Devo usar ou não criptografia? Realmente é necessário? Meus investimentos serão protegidos com a criptografia? Meus negócios estão protegidos com criptografia?
Questionamentos iguais a este, entre outros diariamente são feitos pelos os gestores de TI.
Na verdade atualmente estou ouvindo com freqüência que a criptografia irá resolver todos os problemas de segurança das organizações modernas, facilitando a troca de informações de forma segura e o seu devido armazenamento.
Analisando mais a fundo essas questões, consegui verificar que a aplicação da criptografia está ocorrendo de forma indiscriminada sem a devida análise dos riscos e benefícios que ela traz.
Há pouco tempo atrás, entrei em um site do Governo Federal onde precisava de informações financeiras do Governo de caráter público, onde por minha surpresa encontrei um certificado digital criptografando a pagina com SSL, porém vencido. Sua função básica de proteger as informações estava ocorrendo, apesar de vencido, porém as informações no site em questão eram informações publicas, isto é, qual era a necessidade de proteger o trafego dessas informações uma vez que elas eram públicas?
Outro caso que verifiquei foi em um site de FTP de uma grande empresa, recebi o endereço, usuário e senha para este acesso, porém as informações eram classificadas como criticas e de grande importância para empresa em questão, parte da senha era nome da empresa e o trafego das informações não utilizava nenhum tipo de criptografia.
Exatamente sobre essa utilização ou falta dela que estou falando, muitas vezes avaliar e classificar as informações é o primeiro passo e o mais importante para pensarmos em criptografia, antes mesmo do que a própria tecnologia adotada para proteger os dados.
Definir a tecnologia o tamanho da chave e juntamente com o algoritmo a ser utilizado é o segundo passo deste processo, na imagem abaixo apresento algumas tecnologias, com suas chaves, tipo de algoritmo utilizado e informações adicionais:
Como podemos observar na imagem amostra, temos várias chaves e algoritmos distintos a seu uso e aplicação. O tamanho da chave é extremamente importante para definir o desempenho da aplicação, pois não adiantar selecionar chaves gigantescas que possam inviabilizar a funcionalidade da aplicação ou sistema.
Definir o tipo da chave simétrica ou assimétrica ajuda a direcionar o seu correto uso e por sua vez maior nível de segurança para as aplicações ou dados a serem protegidos. Por exemplo, as chaves assimétricas são utilizadas em par, mais comuns em criptografia de mensagem e arquivos trafegados em redes públicas.
O grande ponto sobre este assunto é antes de decidir o que irei utilizar, o quanto irei gastar e qual a velocidade eu preciso para que minha aplicação ou sistema funcionem, um estudo preliminar será necessário para balizar todos esses itens com inteligência e racionalidade, a fim de obter um equilíbrio entre a segurança, desempenho e investimento.
Recomendamos sempre utilizar a criptografia quando as informações trafegadas ou armazenadas forem classificadas adequadamente e exigirem algum nível de proteção, isto é, caso ocorra um vazamento dessas informações uma perda financeira poderá ocorrer, se isso for verdade a criptografia deve ser utilizada com certeza.
