Sejamos honestos: as perdas de laptops estão alcançando proporções epidêmicas. No estudo denominado 2007 CSI Computer Crime and Security Survey (Estudo sobre Crimes e Segurança em Computadores – CSI 2007), divulgado recentemente, a exata metade dos respondentes afirmou que um laptop ou dispositivo móvel foi roubado de suas organizações, no ano passado.
Em resposta a isso, pelo menos 35 Estados exigem, atualmente, que seja realizada notificação quando informações pessoais são comprometidas, de algum modo. E à medida que as pessoas vão ficando cada vez mais cansadas das contínuas falhas de segurança referentes a dados ? todo mundo tem um amigo que já foi vítima de roubo de identidade ?, inevitavelmente, os clientes começarão a avaliar melhor as práticas de criptografia das companhias com as quais fazem negócios.
Leia a segunda parte da reportagem
O único ponto positivo é que existem isenções para a criptografia relacionadas às leis exigindo notificação, e os produtos de criptografia têm conseguido um grande progresso ? graças, em parte, ao governo federal norte-americano.
O que cabe ao ?Tio Sam? resolver
O diretor de TI do Ministério de Defesa dos Estados Unidos, John Grimes, divulgou um memorando, em julho de 2006, estabelecendo que todos os dados sigilosos armazenados em dispositivos móveis devem ser criptografados. Em resposta a essa iniciativa, a Administração de Serviços Gerais (General Services Administration – GSA), da Equipe Tigre de Segurança de Dados (Data At Rest Tiger Team – DARTT), recentemente concedeu seu selo de aprovação a 10 produtos de criptografia.
Em um processo que Sean Lyons, diretor de operações federais na SafeBoot Technology, descreve como a mais abrangente estrutura de critérios de avaliação que ele já encontrou em uma solicitação formal para envio de propostas, a DARTT apresentou aos fabricantes um conjunto de requisitos técnicos classificados como cruciais, importantes e desejáveis. Os requisitos cruciais incluem a verificação FIPS 140-2. A capacidade de excluir remotamente dados de um dispositivo é um importante critério. E os recursos desejáveis incluem a compatibilidade com os Trusted Platform Modules (Módulos de Plataforma Confiável) e sistemas operacionais com registro único (single sign-on).
Para serem considerados, os produtos precisam atender a todos os requisitos cruciais. São realizados poucos testes formais em laboratório; em vez disso, a DARTT baseia-se nos relatórios enviados pelas agências do governo que já utilizaram a maioria dos produtos sob avaliação. Em junho último, a GSA selecionou dez opções que realizam criptografia completa de discos, arquivos e pastas, além de um dispositivo de criptografia de hardware conectado a USB, destinado à memória RAM flash. Isso poderá criar uma base com até 25 milhões de usuários para quem fechar o contrato, o que representa um tremendo volume, que poderá simplesmente reduzir os preços para o restante do mercado. Durante cinco anos, o valor dessas compras poderá atingir os US$79 milhões, de acordo com a Office of Management and Budget (Divisão de Gerenciamento e Orçamentos). O aspecto negativo é que com o poder de compra do governo concentrado entre aqueles que conseguirem o contrato, outros fabricantes poderão passar por dificuldades para manter o fluxo de caixa destinado a pesquisa e desenvolvimento.
Abordagem holística
O governo teve de aprovar 10 produtos para uma função, porque não existe um único produto capaz de realizar criptografia completa. Na verdade, a única coisa pior do que perder um laptop repleto de dados sigilosos não criptografados é tentar administrar uma companhia com inúmeros dispositivos criptografados.
Por enquanto, a TI deverá agrupar sistemas que resolvem somente partes do problema. Por exemplo, uma companhia pode ter um servidor corporativo BlackBerry para gerenciar seus smartphones e garantir a criptografia de dados integrada da RIM, enquanto os dispositivos com Windows Mobile permitem algumas políticas de gerenciamento por meio do Exchange 2003 ou a partir de um console de criptografia de terceiros. Contudo, outro sistema poderá ser necessário para gerenciar as políticas e recuperação de chaves para uma suíte completa de criptografia de discos para laptops utilizando o Windows. Já a ferramenta FileVault, da Apple, irá ?trancar? tudo na conta do usuário, exceto aplicativos ou bibliotecas do sistema, e não oferece gerenciamento centralizado.
Se você estiver selecionando um sistema de criptografia, considere pelo menos os próximos 18 meses de desenvolvimento das plataformas com que seu sistema terá de ser compatível. O meio mais garantido de manter a criptografia consistente e gerenciável é investir em um produto capaz de gerenciar a criptografia da variedade mais ampla possível de dispositivos móveis e garantir o cumprimento de um conjunto único e coerente de políticas. No ano passado, analisamos sistemas de criptografia completa de discos e, como um sinal do quanto esta tecnologia está se tornando amplamente utilizada, a SafeBoot, que recebeu nosso prêmio Editor’s Choice, está sendo adquirida pela McAfee.
