Muitas organizações brasileiras têm uma postura fraca de segurança em relação a outros países no que diz respeito à conscientização dos riscos de segurança e implantação de soluções de criptografia. Foi o que relevou o estudo “Tendências de criptografia 2011”, realizado pelo Instituto Ponemon e patrocinado pela Thales e-Security, um dos principais parceiros da Safeway Consultoria. Ele foi desenvolvido com 525 diretores e gerentes de organizações brasileiras de médio à grande porte e de diversas áreas de atuação. A pesquisa no Brasil faz parte de um estudo maior envolvendo cerca de quatro mil negócios e gerentes de TI nos Estados Unidos, Reino Unido, Alemanha, França, Austrália, Japão e Brasil.
De acordo com o estudo, 44% dos entrevistados afirmaram que suas organizações não têm um plano ou estratégia de criptografia. Apenas 12% das organizações brasileiras têm uma estratégia de criptografia completa e 44% têm uma estratégia parcialmente implantada. Entre as empresas brasileiras, o principal “driver” para o uso de criptografia é proteger a reputação da marca ou o dano resultante de uma violação de dados, sendo que apenas 5% delas afirmam fazer uso da criptografia para evitar ter que notificar clientes ou funcionários depois que ocorre uma violação de dados.
Segundo Umberto Rosti, sócio-fundador da SafeWay Consultoria, empresa especializada em Segurança da Informação, o indicativo dessa baixa preocupação é que não existem leis e normas para proteção de informações sensíveis e a privacidade de clientes no Brasil. “O que percebemos é que mesmo entre as empresas que possuem algum projeto de criptografia a grande preocupação está em proteger a marca e o crescimento da companhia, e não os dados sensíveis, de clientes e fornecedores, uma vez que muitas destas empresas não avisam aos seus clientes quando há um vazamento ou roubo de informações como é de praxe nas legislações mais avançadas”, afirma.
Para Rosti, mesmo as empresas que seguem normas internacionais, como é o caso de instituições financeiras, que deveriam informar sobre vazamentos, não o fazem. “Não existe uma lei específica no Brasil. O que existe é um paralelo com as leis normais. Por exemplo, se alguém lê seu email, o crime vai ser considerado uma quebra de correspondência, o mesmo que alguém pegar uma carta do correio e abrir. E com isso fica difícil qualificar o crime de acordo com o prejuízo para a vítima, que muitas vezes acaba tendo sua vida afetada, seja ela pessoal ou profissional”, afirma.
Outro dado da pesquisa revela que mais da metade dos entrevistados disseram não ter uma área ou pessoa que tenha total responsabilidade de determinar o uso de criptografia. Já 22% dos entrevistados disseram que o líder de TI é mais influente na determinação da estratégia de criptografia da empresa, seguido por 14% que dizem que é o líder da unidade de negócio. Apesar dos resultados obtidos no Brasil, em estudos de outros países foi evidenciado que os líderes empresariais estão ganhando influência na escolha de soluções de criptografia e podem refletir uma tendência mais ampla no consumo de TI. “O ideal é que os líderes do negócio entendam que as iniciativas de segurança da informação podem agregar valor aos seus negócios e melhorar os resultados globais”, diz Rosti.
O estudo mostrou também que gerenciamento de acesso e identidade, seguido pela descoberta de dados em risco, são as duas principais prioridades de proteção de dados. Para Rosti, a preocupação com estes dois fatores mostra que as empresas desconhecem onde estão os dados sensíveis. “Muitas companhias são roubadas, mas só ficam sabendo do roubo quando a informação vazada chega, por exemplo, as mãos de um concorrente, ao mercado ou a mídia. Já que o criminoso, na maioria das vezes, faz apenas a cópia da informação, deixando o original intacto” diz.
Investimento
Em média, as organizações brasileiras dedicam uma porcentagem menor de seus orçamentos de TI para tecnologias de criptografia. O percentual atual de gastos de TI destinado a criptografia é uma média de 10% para as organizações brasileiras. No Japão, por exemplo, são investidos cerca de 25%, seguido de 21% na Alemanha e 18% nos Estados Unidos. No Brasil, este investimento deve aumentar para 16,5% no próximo ano.
Apesar dos inúmeros casos de vazamento de dados registrados (ou não) no país, a maturidade acerca da criptografia ainda é muito pequena em relação às fragilidades das empresas. “A criptografia não poderia ser negligenciada, pois caso tenha um vazamento ou o sistema esteja comprometido por uma vulnerabilidade (roubo de equipamento, hacking, etc), ela torna os dados ilegíveis para outras pessoas, resguardando assim a confidencialidade dos dados”, afirma Rosti.
Por isso, mesmo que ainda não tenha legislação para crimes praticados na internet, o uso de criptografia deveria ser olhado com cuidado para proteção não apenas da marca, mas também aos dados de clientes, fornecedores, usuários, que acabam afetados pela dificuldade das empresas brasileiras em entender ou reconhecer a importância do uso de criptografia para segurança dos seus dados protegidos.
