Não há dúvidas de que a criptografia é uma ferramenta muito poderosa, cuja inclusão em um programa de segurança empresarial pode melhorar significativamente a segurança das informações de uma organização, quando ela é implementada e gerenciada corretamente.
Introduzida sem uma compreensão abrangente, no entanto, as nuances relacionadas aos ciclos de vida do gerenciamento de chaves, implicações para usuários e aplicativos ou o uso de recursos inadequados, podem acarretar consequências negativas ao processo.
O cumprimento da política interna de segurança e acesso aos dados, além dos mandatos regulatórios externos, continuam a ser o principal motor da implementação de soluções de criptografia corporativa e, embora não seja alterado no curto prazo, existem outras situações em que a criptografia – no nível de arquivo – representa um controle adequado. Entre os muitos outros drivers que comumente são mencionados estão:
- Privacidade das informações de identificação pessoal (PII) – regulamentadas e não regulamentadas;
- Obrigações contratuais com clientes e provedores de serviços de terceiros;
- Implementação de melhores práticas;
- Confidencialidade de dados com provedores de armazenamento baseados em nuvem
A adição de uma solução de criptografia robusta é mais do que uma capacidade complementar para outras soluções existentes ou planejadas, mas também um componente-chave que pode ajudar as empresas na abordagem de políticas regulatórias, políticas internas, confidencialidade e privacidade. Usado em conjunto com um esquema abrangente de classificação de dados que expressa os aspectos específicos da política de governança de dados da entidade, a criptografia de informações sensíveis ao nível de dados pode aumentar significativamente a postura geral de segurança de uma organização.
O sucesso da implementação de qualquer solução de criptografia de nível de dados envolve complexidade técnica que, por sua vez, exige uma análise completa antes da sua introdução em qualquer ambiente empresarial. A interoperabilidade com aplicações existentes, esquemas de armazenamento, arquitetura de rede e considerações de fluxo de trabalho do usuário também devem ser identificadas e abordadas para que os resultados aceitáveis sejam alcançados. Além das considerações puramente técnicas, o consenso sobre política de governança de dados, propriedade de dados, identificação de critérios de inclusão (interpretação de políticas) e localização de dados que requerem criptografia são passos significativos, mas gerenciáveis, em uma solução de criptografia de nível de dados sustentável.
Por sua vez, a adoção de soluções de criptografia comprovadas, que tiveram sucesso no mercado a longo do tempo, continuará a acelerar à medida que a familiaridade com elas e sua facilidade de uso cresçam. A complexidade do gerenciamento de chaves e a capacidade de integrar a criptografia aos fluxos de trabalho dos usuários também amadureceram, ao ponto em que a adoção bem-sucedida requer – por sua vez – recursos qualificados, mas não dedicados, tipicamente disponíveis em muitas organizações.
Embora a classificação de dados e a criptografia não sejam novidades para os profissionais de segurança da informação, as capacidades e a estabilidade oferecidas pelos principais fornecedores mudaram significativamente nos últimos anos. As soluções de criptografia maduras que alavancam os metadados fornecem o nível de precisão necessário para atender aos requisitos complexos de regulamentação e negócios, sem a interrupção indesejada das operações.
Há um punhado de tecnologias e capacidades em que o foco e a dedicação do fornecedor para uma competência básica é de vital importância, sendo que a classificação de dados e a criptografia são duas dessas capacidades. Quando implantadas de forma complementar, oferecem benefícios significativos para os esforços de governança de dados das organizações.