Quando se trata de criptografia, diga não ao status quo

Não faria ' A vida seria muito mais fácil se você não tivesse que trancar a porta da frente da sua empresa quando fosse para casa à noite? Você nunca teria que se preocupar em perder suas chaves. Ou talvez o proprietário do imóvel possa pendurar suas chaves para você. Você então confia no gerente do prédio para destrancar a porta para você todas as manhãs e trancar novamente quando você sair.

Obviamente, os dois cenários são ridículos e nenhuma empresa consideraria seriamente qualquer um deles. No entanto, se isso for verdade, por que tantas empresas permitem que suas organizações de TI operem diariamente sem se preocupar em "travar" e proteger seus ativos digitais, estejam eles hospedados no local ou na nuvem?

Veja também: Ataque Dyn DDoS lança luz sobre o crescente problema de IoT

Não se engane; o primeiro cenário é exatamente o que acontece quando a TI não consegue implantar a criptografia para proteger dados importantes. E quando os departamentos de TI confiam a um provedor de serviços de nuvem a posse de suas chaves de criptografia privadas, em vez de reter seu próprio controle exclusivo sobre elas, isso dificilmente é diferente do segundo cenário, altamente arriscado.

A questão da criptografia inadequada é algo que vale a pena levantar. Uma violação de dados significativa pode ser potencialmente milhares de vezes mais prejudicial do que se os ladrões simplesmente limparem o escritório físico. Uma violação na escala daquela recentemente divulgada pelo Yahoo, na qual se acredita que até um bilhão de registros de clientes foram roubados, seria prejudicial para a maioria das empresas.

Infelizmente, a criptografia inadequada é o status quo para muitas empresas. Por exemplo, uma pesquisa recente encomendada pela HyTrust descobriu que 28 por cento dos clientes de nuvem pública não estavam criptografando dados. E isso é uma pena, porque muitas vezes a decisão de não criptografar é alimentada por alguns mitos persistentes.

Mito nº 1:a criptografia é muito complicada

Nos primeiros dias da criptografia, a tecnologia permanecia fora do alcance de muitas organizações. Soluções como criptografia de disco completo eram caras, difíceis de gerenciar e podiam introduzir penalidades de desempenho inaceitáveis. Acertar muitas vezes significava trazer especialistas em criptografia - e há poucos deles por aí.

Hoje, entretanto, esse não é mais o caso. As soluções de criptografia modernas são em grande parte perfeitas e não requerem especialistas para implantar e gerenciar. Além do mais, os avanços tecnológicos em outras áreas - como as instruções de aceleração de criptografia incorporadas a todas as CPUs modernas da Intel - significam que não há praticamente nenhum impacto no desempenho do sistema.

Mito 2:a criptografia do seu provedor de serviços em nuvem é suficiente

A maioria dos principais fornecedores de nuvem oferece um ou mais serviços integrados de criptografia de dados. Na verdade, a pesquisa HyTrust descobriu que, entre os clientes em nuvem que criptografam, 44% usavam esses serviços. Mas esses serviços não são apenas limitados em sua funcionalidade, mas também problemáticos por alguns motivos.

Primeiro, eles normalmente exigem que você compartilhe sua chave de criptografia privada com o provedor de nuvem - o que nos leva de volta ao segundo cenário que mencionamos anteriormente. Quando você não mantém o controle total sobre suas chaves, não pode ter certeza de que ninguém mais terá acesso aos seus dados. Suas chaves podem ser roubadas se os sistemas do seu provedor forem comprometidos. Ou suponha que seu provedor receba uma ordem judicial, exigindo que ele divulgue seus dados para reguladores ou outras autoridades? Se o seu provedor de nuvem estiver de posse dos seus dados criptografados e das chaves para descriptografar esses dados, você perdeu o pouco controle que pensava ter.

Em segundo lugar, as soluções de criptografia fornecidas pela nuvem tendem a ser proprietárias e exclusivas para cada fornecedor da nuvem, o que leva ao aprisionamento do fornecedor da nuvem. Depois que seus dados são criptografados, torna-se difícil movê-los ou replicá-los para outro fornecedor de nuvem, sem primeiro descriptografar e criptografar novamente seus dados no novo local com as chaves do novo fornecedor de nuvem - algo que se torna cada vez mais oneroso como uma estratégia de várias nuvens torna-se a norma.

Chaves para o sucesso

Quando você pondera essas questões, o uso de uma solução de criptografia de terceiros, com a capacidade de manter o controle sobre as chaves independentemente da localização dos dados, pode se tornar sua nova prática recomendada. Independentemente de você manter seus dados no local, em seu próprio data center, ou na nuvem pública, ou em ambos os locais por meio de uma nuvem híbrida.

As soluções modernas de criptografia de terceiros fornecem criptografia fácil de configurar, oferece alto desempenho e é fácil de gerenciar. Mas o mais importante, usar uma solução de terceiros que é executada em mais de um hipervisor e em mais de uma plataforma de nuvem permite que você desacople suas chaves de seu ambiente de hospedagem, tornando possível criptografar facilmente e, em seguida, mover seus dados de -premises para a nuvem e de nuvem para nuvem.

As outras opções, de não criptografar seus dados de forma alguma, ou de abrir mão do controle de seus dados e chaves para cada fornecedor de nuvem - deveriam estar fora de questão há muito tempo. Com o aumento das ameaças online, incluindo ataques de atores patrocinados pelo estado, uma empresa com dados não criptografados ou controle inadequado sobre as chaves é um cenário tão ridículo quanto deixar a porta aberta.