Nos últimos 12 meses foram noticiados vazamentos de dados de clientes de três grandes operadoras na América do Norte: T-Mobile, Verizon e Bell Canada. As ocorrências despertaram uma preocupação das teles ao redor do mundo sobre a segurança dos dados, especialmente depois da aprovação de leis sobre o assunto na Europa e no Brasil. As operadoras já tomam uma série de cuidados para proteger as informações de seus clientes, mas são poucas as que criptografam os dados.
“Embora a indústria móvel conheça os benefícios da criptografia, pois esta é utilizada no SIMcard, ela ainda não a adotou para proteger seu big data. Não conheço nenhuma operadora da América Latina que o faça”, comenta Sérgio Muniz, diretor da Gemalto.
Em geral as empresas têm uma série de mecanismos de segurança relacionados à sua infraestrutura. Mas eventualmente um hacker consegue encontrar brechas e acessar os dados. Porém, se estes estiverem criptografados, serão incompreensíveis para os invasores.
“Um dado criptografado não é rentável para o fraudador. Ele acessa mas não consegue fazer nada, pois perderia muito tempo tentando quebrar um algoritmo com a tecnologia de hoje. Teria que investir tempo, recurso e dinheiro demais nisso”, explica o executivo.
Todavia, Muniz ressalta que não é necessário criptografar todos os dados do CRM de uma operadora, mas somente aqueles sensíveis, que poderiam levar às credenciais do usuário. É importante escolher criteriosamente o que criptografar não apenas para evitar custos desnecessários, mas também para não pesar na performance. A tokenização pode ser um primeiro passo antes da criptografia: nela, os dados são embaralhados, mas não há alteração no formato da informação, como a quantidade de caracteres, por exemplo.
O executivo dá ainda outros conselhos de melhores práticas de criptografia: 1) verificar a qualidade do algoritmo de criptografia, pois este precisa estar atualizado e dentro de padrões internacionais; 2) armazenar as chaves separadamente dos dados; 3) fazer uma gestão das chaves, com trocas periódicas, backup regular, revisão da política de acesso dos usuários etc.
A Gemalto fornece ao mercado uma solução de gerenciamento centralizado de criptografia que funciona com soluções legadas. A gestão unificada garante mais segurança, organização e agilidade do que uma gestão fragmentada em silos. Muniz chama de “Bring Your Own Keys” (BYOK) esse modelo de gestão unificada a partir de soluções legadas.
Análise
A recente aprovação da Lei de Proteção de Dados Pessoais faz com que que lidam com grandes bases de usuários , como operadoras de telecomunicações, bancos e redes varejistas, tomem mais cuidados no armazenamento e gerenciamento das informações de seus clientes. Entretanto, a indefinição quanto à criação de uma órgão regulador para fiscalizar o assunto e multar infratores acaba prorrogando parte dos investimentos no aprimoramento da segurança. Enquanto multas não são aplicadas, é o potencial dano à imagem da empresa, caso um vazamento seja noticiado, que estimula os investimentos.
Mobi-ID
Os desafios na gestão de identidades de usuários será tema do painel de abertura do seminário Mobi-ID, que acontecerá no dia 26 de novembro, no WTC, em São Paulo. O evento discutirá também as diferentes técnicas de autenticação digital, das senhas e tokens até a biometria, assim como conceitos como identidade autossoberana. A agenda atualizada e mais informações estão disponíveis em www.mobi-id.com.br, ou pelo telefone 11-3138-4619, ou pelo email [email protected].