Recentemente, o WhatsApp anunciou uma nova funcionalidade em seu aplicativo, a criptografia fim-a-fim. Adotada por padrão e de forma transparente, o objetivo é fornecer a seus usuários um meio de comunicação seguro, com a proteção de que as mensagens trocadas não poderão ser interceptadas, lidas ou modificadas enquanto estiverem em trânsito.
Este simples fato massificou o uso da criptografia como nunca antes visto. Agora a criptografia está no bolso de 1 bilhão de pessoas, de forma transparente e simples de usar, tornando-se (ainda) mais conhecida do usuário final. Também fixou-se nos corações e mentes a força da expressão "fim-a-fim" e seu princípio subjacente: independentemente de quais os elementos entre o seu smartphone e o da sua contraparte na comunicação, suas informações em trânsito estão protegidas de quaisquer acessos indevidos. Sejam quais forem estes elementos: uma rede sem fio pública como 4G ou WiFi; enlaces físicos de dados; quaisquer equipamentos de rede; quaisquer servidores (mesmo aqueles que do próprio serviço do WhatsApp) etc.
Isso aumenta as expectativas e o nível de exigência de muitos usuários de tecnologia nas empresas, notadamente aqueles com maior poder decisório e que lidam com informações sensíveis diariamente. Afinal, se no seu smartphone (pessoal ou corporativo) é possível usar um aplicativo com tal nível de segurança de forma tão simples e transparente – por que não se pode utilizar soluções similares na rede da empresa, com simplicidade e baixo custo?
Por que se diz que usar aplicativos corporativos no smartphone é perigoso? E por que há tantos receios com a Computação em Nuvem?
É verdade que tanto o WhatsApp quanto a análise que ora se apresenta estão focados apenas na criptografia de dados em trânsito e outros controles de segurança não estão sendo considerados – como autenticação dos usuários, verificação de comprometimento do dispositivo etc. Evidentemente estes são temas que devem ser levantados em análise de risco e para os quais se devem adotar controles adicionais, em caso de necessidade. Mas continuaremos focados na questão da proteção dos dados em trânsito que é o tópico levantado pelo anúncio recente.
A boa notícia é que hoje há, sim, soluções avançadas de segurança que podem oferecer a quaisquer computadores de uma rede corporativa a mesma capacidade fornecida pelo WhatsApp, e com a mesma simplicidade e transparência. Instalando-se de forma automática em estações de trabalho ou em servidores, soluções de segurança que atuam em nível de driver de rede podem cifrar as comunicações entre estes equipamentos de modo automático e transparente. Sem que nenhuma mudança seja necessária na camada da aplicação, os dados em trânsito passam a ter o mesmo "poder" daqueles trafegados com o WhatsApp: estarão cifrados e inacessíveis a usuários não autorizados.
Uma preocupação neste tipo de ambiente poderia ser a gestão de tal solução. Mas isso pode ser simplificado, também – se a solução for associada à gestão de usuários no diretório (Active Directory, por exemplo). Assim, cada vez que uma conta de usuário é criada, removida ou alterada (mudança de departamento ou função, por exemplo), os direitos de acesso e regras de criptografia do usuário serão modificados no Diretório de qualquer maneira e poderão compartilhar diretamente essas atualizações nas regras de criptografia.
Finalmente, essas mesmas funcionalidades podem ser estendidas para os ambientes de mobilidade e Computação em Nuvem. Com isso, protege-se com a criptografia a informação sensível onde quer que esteja. Dentro ou fora dos "muros corporativos".
Muitos negócios se espelham em movimentos de empresas de tecnologia, tidas como sinônimo de inovação, agilidade e geração de valor. Este movimento do WhatsApp tem potencial para levar o uso da criptografia a um novo patamar. Sua empresa pode aproveitar o impulso para viabilização de projetos inovadores, como mobilidade, Nuvem e Internet das Coisas, utilizando o poder habilitador da segurança como fator crítico de sucesso. Será que faz sentido ter este poder disponível no seu bolso, mas não usá-lo para gerar valor para o negócio?
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.