Criptografia fim-a-fim: disponível no WhatsApp, mas não na sua empresa

0

Recentemente, o WhatsApp anunciou uma nova funcionalidade em seu aplicativo, a criptografia fim-a-fim. Adotada por padrão e de forma transparente, o objetivo é fornecer a seus usuários um meio de comunicação seguro, com a proteção de que as mensagens trocadas não poderão ser interceptadas, lidas ou modificadas enquanto estiverem em trânsito.

Este simples fato massificou o uso da criptografia como nunca antes visto. Agora a criptografia está no bolso de 1 bilhão de pessoas, de forma transparente e simples de usar, tornando-se (ainda) mais conhecida do usuário final. Também fixou-se nos corações e mentes a força da expressão "fim-a-fim" e seu princípio subjacente: independentemente de quais os elementos entre o seu smartphone e o da sua contraparte na comunicação, suas informações em trânsito estão protegidas de quaisquer acessos indevidos. Sejam quais forem estes elementos: uma rede sem fio pública como 4G ou WiFi; enlaces físicos de dados; quaisquer equipamentos de rede; quaisquer servidores (mesmo aqueles que do próprio serviço do WhatsApp) etc.

Isso aumenta as expectativas e o nível de exigência de muitos usuários de tecnologia nas empresas, notadamente aqueles com maior poder decisório e que lidam com informações sensíveis diariamente. Afinal, se no seu smartphone (pessoal ou corporativo) é possível usar um aplicativo com tal nível de segurança de forma tão simples e transparente – por que não se pode utilizar soluções similares na rede da empresa, com simplicidade e baixo custo?

Por que se diz que usar aplicativos corporativos no smartphone é perigoso? E por que há tantos receios com a Computação em Nuvem?

É verdade que tanto o WhatsApp quanto a análise que ora se apresenta estão focados apenas na criptografia de dados em trânsito e outros controles de segurança não estão sendo considerados – como autenticação dos usuários, verificação de comprometimento do dispositivo etc. Evidentemente estes são temas que devem ser levantados em análise de risco e para os quais se devem adotar controles adicionais, em caso de necessidade. Mas continuaremos focados na questão da proteção dos dados em trânsito que é o tópico levantado pelo anúncio recente.

A boa notícia é que hoje há, sim, soluções avançadas de segurança que podem oferecer a quaisquer computadores de uma rede corporativa a mesma capacidade fornecida pelo WhatsApp, e com a mesma simplicidade e transparência. Instalando-se de forma automática em estações de trabalho ou em servidores, soluções de segurança que atuam em nível de driver de rede podem cifrar as comunicações entre estes equipamentos de modo automático e transparente. Sem que nenhuma mudança seja necessária na camada da aplicação, os dados em trânsito passam a ter o mesmo "poder" daqueles trafegados com o WhatsApp: estarão cifrados e inacessíveis a usuários não autorizados.

Uma preocupação neste tipo de ambiente poderia ser a gestão de tal solução. Mas isso pode ser simplificado, também – se a solução for associada à gestão de usuários no diretório (Active Directory, por exemplo). Assim, cada vez que uma conta de usuário é criada, removida ou alterada (mudança de departamento ou função, por exemplo), os direitos de acesso e regras de criptografia do usuário serão modificados no Diretório de qualquer maneira e poderão compartilhar diretamente essas atualizações nas regras de criptografia.

Finalmente, essas mesmas funcionalidades podem ser estendidas para os ambientes de mobilidade e Computação em Nuvem. Com isso, protege-se com a criptografia a informação sensível onde quer que esteja. Dentro ou fora dos "muros corporativos".

Muitos negócios se espelham em movimentos de empresas de tecnologia, tidas como sinônimo de inovação, agilidade e geração de valor. Este movimento do WhatsApp tem potencial para levar o uso da criptografia a um novo patamar. Sua empresa pode aproveitar o impulso para viabilização de projetos inovadores, como mobilidade, Nuvem e Internet das Coisas, utilizando o poder habilitador da segurança como fator crítico de sucesso. Será que faz sentido ter este poder disponível no seu bolso, mas não usá-lo para gerar valor para o negócio?

Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.