo que se defender não é um investimento válido. Definitivamente, isso permitiu que alguns líderes de TI conseguissem colocar em andamento projetos de redução de risco muito bons. Mas, em nossa experiência, responsabilizar-se por uma iniciativa tão abrangente e complexa como a criptografia somente para respeitar as regras de compliance pode resultar em um projeto mal planejado e com grandes chances de custar mais do que mapear um programa completo de redução de risco.
Por um lado mais positivo, 28% dos entrevistados disseram que querem expandir o uso de criptografia além do mínimo. Isso é bom porque a criptografia em si não é a solução absoluta; em algum ponto, alguma parte de um aplicativo crítico irá precisar acessar dados não-criptografados e se um aplicativo pode acessar um dado não-criptografado, um meliante também poderá.
Hora de Tokenizar?
A maior mudança no cenário da criptografia desde 2007 foi o surgimento do token, que ajuda a contrabalançar alguns dos mesmos riscos que a criptografia. De forma resumida, a tokenização é o uso de um serviço onde um sistema insere uma informação sigilosa, como um número de cartão de crédito, e recebe um token único, como um número de 64 digitos. Esse número é usado em aplicativos onde quer que você tenha usado os números do cartão de crédito, incluindo banco de dados. Fica claro como esse sistema reduz riscos: se o dado for comprometido, o meliante não terá como reverter o número do token de volta para os números do cartão do crédito.
As empresas podem comprar os software e hardware de tokenização ou usar um serviço terceirizado. Nós vimos grupos de TI criarem suas próprias tecnologias, mas não recomendamos que tentem isso em casa. O segredo está na infraestrutura que executa a tokenização, seja ela externa ou interna. Essa infraestrutura deve ser a mais segura possível já que, basicamente, você estará transferindo os riscos dos bancos de dados e aplicativos para os servidores que armazenam e executam o mapeamento dos dados sigilosos para o token. Se o sistema é mais seguro do que sua infraestrutura geral, você pode ter conseguido reduzir os riscos, mas também chegou ao dilema da concentração. Quanto mais se usa a tokenização, mais dados sigilosos se concentram armazenados em um único lugar.
A concentração também é um problema na criptografia. Em nossa pesquisa, focamos em gerenciamento de chaves, perguntamos como eles lidavam com as chaves de criptografia e o quanto confiavam em suas habilidades de controlar as chaves de criptografia para recuperar dados. A maioria dos entrevistados, 88%, disse ter muita ou total confiança no gerenciamento das chaves. Mas um número significativo demonstrou preocupação sobre permissões e o resultado catastrófico em caso de chaves perdidas.
“Alguns sistemas que usamos foram desenhados para destruir a chave em caso de emergência sem possibilidade de recuperação”, disse um executivo-chefe de operações de uma grande empresa sem fins lucrativos. “Para esses sistemas, que acabam lidando com a maioria das informações pessoais identificáveis, a recuperação de chaves não é um problema. Os dados são inacessíveis para todos.”
Leia também:
