No mundo de Big Data, em que milhões de dados são armazenados pelas empresas a cada dia, a criptografia de dados é fundamental. Trata-se de um conjunto de princípios e técnicas para cifrar a escrita, torná-la ininteligível para os que não tenham acesso às convenções combinadas.
Como exemplo, vamos usar uma situação do cotidiano: acompanhei um exercício escolar de língua estrangeira de minha filha, que cursa o ensino fundamental. Havia vários itens, cada um com muitas letras embaralhadas, que deviam ser desembaralhadas para decifrar as palavras aprendidas na aula anterior.
Essa técnica de embaralhar dados é conhecida como tokenização, mas, diferentemente do exercício de minha filha, é um processo com regras ou método criptográfico. Além disso, os dígitos originais não estão necessariamente presentes nos dados tokenizados em um sistema corporativo: nesse caso, eles são alterados a partir de uma regra predeterminada, mas o formato, ou seja, a quantidade de dígitos do dado não será alterada. É uma técnica muito recomendada para tratar e armazenar números de cartões de crédito, senhas e identidades como passaportes e carteiras de habilitação.
Outra técnica, mais complexa, necessária para grandes volumes de informação, transforma uma sequência de dados em um código reduzido em comparação com o dado original, ou seja, o formato também será alterado. Essa complexidade adicional nos leva ao mundo dos dados criptografados.
O executivo que trabalha com Big Data ou que pode ser responsabilizado pela integridade desses dados, seja ele um membro da Diretoria ou do Conselho, não precisa entender tecnicamente como funcionam esses algoritmos criptográficos, mas necessariamente deve compreender os conceitos da criptografia para alcançar sua urgência e os benefícios que agrega quando implantada corretamente, utilizando as boas práticas da proteção de dados. As informações tokenizadas são mais fáceis de implementar e não requerem alteração da base de dados, o que torna o processo mais ágil e não depende de profissionais de altíssima qualificação.
Já os dados criptografados requerem um conhecimento mais aprofundado e profissionais de elevada expertise para que os impactos em performance ao armazenar – e principalmente ao decifrar os dados – para quem for autorizado a lê-los, sejam minimizados visto que a latência, ou tempo adicional, sempre vai ocorrer num processo criptográfico. A correta avaliação e os devidos testes devem ser feitos durante o diagnóstico de quais dados, quando, como e onde devem ser criptografados. A criptografia pode ocorrer em muitos ambientes, como base de dados, aplicação ou arquivos.
Para um correto diagnóstico, é necessário contar com profissionais com experiência em algoritmos criptográficos e conhecimento detalhado do assunto. Quando se busca especialistas em criptografia, não é diferente. O curioso – e preocupante – é que a maioria das ofertas de emprego para as posições de segurança da informação disponíveis no LinkedIn para a América Latina no fim de março de 2018 não requer nem menciona como desejável experiência e conhecimentos em criptografia. Pior: essas posições são oferecidas por empresas de segmentos diversos como seguradora, aeroespacial, bancário, telecomunicações e materiais de construção.
Isso demonstra o quão urgente é para o setor de TI no mercado latino-americano uma maior preocupação com a criptografia de dados. Vou restringir os motivos a um dado concreto e relevante da Gemalto, o Breach Level Index. Segundo o indicador, em 2017, em menos de 3% dos casos de violações no mundo todo os dados estavam (ainda que parcialmente) criptografados e não foram expostos. Ou seja, em mais de 95% das situações, o dano de imagem, reputação, além de perdas financeiras e queda das ações não puderam ser evitados ou minimizados. Por isso a evangelização da criptografia em nosso mercado é urgente: com ela os criminosos cibernéticos não teriam acesso aos dados e, se tivessem, não conseguiriam ganhar com as fraudes, já que isso implicaria investir muito tempo, recursos e dinheiro.
Apenas para mencionar dois exemplos recentes, o aplicativo MyFitnessPal da Under Armour foi violado em março de 2018: usuários e e-mails de 150 milhões de contas foram vazados, além das senhas. A maioria das senhas estavam tokenizadas com um método forte e robusto, portanto protegidas, e aparentemente uma parte menor das senhas usava um método mais fraco que poderia ser facilmente quebrado. Podemos verificar neste caso algumas boas práticas, como:
– identificar os dados sensíveis (as senhas);
– tokenizar ou criptografar estes mesmos dados sensíveis com mecanismos robustos.
Na semana seguinte, um Centro de Negócios de Helsinki sofreu uma violação semelhante com algumas informações expostas de 130 mil cidadãos finlandeses, incluindo senhas que estavam armazenadas sem nenhuma indexação e em formato texto.
A América Latina não é uma exceção. As violações ocorrem no mundo todo e não se concentram mais na tentativa de obter credenciais financeiras: buscam conseguir grandes volumes de informações que podem ser negociadas no mercado paralelo. Como muitas empresas e diversos segmentos atualmente passam por uma transformação digital em que o Big Data é um dos pilares estratégicos, os altos executivos também começam a ter uma consciência em relação à prioridade que deve ser dada à segurança cibernética.
No entanto, muitos executivos creem que a segurança dos dados está endereçada pelo seu provedor de serviços na nuvem e, se houver vazamento, a responsabilidade será do fornecedor. Porém, eles se esquecem de que, perante à opinião pública, seus clientes, o mercado e seus investidores, um vazamento vai impactar inicialmente o seu negócio e as suas ações. Se houver perdas financeiras, elas inicialmente serão impostas unicamente à empresa que sofreu o vazamento. A responsabilidade do fornecedor dependerá das condições contratuais, do escopo acordado entre as partes, e, mesmo assim, a empresa continuará sendo a primeira a ser impactada junto aos stakeholders.
Portanto, a visão de que a responsabilidade é do seu fornecedor, é particularmente equivocada. Além disso, é frequente manter as chaves de segurança no mesmo ambiente em que os dados residem, o que fere uma das boas práticas da Proteção de Dados:
– verificar se os algoritmos criptográficos utilizados em seus dados são certificados pelos órgãos internacionais
– manter as suas chaves criptográficas em um ambiente totalmente segregado de onde estão armazenadas suas informações criptografadas, esteja ela em poder de terceiros ou em seus sistemas, arquivos ou bases de dados próprias.
Essa boa prática felizmente vem se expandindo no mundo todo, ainda que muito timidamente na América Latina, e tem um nome: BYOK (Bring Your Own Keys ou Traga suas próprias Chaves) em alusão à BYOD (Bring your Own Device), usada há alguns anos no mundo das Telecomunicações.
Enfim, temos muitos indicadores positivos, e o uso e o interesse por BYOK é um deles, mas ainda existe um longo caminho a ser percorrido, já que, segundo pesquisa do Ponemon Institute, Brasil e México estão entre os países em que estratégias de criptografia são pouco utilizadas nas políticas corporativas de segurança cibernética.
É nossa responsabilidade promover uma estratégia adequada para a América Latina e um conhecimento mais amplo das melhores práticas de Proteção de Dados, entre elas a Criptografia e um gerenciamento otimizado e centralizado das chaves criptográficas.
* Sérgio Muniz é diretor Comercial para Enterprise & Cybersecurity da Gemalto na América Latina
