Criptografia já é um tema desmistificado na Segurança?

Líderes da Valid, IRB Brasil e Ypê debatem o tema e destacam a importância de entender que criptografia é sim um recurso importante para proteção de dado confidencial e pode mitigar risco de vazamento, mas não ela não atua sozinha.

O relatório sobre ameaças a dados realizado em 2020 pela Thales e IDC ouviu mais de 200 executivos do Brasil e do México com responsabilidade ou influência sobre TI e segurança de dados a partir de uma amostra global total de 1.723 participantes.  100% dos executivos do Brasil e México ouvidos pelo levantamento disseram que têm algum tipo de dado armazenado em nuvem.

O estudo concluiu também que os entrevistados brasileiros e mexicanos disseram que 45% de todos os dados armazenados na nuvem são confidenciais, porém 53% de todos os dados armazenados na nuvem são protegidos por criptografia. Neste ponto específico, ficam alguns questionamentos.

Dados na nuvem precisam de criptografia? Como proteger esses dados? A criptografia é a única saída? Qual é o grande gargalo em usar a criptografia para proteger dados em nuvem? O desafio é cultural? Tecnológico? Processual?

“Ainda vejo um gargalo cultural sobre o tema criptografia, principalmente quando falamos em ambientes híbridos”, destaca Leonardo Ovídio, CISO do IRB Brasil Re. O executivo diz que a palavra-chave é orquestração, não só olhar a criptografia como um recurso único para proteger dado sensível na nuvem, mas se atentar para os demais pilares que compõem a segurança em camadas.

“Nosso papel como CISO é provocar uma Segurança fim a fim. Tudo está integrado e não podemos pensar que só a criptografia vai proteger o dado. Se pensarmos assim, teremos uma falsa sensação de Segurança”, alerta o executivo.

O Head em SI e Privacidade de Dados na Ypê, Paulo Yukio, concorda com Ovídio e pontua também a necessidade de desmistificação da criptografia, uma vez que ela está mais barata e disponível no mercado.

“Não é um único recurso, é mais um componente da Segurança. O ponto de atenção é falar para a empresa: ‘Também usamos criptografia para proteger o ambiente’. Não ‘Temos criptografia, estamos salvos’. Se apostarmos só neste recurso, teremos sim a falsa sensação de segurança”, diz Yukio.

Márcio Nunes, CTO da Valid, acrescenta que os números do relatório mostram o quanto as empresas precisam evoluir em Segurança. “O ponto importante é gerenciamento. Os ambientes já são complexos, é preciso gerenciar bem os acessos, as chaves e elementos intrínsecos da SI”, diz.

“A criptografia veio trazer o cofre do dado, ou seja, proteger o dado de quem não deveria ter acesso. Ela mitiga o risco de acesso indevido à informação confidencial, um dos principais vetores de vazamento de dado”, completa Abilio Branco, Country Sales Manager e DPO da Thales Brasil.