Criptografia de dados: o desafio dos CIOs

Segunda reportagem do especial avalia dificuldades para implementar projetos de criptografia e aponta ações da Microsoft no segmento

Os métodos de chaves evoluíram muito e, para entender como isso aconteceu, avaliamos um artigo publicado em 2007, quando esses métodos foram identificados como um sério problema e descobrimos que, uma vez mais, não progredimos muito. Cerca de metade dos entrevistados da pesquisa InformationWeek Analytics State of Encryption atual usa serviços de gerenciamento de chaves de produtos de criptografia individual, enquanto 39% gerenciam chaves manualmente.

A maioria ainda usa a capacidade nativa de gerenciamento de chaves do produto, mesmo que as empresas continuem interessadas em um sistema de gerenciamento de chaves especializado, padronizado e único. Que isso seja, de fato, uma boa opção, é algo que muitos pesquisadores concordam e nossa experiência confirma. Esse modelo é conhecido como “plataforma de criptografia”, em que um único aplicativo central gerencia diferentes tipos de chaves de criptografia (disco, backup, banco de dados).

O principal fator que leva à abordagem dessa plataforma é a promessa na redução de gastos operacionais e o aumento na eficiência, já que essas são as principais barreiras contra a adoção. Os fornecedores desse mercado, incluindo a PGP e a Sophos, dizem que seus produtos estão vendendo como água. Talvez, e porque o custo dessas plataformas são tão altos, o desafio seja vender aos CIOs e CISOs a ideia de que ter um fornecedor e uma única ferramenta de gerenciamento para todas as diferentes (e também caras) tecnologias de criptografia vale mais a pena.

Agora, há necessidade de chamar a atenção para um detalhe nesse modelo: precisamos chegar a um acordo sobre o termo “plataforma”. Digamos que você usa um único fornecedor para criptografia de e-mail e a empresa tem uma opção de criptografia para backup que você pode usar por uma taxa extra. Se você aciona a criptografia de backup, teoricamente, você está usando uma plataforma para criptografar e-mail e backup. No entanto, no nosso modo de pensar, isso não chega a ser uma plataforma, mas um sistema de fornecedor único. Para ser uma plataforma de verdade você precisa de suporte de vários fornecedores, como o oferecido pela Thales.

É uma distinção meramente acadêmica, hoje, porque nenhuma plataforma de gerenciamento de chave domina o mercado corporativo, provavelmente por uma questão de custo. Esses sistemas custam cerca de US$ 40 mil, só pelo gerenciador de chaves, e ainda é necessário comprar todos os produtos individuais e suas devidas licenças. Vimos muitos projetos corporativos chegarem, rapidamente, a custar centenas de milhares de dólares.

Dito isso, não podemos culpar as áreas de TI por não almejarem, agressivamente, uma abordagem mais ampla. Usar as capacidades nativas de gerenciamento de chaves de cada aplicativo de criptografia era a forma mais realista de agir em 2007 e, nos últimos anos, a consolidação da indústria de criptografia e o desenvolvimento contínuo criaram um ambiente em que a maioria dos fornecedores vende vários produtos de criptografia como plataformas unificadas. Os orçamentos andaram apertados e, por isso, utilizar as funções nativas de gerenciamento se tornou a abordagem dominante.

Acreditamos, entretanto, que uma abordagem de plataforma unificada por vários fornecedores será garantida no futuro. Para tornar esses sistemas uma opção realista dentro da empresa o quanto antes, os fornecedores precisam parar de discutir e implementar, de uma vez por todas, um padrão de interoperabilidade. O leque de opções é amplo: a Oasis tem seu Protocolo para Interoperabilidade no Gerenciamento de Chaves (KMIP), o IEEE (Instituto de Engenheiros Elétricos e Eletrônicos) tem o projeto P1619, que parece ganhar espaço mesmo sendo apenas para dispositivos móveis. O projeto sequencial, P1619.3, contém detalhes sobre gerenciamento de chaves, mas ainda está em forma de rascunho. O problema? O P1619.3 e o KMIP fazem, basicamente, a mesma coisa.