Pesquisa com 500 profissionais de tecnologia revela pouco uso da criptografia de ponta-a-ponta. Empresas apenas cumprem regras de compliance

Se considerarmos apenas as estatísticas de alto nível sobre o uso de criptografia, ficaríamos satisfeitos em saber que 86% dos 499 profissionais de tecnologia de negócios que responderam à pesquisa InformationWeek Analytics State of Encryption, usam algum tipo de criptografia. Mas esse fato não chega a ser relevante se comparado ao que realmente acontece. Apenas 14% dos entrevistados disseram que a criptografia predomina em suas empresas. A criptografia básica em banco de dados em uso é feita em 26%, enquanto 38% usam a tecnologia em dispositivos móveis. E 31% – mais do que qualquer outra resposta – caracterizam seu uso extensivo como o suficiente para suprir exigências legislativas.

As razões por trás dessa triste descoberta vão desde custos e desafios de integração até a forte resistência corporativa exacerbada pela falta de liderança. O foco em compliance é o que mais atormenta. Criptografar um sub-sistema de dados seria como conseguir um “passe para a liberdade” porque, assim, as empresas não precisariam notificar seus clientes sobre possíveis brechas. Mas fazer o mínimo para garantir estar em dia com as regras, conscientemente, não é segurança; é escapatória.

Abertamente, os profissionais de TI enfrentam, com frequência, uma forte resistência cada vez que tentam fazer mais. “Nossa equipe de TI vem trabalhando para aumentar o uso da criptografia, mas, sinceramente, os usuários estão mais interessados em acesso rápido e fácil aos seus dados e não levam segurança em conta”, declarou um dos entrevistados. “A idéia de ter seus dados em um disco removível ou laptop criptografado não entra na cabeça da maioria das pessoas da equipe, do diretor pra baixo.”

Falamos em forte resistência porque não se trata de um novo fenômeno. Em 2007, uma pesquisa realizada pelo Instituto Ponemon revelou que apenas 16% das empresas nos Estados Unidos tinham um esquema de criptografia que cobrisse toda a companhia. Na época, a Network Computing examinou o estado da criptografia corporativa e concluiu que a adoção era um processo gradual que, geralmente, se iniciava nas fitas de backup e se espalhava a partir dali. Uma abordagem fragmentada era a norma da época e ainda se move aos trancos, apesar do momento criado por estruturas de compliance, como PCI, que requer a criptografia de dados de cartões de crédito em trânsito.

Fator Interoperabilidade

Parte do problema é que os esforços padrão não renderam em nada onde mais precisávamos: em interoperabilidade, que tornaria o gerenciamento de criptografia mais fácil e barato. E não esperamos que essa situação melhore tão cedo.

Quando perguntamos aos profissionais de TI o que aumentaria o uso de criptografia em suas empresas, as respostas foram desde suporte a sistema operacional desenvolvido internamente, até a criação de pastas e arquivos criptografados (algo em que a Microsoft está trabalhando) para aperfeiçoar o uso e a performance, baixar o custo e melhorar o gerenciamento central. Algumas poucas almas desesperadas desejavam a regulamentação, ou até mesmo uma brecha que exigisse aviso aos clientes, para conseguir alguma vantagem que rendesse fundos e gerenciamento de adesão.

“Eu gosto de pensar que basta força de vontade para fazer a coisa certa”, disse um diretor de rede em uma instituição educacional. “Na verdade, provavelmente, seria necessário alguma brecha ou exposição para destacar o problema.” Nossa resposta favorita: “gostaria de saber para poder explorar.”

Essa atitude “protetora” que prevalece demonstra porque compliance legislativa é o carro chefe da criptografia, hoje e ainda por muitos anos. Atualmente, 44 estados (nos EUA) têm leis contra brechas de dados e muitos dizem que, basicamente, mesmo que jogue uma fita de backup carregada de informações pessoais em uma lata de lixo, em Black Hat, desde que sejam dados criptografados, você não precisa avisar seus clientes.

As empresas que implementam criptografia podem evitar – literalmente – gastar milhões de dólares em notificações caso haja brecha, sem calcular os gastos causados pela perda da confiança dos clientes.

Não estamos dizendo que se defender não é um investimento válido. Definitivamente, isso permitiu que alguns líderes de TI conseguissem colocar em andamento projetos de redução de risco muito bons. Mas, em nossa experiência, responsabilizar-se por uma iniciativa tão abrangente e complexa como a criptografia somente para respeitar as regras de compliance pode resultar em um projeto mal planejado e com grandes chances de custar mais do que mapear um programa completo de redução de risco.

Por um lado mais positivo, 28% dos entrevistados disseram que querem expandir o uso de criptografia além do mínimo. Isso é bom porque a criptografia em si não é a solução absoluta; em algum ponto, alguma parte de um aplicativo crítico irá precisar acessar dados não-criptografados e se um aplicativo pode acessar um dado não-criptografado, um meliante também poderá.