Brasil: por uma Governança para a Segurança da Informação

17 de março de 2014
Compartilhe

Precisamos urgentemente de uma Governança para a Segurança da informação para o Estado da República Federativa do Brasil. Entendo que não temos. Porém, se ela existe, está escondida a sete chaves. E, neste caso, vai contra um dos princípios da Governança (e da boa democracia): transparência.

Primeiramente, precisamos nos lembrar (ou aprender) que Governança é o direcionamento que se quer para um determinado assunto. No caso que estamos tratando: segurança da informação. Os acontecimentos recentes nos levam a entender que estamos longe de ter uma Governança para a Segurança da Informação. Em certos momentos, parece que estamos rodando em círculos, e culpando os outros.

Para se ter uma Governança de Segurança da Informação é necessário:

1. Definir como será a estrutura para cuidar da proteção da informação

Como Estado, precisamos cuidar das ameaças internas e das ameaças externas. É uma monitoração continua.

Em relação a ameaças internas, muitas vezes não são grandes problemas de espionagem. Constantemente, dados sigilosos são encontrados em papeis desprezados no lixo. Outras vezes, órgãos como o TSE, iriam disponibilizar dados de 142 milhões de brasileiros para uma empresa não pertencente ao governo. Ou, pessoas autorizadas que acessam informações privilegiadas aceitam ser corrompidas e disponibilizam, mediante o recebimento de valor financeiro, informações para organizações que não estão autorizadas a acessar estas informações.

Em relação ao ambiente externo, a exigência de um monitoramento estruturado e constante é fundamental.

2. Definir a dependência dos fornecedores

O Estado é cliente de fornecedores de soluções em tecnologia da informação. A maioria destes fornecedores que tratam informações sigilosas não é nacional. Isto dificulta a influência que se pode ter sobre estes fornecedores. Precisamos definir o grau de dependência ou de independência. Teremos tecnologia própria? Ou temos condições de exigir que um fornecedor estrangeiro abra o seu código fonte para provar que não tem nenhuma “porta dos fundos” para entrar quando quiser?

Falamos de produtos, mas isto também é válido para os serviços. Por exemplo, em relação à Internet, dos 13 grandes computadores que gerenciam o tráfego de mensagens, 10 estão nos Estados Unidos e, consequentemente, sob as leis americanas. O Brasil vai deixar de usar a Internet? Claro que não. Mas o Estado Brasileiro precisa ter algumas definições sobre as informações sigilosas do Governo que passarão pela Internet.

Dados sigilosos de Estados são diferentes de dados sigilosos de uma organização comercial de atuação nacional, por exemplo. Sendo bastante realista, uma organização comercial estará muito bem segura utilizando equipamentos e algoritmos de criptografia vendidos por fornecedores estrangeiros. É aceitável. Mas, um Estado, uma Nação politicamente organizada, pode “descansar” seus dados secretos em algoritmos de potências concorrentes, mesmo que não sejam inimigas?

Devemos e queremos pagar por desenvolver uma tecnologia própria?

3. Definir como será realizada a contraespionagem.

O Brasil, de uma maneira simplificada, não tem inimigos. Porém, temos muitos e muitos concorrentes. Com o fim (aparentemente) da guerra fria, a guerra econômica que sempre existiu ficou mais acirrada e, consequentemente, a espionagem econômica ficou mais forte. Recursos como o petróleo confundem o que é Estado e o que é Empresa. Principalmente no nosso caso, quando o Governo é o maior acionista da Petrobrás, e os caminhos a serem trilhados estão fortemente amarrados à decisões deste Governo.

Saber que estamos sendo espionados por uma  notícia veiculada no Programa Fantástico da Rede Globo de Televisão, além de ter uma declaração da Presidente indicando que vai exigir que nosso concorrente diga tudo o que fez de espionagem contra o Brasil, leva a crer que estamos sabendo pouco do que os outros estão fazendo conosco.

4. Definir o conjunto de leis para o tratamento da informação

Não podemos esquecer (podemos discordar), mas a maioria (ou todas) as ações que os Estados Unidos estão realizando contra parceiros econômicos, ao pescar os dados que passam pelo seu território e fazer análises, estão cobertos por uma legislação. Evidentemente que a grande motivação desta legislação é o combate ao terrorismo.Porém, este fato deixa brechas para algumas outras ações (legais de acordo com a legislação americana).

No Brasil não temos leis efetivas sobre o uso da informação. Falamos que a espionagem americana foi uma invasão de privacidade. Porém, permitimos que empresas negociem (vide o caso TSE) dados de pessoas sem que elas tomem conhecimento ou autorizem esta transação.

5. Tratar o assunto “Proteção da Informação” como responsabilidade estratégica.

A implementação de controles faz parte da Gestão da Segurança da Informação. Mas, para uma efetiva proteção, precisamos implantar controles coerentes e direcionados pela Governança da Segurança da Informação. Esta governança é de responsabilidade de quem está à frente do Estado. Ela deve ser Política de Estado, válida para todos os governos que assumirem o país.

A gestão deve obedecer a governança. Na Estação Antártida Comandante Ferraz, onde o governo brasileiro realizava pesquisa e que foi destruída por um incêndio, não existiam cópias de segurança das pesquisas. Perdeu-se tudo. As informações das pesquisas foram todas perdidas.

Conclusão

Evidentemente é importante refletir o passado, para entender e aprender com falhas ou limitações. Mas, mais importante é o que se vai fazer daqui para frente. Temo que resultados imediatos serão difíceis de acontecer. Mesmo querendo mudar, passaremos um bom tempo dependente de tecnologias que não dominamos. Mas, queremos esta mesma situação para daqui a dez anos? A decisão está nas nossas mãos.

 

*Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

Últimas Notícias
STARTUP ONE MBA 2024 – 1° SEMESTRE: CONHEÇA O TOP 10 Leia mais
PROFESSORES DA FIAP PARTICIPAM DA III BUSINESS WEEK DA MUST UNIVERSITY Leia mais
MBA em Product Management é opção para transição de carreira Leia mais
NEXT 2023: FIAP PREMIA MAIS DE 80 PROJETOS DOS ALUNOS DA GRADUAÇÃO Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.