Diante da transformação digital, empresas de diversos portes e setores buscam tecnologias para garantir compliance, segurança e performance. A aprovação da Lei Geral de Proteção de Dados (LGPD); a previsão de lançamento, em novembro, do novo sistema de pagamentos instantâneos (PIX); e a migração acelerada para o e-commerce são exemplos de mudanças que exigem inovações do mercado.
A implementação de estratégias e soluções adequadas representa um desafio constante nesse processo. Em segurança da informação, ele começa pela escolha entre Software e Hardware para o armazenamento, gerenciamento e operações de chaves criptográficas.
A criptografia é a base da proteção de dados e transações. Ela funciona como um código que embaralha as informações na hora de armazená-las ou transmiti-las, impedindo que sejam decifradas por quem não tem acesso a este código, também chamado de chave criptográfica. E qual a melhor forma de proteger essa chave? Dentro de um cofre ou escondida embaixo do tapete?
Colocar a chave dentro de um elemento físico – um hardware – claramente melhora a segurança, porém implica em um investimento inicial maior. É esta relação entre custo e proteção que precisa ser avaliada pelas empresas, com ênfase nos benefícios de longo prazo.
As soluções de software possuem custo inicial de aquisição menor, por isso são as mais escolhidas. Mas vale ressaltar que todos os ataques, vazamentos de informação e roubo de dados bem-sucedidos ocorrem em empresas que usam soluções baseadas em software. Por esse motivo, a solução de hardware – mais conhecida no mercado como HSM ( módulo de hardware criptográfico ou Hardware Security Module, em inglês) é a escolha correta.
Uma das principais brechas do software consiste no fato de que a segurança da chave criptográfica está diretamente relacionada ao dispositivo em que está armazenada. Se a empresa estiver usando um sistema operacional defasado, por exemplo, as chaves estarão vulneráveis.
O HSM funciona como um cofre digital, que tem como objetivo guardar e proteger essas chaves. Após geração ou importação da chave para o HSM, ela será armazenada e gerenciada somente pelos responsáveis apontados pela organização. Essas pessoas podem variar dependendo da política de segurança da informação da empresa.
Um bom exemplo para ilustrar essas diferenças na prática é o PIX, que vai exigir assinatura digital (uma espécie de autenticação) de todas as transações. Se um atacante conseguir a chave de assinatura, poderá se passar pela empresa e assinar valores diferentes para as transações, gerando uma perda monetária muito grande. Basicamente, qualquer pessoa com um mínimo de conhecimento pode invadir o sistema e roubar as chaves. Se o ambiente é vulnerável, as chaves estão vulneráveis, impossibilitando também a reconstrução das trilhas de acessos para saber quem causou um vazamento.
No HSM, é possível trilhar todas as ações e acessos ao dispositivo, permitindo, por exemplo, a exposição desses dados em uma auditoria. Ou seja, a empresa estará totalmente respaldada judicialmente. Além disso, é possível fazer a comunicação do HSM com qualquer sistema, software, servidor etc. Por possuir API para esse fim, o HSM estabelece um canal seguro (uma das premissas de criptografia) para a comunicação – que se integra facilmente às APIs de mercado.
Em suma, o uso do HSM é simples, prático e muito mais seguro. Por todos esses benefícios, já é possível observar uma mudança de paradigma no mercado, com muitas empresas implementando HSMs em vez de software. Outra tendência que fortalece cada vez mais a adoção de soluções de hardware é a oferta de HSM na nuvem, já que a modalidade possibilita o uso da tecnologia "as a service", barateando os custos de implementação.
Willian Gomes de Oliveira, engenheiro de Pré-Vendas da Kryptus.
