BLOG


Bases de dados são prioridades no uso de criptografia no Brasil

Informações sensíveis na nuvem, big data e proteção a bancos de dados são maiores impulsionadoras das estratégias de criptografia nas organizações, revela pesquisa inédita do Ponemon

A segurança tem que ir aonde o dado está. Este consenso já se verifica entre os líderes de negócios e de TI em 463 organizações no Brasil segundo o estudo Tendências da Criptografia, realizado pela primeira vez no país pelo Ponemon Institute. Na amostragem, 81% das organizações adotam alguma estratégia de criptografia, embora cerca de 60% desse grupo foquem as iniciativas em determinados tipos de dados e aplicações.

De um lado, os ataques a bancos de dados são devastadores em termos de quebra de sigilo industrial, fraudes ou danos institucionais (processos jurídicos, perda de credibilidade, danos a clientes etc.). Ao mesmo tempo, pelo menos 59% já transferem dados sensíveis à nuvem, o que deve chegar a 90% em um ano. Independente de onde resida o dado, projetos de big data e outros serviços digitais impõem uma exposição ainda maior.

Data assessment e data security

Entre as dificuldades para implantar uma estratégia, 56% dizem que definir como começar é o maior desafio. Para 46%, achar onde residem dados sensíveis é o ponto mais crítico. Além da localização, 45% mencionam ainda a dificuldade de classificação dos dados.

A proteção a propriedade intelectual é o principal motivador para criptografia em 60% dos casos. Em seguida, vêm as informações pessoais de clientes, 54%, enquanto 52% têm conjuntos específicos de informações a ser prioritariamente criptografadas.

A aplicação mais comum de criptografia nas organizações pesquisadas é para proteção das informações de RH, usada em 63% dos casos. Em seguida, vêm os registros financeiros, 51%, e o processamento de pagamentos, 47%. A própria diversidade da amostragem justifica por que os perfis de uso mais genéricos, comuns a todas as organizações, predominam. Contudo, em setores como finanças e varejo, o uso em aplicações transacionais tem mais peso

Decisões e responsabilidades pela estratégia de criptografia

As áreas de TI e de negócios se equilibram como principais direcionadores das estratégias de criptografia, em 32% e 30% dos casos, respectivamente. Em 51% das organizações, a TI fornece os serviços de criptografia, enquanto 49% das implementações, inclusive a gestão de HSMs, são descentralizadas entre as áreas de negócios.

O uso de criptografia é maior nas áreas de proteção a dados, como em sistemas de armazenamento, repositórios de big data, backup, além dos próprios bancos de dados. Nos serviços de nuvem pública e gateways de nuvem, a criptografia é usada em cerca de 30% das organizações, percentual que deve dobrar nos próximos 12 meses. Nos containers Docker, o percentual deve passar de 13% a 46% nos próximos 12 meses.

Embora a variedade de tecnologias se justifique, em parte pela diversidade de aplicações, muitas organizações já buscam estabelecer padrões convergentes, inclusive para facilitar e dar eficiência a processos como deduplicação e backup.

Quem compromete a segurança

Os riscos de intrusão ou interceptação dos dados que fluem entre sistemas internos e externos tornam a criptografia uma ferramenta imprescindível. Se um hacker invade o sistema, pode comprometer a disponibilidade e a integridade dos dados, mas não consegue capturar as informações. Contudo, a pesquisa revela que os cibercriminosos não são necessariamente a maior ameaça de exposição de dados sensíveis.

Em 55% dos casos, a maior preocupação, em relação a vazamento de dados, se refere a erros dos funcionários. Os usuários privilegiados são apontados por 30% como outro ponto crítico.

Em 49% das organizações, prestadores de serviços e trabalhadores temporários também são observados com mais atenção. Embora a pesquisa não tenha abrangido a percepção de riscos, rumores indicam que grupos criminosos aproveitam a recessão para aliciar pessoas que detêm senhas de acesso a sistemas, principalmente entre equipes de força de venda ou serviços terceirizados, para execução de fraudes. Uma das contramedidas é disseminar o uso de certificados digitais para disciplinar esses acessos e, inclusive, facilitar eventuais investigações forenses e sanções.

Proteção nas nuvens

Apenas 5% das organizações pesquisadas deixam seus dados abertos na nuvem. Dois terços usam suas próprias chaves, entre os quais 42% criptografam os dados internamente antes de subir à nuvem, e 24% criptografam na nuvem com chaves geradas e gerenciadas pela própria organização (BYOK, ou traga sua própria chave). Ainda assim, 37% usam a criptografia embutida nas ofertas de DLP (prevenção a vazamento de dados) dos provedores.

A tokenização, que descontextualiza e torna anônimos os dados, é adotada por 48%, metade por meio de sistemas próprios e o resto com os serviços dos provedores.

Gerenciamento de chaves é prioridade e desafio

O gerenciamento de chaves é o recurso tecnológico considerado mais importante por 79% das organizações. Ao mesmo tempo, 40% reportam muita dificuldade nesse item. Entre as razões operacionais dessa lacuna, 64% reclamam de falta de pessoal qualificado e 49% de ferramentas inadequadas de gerenciamento de chaves. Todavia, entre os problemas gerenciais, 63% apontam falta de clareza sobre a propriedade dos dados, e 53% se queixam de sistemas fragmentados e isolados.

As chaves de assinaturas (assinatura digital, assinatura de código etc.) são consideradas as mais difíceis de gerenciar por 70%, seguidas das chaves para serviços externos (BYOK), complicadas para 65%. Apenas 36% reportam dificuldade com chaves para arquivos, e 34% com as chaves relacionadas a transações financeiras.

Uso de HSMs em expansão

A criptografia para sessões web, SSL/TLS, é a aplicação em que mais se usam os módulos de segurança em hardware (HSMs), em 54% das organizações no momento da pesquisa e projeção de chegar a 66% nos próximos 12 meses. A criptografia no aplicativo passa de 35% a 45% nesse período. A aplicação em processamento de transações passa de 35% a 40%. O segmento que apresenta maior crescimento relativo é o de autenticação de dispositivos de IoT (Internet das coisas), de 7% a 12%.

Vanderlei Campos - Jornalista


Acesse também: Relatório de Ameaças a Dados de 2017