Por que as organizações não adotam a Certificação Digital?

Era 2 de julho de 2001. Eu estava acompanhando um cliente no Congresso Nacional sobre Tecnologia Aplicada ao Governo – e-Gov Fórum que estava sendo realizado na sede da Câmara Americana de Comércio (Amcham) em São Paulo.

Nesta época eu já tinha decidido dedicar a minha carreira profissional ao estudo e aplicação da tecnologia de criptografia e certificação digital. Tinha começado meus estudos ainda na universidade, 4 anos antes, e já tinha uma boa bagagem no desenvolvimento de algoritmos e protocolos criptográficos.

Eu assistia um painel presidido pelo então Gerente de Projetos de Segurança da Informática do Ministério do Planejamento, Orçamento e Gestão, Pedro Paulo Lemos Machado, hoje Diretor de Auditoria, Fiscalização e Normatização do Instituto Nacional de Tecnologia da Informação (ITI). O painel tinha como tema a “Segurança em Portais de Governo” e tratou de temas como assinatura digital, certificado digital e PKI no âmbito do Governo Federal.

Eu estava me divertindo com o fato de descobrir, naquele momento, que aquele palestrante que falava sobre um tema que tanto me interessava era o meu colega do Coro Sinfônico da Universidade de Brasília com quem eu convivi por 5 anos sem saber que ambos se dedicavam ao estudo da mesma tecnologia (pouco conhecida naquela época). Até aquele momento eu apenas o conhecia como o Pedro Paulo, barítono como eu, com quem eu havia cantado diversas peças de Mozart, Beethoven e Haydn. Após a palestra fui cumprimenta-lo e ficamos falando por alguns minutos sobre o inusitado daquela situação.

Pouco depois, no cafezinho, comecei a ouvir um burburinho sobre uma nova medida provisória que tinha acabado de ser publicada. Todos estavam curiosos e interessados em saber mais sobre a MP 2.200 que havia sido publicada 4 dias antes no dia 28 de junho de 2001.Depois dessa data foram publicadas 2 novas versões do texto. A MP-2.200-1 de 27/07/2001 e a MP 2.200-2 de 24/08/2001. Eu vinha acompanhando desde o ano anterior um movimento do Governo Federal para a criação da ICP-GOV que seria uma infraestrutura de chaves públicas exclusiva do governo. Foi uma surpresa para mim, ver, naquele momento, que aquele projeto tinha se transformado na ICP-Brasil e que alcançaria não só o Governo Federal, mas toda a sociedade brasileira.

Hoje, 15 anos depois desse fato, a ICP-Brasil é uma grande realidade. São milhões de certificados digitais emitidos todos os anos. O mercado amadureceu, abraçou a tecnologia. São diversos projetos de sucesso em diversos segmentos do mercado. As pessoas conhecem a tecnologia e sabem dos benefícios que a sua adoção pode trazer para o dia-a-dia das corporações.

Mas quando olhamos o mercado. Quando vemos todo esse sucesso da ICP-Brasil, uma dúvida paira no ar: Por que as organizações não adotam a Certificação Digital?

A criptografia assimétrica, descrita pela primeira vez nos anos 70, trouxe a possibilidade de provarmos a posse de um segredo sem apresenta-lo. Desta forma, o segredo (chave) é de posse exclusiva do seu titular, cabendo a este a responsabilidade de gerar, guardar e operar essa chave. O que se valida é o resultado do processamento de uma determinada informação, produzida a partir do segredo, não sendo necessário, em momento algum, revelar seu valor. Essa descoberta foi algo revolucionário nos anos 70 e ainda é até hoje. Não é objetivo de esse texto descrever tecnicamente os detalhes desta tecnologia: números primos, fatoração, operações exponenciais, etc. O que nos importa é saber que esta é a base daquilo que chamamos hoje de certificação digital.

A certificação digital é uma ciência nova que está em constante evolução. Ela é regida por normas internacionais, muitas delas construídas nas últimas duas décadas. Quando se aborda a utilização dessa tecnologia considerando um contexto internacional, a segurança nas transações eletrônicas ganha destaque, considerando os três principais benefícios trazidos por ela: autenticação, sigilo e assinatura digital. Porém, com a criação da ICP-Brasil em 2001, um novo fator foi inserido neste cenário: a Legalidade. Com a ICP-Brasil a Certificação Digital passou a ser uma tecnologia de governo com respaldo legal.

O que vimos ao longo destes quinze anos de ICP-Brasil foi o aumento explosivo da utilização da Certificação Digital impulsiona por políticas de Governo. Projetos como SPB, E-CAC (Receita Federal), Nota Fiscal Eletrônica, Conectividade Social, fizeram com que o Certificado Digital passasse a ser mais uma ferramenta na gestão e operação das organizações. Hoje, praticamente, todas as pessoas jurídicas de todos os portes têm pelo menos um certificado digital em seu nome. Porém, este fato, está longe significar que a Certificação Digital é amplamente utilizada nas corporações.

O Certificado Digital é utilizado como um elemento para relacionamento da empresa com os diversos órgãos do governo. Na prática, todos aqueles benefícios que a certificação digital pode trazer nas transações eletrônicas entre os funcionários de uma corporação e suas empresas parceiras não são alcançados porque as organizações não estão adotando essa tecnologia para outros cenários além daqueles que são obrigatórios.

E por que isso acontece? Por que as organizações têm dificuldade em adotar a tecnologia de certificação digital em seus processos internos?

A resposta não é simples. São vários fatores os responsáveis por esta dificuldade. Na minha experiência de 15 anos implantando projetos de certificação digital identifiquei quatro fatores principais: Técnico, Financeiro, Logístico e Cultural.

Mas antes de falarmos mais detalhadamente sobre esses fatores é importante entendermos o que motiva uma corporação a considerar a adoção da certificação digital em seus processos internos e externos.

A tecnologia avançou enormemente nos últimos 20 anos. O início da internet comercial combinada com a proliferação das redes locais de computadores fizeram com que qualquer pessoa ou organização conseguisse ter acesso à informatização de seus negócios. Hoje é muito simples gerar um documento e enviar em segundos para qualquer parte do mundo, ou enviar um e-mail para um colega de trabalho há poucos metros de você. Mas quando é necessário dar legalidade a um documento ou transação, as pessoas saem do mundo eletrônico e voltam para o mundo físico. Imprimem o documento e coletam uma ou mais assinaturas manuscritas das pessoas envolvidas naquele ato.

O que a certificação digital faz é dar legalidade ao documento ou transação em meio eletrônico. Não há mais necessidade de ter papel. Não há mais necessidade de transitar documento em meio físico pra lá e pra cá. Isso trás diversos benefícios para qualquer organização. A burocracia corporativa fica mais rápida, as distâncias encurtam, as pessoas rendem mais nas suas atividades, os custos operacionais diminuem, entre outros.

Então, é muito simples para uma empresa olhar para todas essas vantagens e pensar: “vamos adotar a certificação digital em nossa organização”. E é a partir daí que começam as dificuldades. Vamos analisa-las de uma forma um pouco mais detalhada:

A tecnologia de certificação digital é complexa. Os cursos de computação nas faculdades e universidades não ensinam seus alunos a desenvolverem sistemas utilizando criptografia e certificação digital. São poucas as matérias que tratam o tema, e quando o fazem, o abordam de forma superficial.

Os alunos, quando saem da faculdade e iniciam um primeiro emprego, são direcionados ao desenvolvimento de sistemas, gestão de redes, servidores, periféricos, firewall, anti-malware e tantas outras tecnologias presentes no dia-a-dia das áreas de TI.

Existem muito poucos profissionais com conhecimento em Certificação Digital para implantar a tecnologia em suas organizações. São tantos aspectos que envolvem um projeto dessa natureza: certificado digital X.509, Lista de Certificados Revogados, envelope de assinatura PKCS#7, CMS, XMLDSig, CADES, XADES, PADES, Token, Smart-card, PKCS#11, CSP, OCSP e mais um tanto de outras sopas de letrinhas que deixam qualquer um perdido sem saber por onde começar.

O caminho então é contratar uma consultoria externa que tenha profissionais com o conhecimento e experiência para conduzir um projeto dentro da organização. A consultoria, normalmente, vem com uma licença de software (SDK, assinador, framework, …), treinamento e suporte técnico. Isto é, todo um pacote de produtos e serviços que envolvem um investimento por parte da instituição. E pra complicar ainda mais esse cenário, são poucas as empresas e profissionais no mercado ofertam esse tipo de serviço.

É natural que uma tecnologia tão complexa e que tenha tão poucos profissionais no mercado tenha preços elevados. Contratar um pacote completo de software, consultoria, treinamento e suporte é caro para as organizações.

Quando se considera, além do custo do projeto, o valor unitário para a aquisição de um certificado digital no mercado, aqueles benefícios citados anteriormente deixam de ser tão atrativos como no começo.

No cenário atual somente os órgãos de governo e grandes organizações privadas têm condições de adotar a certificação digital em seus processos do dia-a-dia.

Quando as empresas conseguem vencer as barreiras técnica e financeira e finalmente implantam a certificação digital em suas organizações outros fatores complicadores aparecem.

A entrega dos certificados digitais para os colaboradores da organização, por lei, devem ser feitos presencialmente com a apresentação de um conjunto de documentos que comprovam a identidade da pessoa e autorizam a emissão do seu certificado digital. A empresa precisa, então, definir quais funcionários receberão certificados, agendar um horário para a entrega da documentação e retirada do certificado.

Além da logística de entrega, a gestão do legado também é um grande problema para as organizações. Os certificados digitais tem prazo de validade. Esse prazo começa a contar à partir do dia que o certificado é emitido. Cada colaborador emite num determinado dia e hora. Os dispositivos (token, smart-card, leitores) danificam ou são perdidos e precisam ser trocados. Neste caso, os certificados digitais precisam ser revogados e reemitidos.

A organização, então, precisa ter ferramentas para gerenciar a validade dos certificados digitais de seus colaboradores de forma a renova-los antes vençam e não possam mais ser utilizados.

Por fim, o suporte ao usuário é mais um grande problema na utilização do certificado. A tecnologia é complexa. É token, leitor, cartão, driver, plug-in do Java, marca e versão do navegador, sistema operacional, etc. Um usuário comum tem muita dificuldade para fazer isso tudo funcionar corretamente. As corporações que já adoram a certificação digital atualmente precisam investir pesadamente em suporte técnico ao usuário de forma a manter os serviços funcionando adequadamente. É muito comum que uma empresa, após adotar a certificação digital, acabe abandonando a tecnologia pela dificuldade de manutenção.

É muito difícil abrir mão do papel. As pessoas convivem com papel desde que nasceram. É muito natural pra qualquer pessoa pegar um pedaço de papel, escrever, assinar, ler. É muito simples. Não precisa de alta tecnologia. Só de uma folha e uma caneta. Passamos 20 anos da nossa vida aprendendo isso na escola, na faculdade, nos nossos empregos.

É muito difícil a mudar. As pessoas se habituam a fazer as coisas de uma determinada maneira. Se sentem confortáveis fazendo as coisas daquela forma. Passar a fazer diferente, mesmo sabendo que é pra melhorar o seu trabalho, gera resistência na maioria das pessoas.

Implantar um projeto de certificação digital numa empresa significa convencer as pessoas a abrirem mão do papel. Abrir mão de pegar um documento com a mão, ler, colocar num envelope, enviar pelo correio, arquivar.

Para ter sucesso é preciso comprometimento do alto escalão da empresa. É preciso divulgar os benefícios, treinar e convencer as pessoas a adotarem uma nova forma de fazer as coisas.

É possível uma empresa pequena ou média adotar a certificação digital?

Vendo todo o cenário negativo, parece que a conclusão desse texto será de que a resposta a essa pergunta é NÃO.

Mas a verdade é que o mercado tem mudado. Os fornecedores de tecnologia de certificação digital têm visto que só atender as grandes corporações é um risco para o negócio ao longo prazo.

O mercado de emissão de certificados digitais para Pessoa Jurídica foi construído através das demandas geradas pelo governo que obrigam as empresas a comprarem certificados digitais para continuarem seus negócios. É obrigatório. Tem que comprar. Não tem jeito. Então, as empresas compram, mas não vão além daquilo que é obrigatório.

As Autoridades Certificadoras já perceberam que esse mercado, apesar de ser grande, é limitado. A concorrência está cada vez maior e o bolo não está aumentando. Só há 2 caminhos a seguir: dividir o bolo em partes menores ou aumentar o mercado.

Porém, o mercado que está de fora da tecnologia de certificação digital não aceita o modelo comercial atual. As empresas que fornecem tecnologia e vendem certificados digitais já perceberam isso e já começaram a apresentar formas alternativas de adoção da tecnologia.

Essas novas formas são sensíveis a todos os fatores citados anteriormente como dificultadores e apresentam ideias criativas para solucioná-los.

A mensagem final é: Existe uma luz no fim do túnel. Não estou falando de um futuro próximo. Estou falando de soluções que já estão no mercado e podem ser compradas hoje e são acessíveis a qualquer porte de empresa. É uma questão de conhecer, escolher e começar a usar.

* José Luiz Brandão

Fonte: CryptoID