Receba conteúdo diretamente no Messenger Podcasts exclusivos, direto no Spotify

Criptografia e gestão de chaves: o que as empresas devem esperar no futuro

Cristina Cruz | 29 de maio de 2017

Recentes ataques cibernéticos, que atingiram 300 mil computadores em mais de 150 países, confirmam a necessidade urgente de as empresas investirem em recursos de segurança mais robustos. O estudo “Tendências em criptografia e gestão de chaves: Brasil”, realizado pelo Ponemon Institute e patrocinado pela Thales e-Security, entrevistou 460 pessoas no país e mostrou que 79% das organizações já adotam algum tipo de estratégia de criptografia.

Esse resultado demonstra o espaço que a criptografia e a gestão de chaves vêm conquistando como mecanismos de segurança nas grandes empresas. A pesquisa examinou o uso da criptografia e o impacto dessa tecnologia na postura de segurança das organizações brasileiras.

Confira a seguir um resumo dos principais resultados.

Influência no direcionamento das estratégias de criptografia

Quando questionados sobre o responsável ou quem tem mais influência no direcionamento da estratégia de criptografia da empresa, os entrevistados indicaram as operações de TI (31%) e as linhas de negócios (29%), embora a responsabilidade pela estratégia de criptografia esteja distribuída por toda a organização. 26% dos entrevistados afirmaram que nenhuma função é individualmente responsável pela sua estratégia de criptografia. 13% apontaram a área de Segurança como maior influência nas estratégias de criptografia.

Ameaça mais significativa a dados sigilosos

Quanto às principais ameaças que podem resultar na exposição de dados sigilosos ou confidenciais, os entrevistados apontaram erros de funcionários (43%) como ameaça mais significativa. Em segundo lugar, vem a espionagem governamental, indicada por 32% dos entrevistados. Na terceira posição, empatam “falhas de sistemas ou processo” e “prestadores de serviço terceirizados”, cada resposta dada por 28% dos entrevistados.

Fatores para a implantação da criptografia

Ao serem questionados sobre os principais motivos pelos quais a organização criptografa dados sigilosos e confidenciais, 63% dos entrevistados indicaram a conformidade com regulamentações e requisitos externos de privacidade ou segurança de dados. Em seguida, com 61% das respostas, está o fator proteção da propriedade intelectual da empresa. 50% dos entrevistados apontaram a proteção de informações pessoais dos clientes como o principal fator para a implantação da criptografia.

Maiores desafios

Quanto aos maiores desafios no planejamento e na execução de uma estratégia de criptografia de dados, 57% dos entrevistados apontaram a implantação inicial da tecnologia de criptografia. A descoberta de onde os dados sigilosos estão localizados na organização apareceu como o segundo maior desafio, respondida por 47% dos entrevistados. Na terceira posição, respondida por 42% dos entrevistados, está a classificação de quais dados criptografar.

Dados submetidos à criptografia

A pesquisa identificou que não há uma tecnologia de criptografia única dominante, evidenciando que as organizações têm necessidades muito distintas. Comunicação pela Internet (58%), gateway na nuvem (43%) e bancos de dados (40%) são frequentemente submetidos a uma extensiva criptografia. Em contraste, repositórios de big data têm menos probabilidade de serem submetidos à criptografia extensiva (30%) ou são parcialmente criptografados (26%).

Quando questionados sobre quais tipos de dados a organização criptografa, 61% dos entrevistados apontaram dados de funcionários e de recursos humanos com maior chance de receber criptografia, o que sugere que atualmente a criptografia alcançou um nível que precisa ser adotada por empresas de todos os tipos. Como os dados que têm menos probabilidade de serem criptografados, os entrevistados indicaram as informações de saúde, com apenas 16% das respostas.

Recursos mais importantes para a postura de segurança

Os entrevistados foram questionados sobre a importância dos recursos associados às soluções de criptografia que podem ser usadas pela organização. O desempenho e a latência do sistema foram os recursos indicados como mais importantes para a postura de segurança da empresa, com 84% das respostas. O suporte a algoritmos emergentes (por exemplo, ECC) foi considerado o segundo recurso mais importante (75%), seguido por gerenciamento de chaves (74%), aplicação da política (67%) e suporte à implantação local e na nuvem (66%).

Dificuldades associadas ao gerenciamento de chaves ou certificados

Quando questionados sobre o quão difícil é o gerenciamento de chaves ou certificados, a solicitação foi que os entrevistados usassem uma escala de 1 a 10, em que classificassem a dificuldade geral associada ao gerenciamento de chaves em sua organização, sendo 1 = impacto mínimo e 10 = impacto severo. 52% (24% + 28%) dos entrevistados atribuíram pontuações de 7 pontos ou mais, o que sugere um limiar de dificuldade bastante alto para as organizações representadas nesta pesquisa.

Os principais motivos que tornam o gerenciamento de chaves e certificados tão difícil também foram levantados: ausência de responsabilidade clara (54%), ferramentas de gerenciamento de chaves inadequadas (53%) e falta de pessoal capacitado (49%).

Os entrevistados consideraram como os tipos de chaves mais difíceis de gerenciar: em primeiro lugar, as chaves pertencentes a aplicações, como assinatura, autenticação e criptografia (70%); em segundo lugar, as chaves de sistemas de terceiros, como parceiros, clientes, logon único, federação etc. (62%); e, em terceiro lugar, as chaves privadas para emissão de certificados e as chaves para serviços externos, como serviços na nuvem ou hospedados (ambas respondidas por 60% dos entrevistados).

Sistemas de gerenciamento de chaves usados atualmente

Os sistemas de gerenciamento de chaves mais usados atualmente pelas empresas entrevistadas são: processos manuais, em planilhas ou papéis (68%), política formal de gerenciamento de chaves (50%) e infraestrutura formal de gerenciamento de chaves (32%).

Importância de módulos de segurança de hardware (HSMs)

Segundo a pesquisa, a importância de módulos de segurança de hardware (HSMs) para uma estratégia de criptografia ou gerenciamento de chaves, crescerá nos próximos 12 meses. 38% dos entrevistados afirmam que HSMs são importantes hoje, e 42% deles afirmam que serão importantes nos próximos 12 meses. Os três mais usados são SSL/TLS (51%), criptografia no nível da aplicação (42%) e processamento de transações de pagamento (36%). Nos próximos 12 meses, criptografia de banco de dados (34%), emissão de credenciais de pagamento, como dispositivos móveis e EMV (29%) e processamento de transações de pagamento (24%) serão provavelmente os principais usos.

Transferência de dados confidenciais para a nuvem

A transferência de dados confidenciais para a nuvem foi questionada e revelou-se que 60% das organizações atualmente transferem dados sigilosos para a nuvem (sejam ou não criptografados ou tornados ilegíveis por algum outro mecanismo) e 29% dos entrevistados planejam fazê-lo dentro dos próximos 12 a 24 meses. A maior parte dos entrevistados (54%) declara que é do provedor da nuvem a maior responsabilidade pela proteção dos dados sigilosos ou confidenciais transferidos para a nuvem.

Proteção de dados em repouso na nuvem

Os entrevistados foram questionados se protegem dados em repouso na nuvem por meio de criptografia ou alguma outra forma de tornar os dados ilegíveis, como tokenização. 49% dos entrevistados afirmaram que não protegem dados em repouso na nuvem. 39% dos entrevistados disseram que utilizam a criptografia para proteger dados em repouso, enquanto 12% afirmaram que os tornam ilegíveis por outros meios.

Quando questionados sobre como os dados em repouso na nuvem são protegidos, 44% dos entrevistados disseram que o provedor da nuvem criptografa os dados em repouso já na nuvem, enquanto 40% deles afirmaram que os dados são criptografados antes de serem enviados para a nuvem. Somente 16% disseram que os dados em repouso na nuvem são criptografados pelas ferramentas da organização.

Em um cenário em que 21% das organizações não possuem um plano ou estratégia de criptografia, percebe-se a urgência de aprimoramento da postura de segurança no mundo corporativo. Como você avalia esse quesito em sua empresa? Há investimentos em criptografia e gestão de chaves? Compartilhe conosco suas perspectivas em segurança para o futuro.

Receba informações e dicas exclusivas em TI e Telecom, assine nossa Newsletter:

Posts relacionados:

Para melhorar sua experiência,
selecione um perfil de conteúdo: