Nos últimos anos, a discussão sobre criptografia pós-quântica (PQC) foi dominada por debates técnicos sobre algoritmos e metodologias. No entanto, uma nova perspectiva começa a ganhar destaque no setor: o verdadeiro desafio não é apenas técnico, mas organizacional, com a ênfase em governança. Essa é a principal conclusão de um artigo publicado na HackerNoon por Sarath Chandra Vidya Sagar Machupalli, que aborda a necessidade urgente de liderar a transição para a criptografia pós-quântica.
Machupalli destaca que, nas empresas, a ameaça quântica deve ser considerada diferente de uma simples atualização de segurança. Segundo ele, as organizações precisam reavaliar a forma como gerenciam seus ativos criptográficos, uma vez que muitas políticas e controles foram criados em uma época em que algoritmos como o RSA-2048 eram considerados invioláveis. Essa transição, portanto, não se resume a corrigir vulnerabilidades, mas a migrar uma infraestrutura invisível que sustenta identidades, certificações e dados criptografados.
Um dos maiores desafios identificados é que muitas organizações não sabem exatamente onde e como estão utilizando a criptografia. Um diagnóstico revela que a criptografia frequentemente está profundamente entrelaçada em várias camadas técnicas e fornecedores, dificultando a identificação de algoritmos e suas dependências. Essa falta de visibilidade tem consequências diretas, pois impede a priorização eficaz na migração para sistemas pós-quânticos.
O autor diferencia entre a resistência de algoritmo (PQC) e a governança de segurança quântica, que envolve um escopo mais amplo de governança, cumprimento de normas e estratégias corporativas. As empresas enfrentam não apenas a migração técnica, mas também questões complexas relacionadas à responsabilidade, auditoria e a coexistência de sistemas clássicos e pós-quânticos.
Embora as regulamentações e normas evoluam, muitas vezes os sistemas de TI não acompanham esse ritmo, levando a situações em que se aplicam soluções híbridas. Nessas condições, surgem questões desafiadoras sobre como adequar práticas de auditoria e documentação enquanto simultaneamente se garante a continuidade dos serviços.
O artigo propõe um conjunto de recomendações práticas para que as empresas não fiquem paralisadas na teoria e possam avançar em suas transições post-quânticas. Destacam-se a necessidade de um patrocínio executivo real, a criação de uma equipe de transição com autoridade e orçamento adequados, bem como a implementação de um inventário robusto de ativos criptográficos.
Em suma, a transição para a criptografia pós-quântica deve ser abordada como um programa de governança bem definido, que inclua critérios claros, indicadores de progresso e uma responsabilidade compartilhada. As organizações precisam estar preparadas para um futuro onde a computação quântica se torna uma realidade, garantindo que suas infraestruturas e dados permaneçam seguros.
