Privacidade, Preservação e Segurança de Informações
A idéia da construção de uma rede de computadores surgiu através do projeto ARPANET, em 1965 aproximadamente, financiado pelo Departamento de Defesa dos EUA. Desde então, a troca de informações entre computadores se tornou essencial nos diversos setores da sociedade, contribuindo de forma grandiosa para a comunicação mundial.
Porém nessa época não se imaginava a dificuldade que passaria a existir para preservar a segurança da troca de dados de quem a usa. No que se refere a esta perda de privacidade algumas perguntas intrigantes que podem ser feitas são: até que ponto estamos dispostos a abrir mão de nossa privacidade em nome de nossa segurança? Será que isso é mesmo necessário ou se tem abusado no uso de informações particulares se dizendo agir em prol de uma suposta "segurança", quando na verdade tal manipulação nem seria necessária? Uma coisa é certa, um volume cada vez maior de informação está se tornando acessível a qualquer um (principalmente pela Internet) e uma considerável parte desta informação é algo bastante pessoal (como números de documentos, endereço, etc). Será que isso é mesmo necessário à nossa segurança ou tem nos deixado cada vez mais vulneráveis àqueles que assimilam conhecimento sobre nós mesmos?
No atual contexto da economia, informação constitui-se num bem valioso das organizações. Protegê-la é um desafio a ser enfrentado por medidas preventivas, voltadas ao controle do manuseio e guarda de informações, que por sua natureza gerem riscos por sua disseminação. As implicações decorrentes da não aplicação de mecanismos de proteção, causam enormes prejuízos financeiros e econômicos as organizações, além do risco de medidas judiciais e danos à imagem da mesma. Há também que considerar uma outra questão, não menos importante que as demais, pois é sabido que ao ganhar em segurança se perde em eficiência. É preciso então considerar a utilidade da apliação e assim poder gerir um projeto de segurança que satisfaça o usuário, a parte mais interessada no produto.
Os mais pessimistas acreditam que estamos caminhando para uma sociedade nos moldes da Oceania descrita por George Orwell em seu quase "profético" 1984. Câmeras em quase todas as esquinas nos países desenvolvidos, monitoramento de e-mails (o Carnivore do FBI), o Patriot Act nos Estados Unidos, onde se diz que qualquer pessoa nos Estados Unidos pode perder todos os seus direitos civis se for suspeito de terrorismo, e não se precisa nem mostrar a um juiz provas de que essa pessoa tem algo com o terrorismo, os agentes federais podem simplesmente vasculhar a vida inteira dessa pessoa. O Big Brother está olhando.
A maioria dos incidentes ocorridos nos sistemas de informações redunda em danos organizacionais em conseqüência dos mesmos erros e fragilidades que afetam tais sistemas há anos. O impacto desses incidentes revela-se na medida do valor das informações para as organizações. As abordagens convencionais, que visam garantir a segurança dos sistemas calcada em medidas conhecidas de segurança, falham por ignorar a inerente complexidade desses sistemas. A suficiência da interpretação dos fenômenos de segurança de informações ocorre somente se feita sob a óptica sistêmica. Tal abordagem lembra-nos permanentemente da complexidade dos sistemas e nos chama a ler tais fenômenos como sendo conseqüências das interações não-triviais entre os vários subsistemas componentes. Reconhecendo três dimensões primárias dos problemas de segurança de informações (Homem, Organizações e Tecnologia) e o caráter complexo de suas interações, que ocorrem com alto grau de acoplamento, propõe-se uma abordagem mais completa para a leitura e interpretação dos incidentes de segurança que ocorrem nas organizações. A complexidade do elemento Tecnologia decorre da complexidade implícita dos componentes de hardware e software de diferentes fornecedores e das suas interações seja dentro de um único host ou em uma rede de computadores. Tal cenário se agrava na medida em que a competição entre os fornecedores leva à criação de versões mais sofisticadas desses componentes que carreiam novos conflitos ao interagirem com outros componentes já existentes no sistema de informações. As complexidades próprias do Homem e da Organização compõem com a complexidade tecnológica uma complexidade sistêmica de difícil tratamento, tornando os incidentes de segurança de informações um fenômeno intratável com improvisações ao mesmo tempo em que soluções focadas em um único fator se mostram inócuas. A propriedade desta abordagem revela-se pela sua aplicação no entendimento dos incidentes de segurança de informação, identificados em uma empresa de telecomunicações brasileira.
Os casos analisados referem-se às fraudes ocorridas no sistema de faturamento dessa empresa. Analisados sob a óptica proposta, tais casos revelam-se calcados em fatores de ordem humana, organizacional e tecnológica. Entretanto, tais fatores, tomados isoladamente, não respondem suficientemente pelos incidentes observados. Tais incidentes revelam, quando observados pela abordagem proposta, ser a culminância de uma seqüência de incidentes menores que ocorrem pela interação dos fatores de várias ordens. Conseqüentemente, os incidentes últimos, além da relevada importância para uma organização em particular, mostram-se passíveis de ocorrer não só em empresas do mesmo setor econômico mas em empresas de outros setores e no seio do próprio estado.
A área de segurança da informação requer uma ligação, em grande parte, com gestão corporativa de negócios. Onde treinamentos de conscientização dos usuários, permitir o funcionamento normal dos negócios, implementar políticas e procedimentos efetivos com ajustes nas regras de "firewall" apropriados, gestão e redução dos riscos e de perdas com eventos, redução de vulnerabilidades da infra-estrutura, redução de perdas financeiras, aumento dos índices de satisfação dos clientes, são as principais metas. E é primordial evitar roubo de propriedade intelectual, fraudes eletrônicas, desvio de recursos, invasão e privacidade, além do uso inadequado do meio eletrônico para publicação de conteúdos difamatórios.
O que se pode observar é que a Segurança da Informação vem ganhando cada vez mais importância no mundo atual. A própria mudança de eixo pela qual vem passando , deixando de estar ligada apenas à Tecnologia e passando a ser compreendida como ferramenta estratégica para a gestão de negócios, é um exemplo claro desta nova realidade.
Conseqüentemente, esta mudança traz novas exigências para a área e para os profissionais de Segurança da Informação. Uma delas, talvez a mais importante, é a crescente necessidade do desenvolvimento de uma visão estratégica e de negócios, deixando para trás o velho perfil meramente técnico.
O CSO (Chiefs Security Officer) é a personificação deste novo paradigma que surge para a Segurança da Informação e é a sinalização de uma nova tendência que deve ser seguida por todos os profissionais da área.
Uma pauta interessante na privacidade de informações diz respeito ao interesse de diversos governos em bibilhotar e controlar a vida de seus cidadãos, como lhes bem interessar. Há uma onda mundial (felizmente no Brasil ainda fraca) no sentido de controlar a Internet (voltando à velha censura, que agrada os aristocratas sempre que percebem como perigo uma forma de distribuição de conhecimento para a massa) e de "direito" governamental de acesso a todas (sem excessões) as informações de seus cidadãos, dando fim ao que chamamos de vida privada (já ela passaria a ser de conhecimneto público). Daí que se retorna sempre à alusão do Big Brother de George Orwell (1984), mas seria bem interessante se os governos fizessem alusão ao "admirável Mundo Novo" de Huxley, pois se é para ter uma vida controlada, que pelo menos haja distribuição de "soma" para manter a população alienada.
Para o governo ter acesso a todas informações leva ao ciddadão um sentimento de segurançao, pois se o governo souber que determinado cidadão tem tendencias terroristas uma catastrofe poderia ser evitada, mas todo mundo quer ter sua privacidade e isso é um direito do cidadão, mas numa sociedade que caminha para a distribuição total de conhecimento as redes viram um canal de acesso quase que livre a toda e qualquer informação ( não apenas para o governo)mesmo com as tecnologias de proteção ja existentes
Este tema realça o fato de que é muito difícil obter um conceito ou padrão de privacidade e segurança da informação. Seria necessário um concesso geral de todos na definição do que é certo ou errado, o que deve ser privado ou não e o que é seguro ou não. E isso, está muito longo de acontecer, esses conceitos ainda são muito divergentes entre as pessoas. As diferenças culturais dos povos têm importante influência, e, apesar da globalização, elas ainda são bastante atuantes neste aspecto. o ato preservar, deixar seguro algo gera diferentes pontos de vista nas pessoas.
É visível a invasão cada vez maior da privacidade, porém nem todos estão dispostos a cruzar os braços e aceitar que isso aconteça. De um lado temos as autoridades defendendo a invasão na privacidade dos indivíduos para a garantir a própria segurança da nação e empresas querendo perfis de seus clientes para vender mais produtos e do outro temos os indivíduos que não desejam que todos seus passos sejam monitorados, e estejam sujeitos a cairem em mãos alheias.
Os seres humanos aprendem através de sua interação social o que temer e em que confiar. A ameaça à privacidade como estamos vendo agora é muito nova e as próprias pessoas que podem ser suas potenciais vítimas não a reconhecem como tal. Estamos vivendo uma revolução rápida, somos tão fortemente impulsionados por ela (e ao mesmo tempo a impulsionamos com tal força) que muitas vezes não temos tempo de decidir se uma mudança é boa ou ruim. Talvez no futuro as pessoas serão menos acostumadas com a privacidade que conhecemos hoje, não notando a diferença em relação ao passado. Falar do futuro é, entretanto, complicado. De onde estamos, o futuro parece nebuloso na melhor das hipóteses. Só podemos esperar que, no final, não percamos toda nossa privacidade, pois parte dela já foi irreversivelmente perdida.
A privacidade e a segurança da informação suscitam discussão, vez que o Estado passa a valer-se de grandes bancos de dados públicos para tornar determinados serviços mais ágeis e acessíveis à população. Existe urgência em tipificar as condutas violadoras, de forma a fazer com que aquelas que porventura mostrem-se mais danosas tenham punição mais gravosa. O escopo deste trabalho, porém, há de se restringir a uma análise do problema no plano cível, comercial, empresarial.
Inobstante a escassa literatura técnico-científica acerca do tema, pesquisas e estatísticas têm sido feitas com surpreendente regularidade, o que demonstra a urgente necessidade da compreensão fática do fenômeno.
O sigilo e a privacidade não são os únicos problemas trazidos pela necessidade de segurança da informação.
Recente pesquisa realizada pelo instituto Forrester Research dá conta de que em 62% das empresas americanas os funcionários acessam sites de sexo e de bate-papo durante o expediente. Pelas contas do instituto, isso representa uma perda anual de 470 milhões de dólares em produtividade.Um outro estudo, desta vez do SurfWatch, revela que mais de 25% do tempo gasto pelos funcionários conectados à Internet não tem nenhuma relação com trabalho. Perdas acidentais de dados, por sua vez, representam semelhante potencial de prejuízo, pelo que requerem igual tratamento de cautela.São estas circunstâncias, que atentam diretamente contra a segurança da informação, e que, portanto, representam séria ameaça de dano e de prejuízo para as empresas.
Laís Xavier
Renato Ferraz
Adriano Gomes
Assis Neto
Nancy Lino
Pedro Montenegro
Gustavo Gallindo
Paulo Hemlepp
Felipe Paiva
Emanoel Xavier
Durval Santos
Leonardo Reinaldo
Fernando Calheiros
Eduardo Cavalcanti