Ética e Legislação de Software 2

•

CSV

Mauro Italiano

03/05/2024

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Conteudista: Prof. Me. Afonso Maria Luiz Rodrigues Pavão
Revisão Textual: Esp. Ricardo Messias Marques

Objetivo da Unidade:
Discutir os aspectos relacionados à proteção de dados pessoais e às
responsabilidades envolvidas.
˨ Material Teórico
˨ Material Complementar
˨ Referências
Proteção de Dados
Introdução
Atualmente, todas as empresas e pessoas têm uma grande preocupação com as informações que
trafegam pela internet e também com a sua privacidade, não é mesmo?
Nesta Unidade, vamos tratar desses assuntos e como é possível melhorar a segurança dos dados
e das informações, garantindo que a privacidade seja mantida.
Mas para falarmos de segurança das informações, é necessário lembramos alguns conceitos
básicos, tais como dado e informação:
1 / 3
˨ Material Teórico
Para Laudon (2004), dados são fluxos de fatos brutos que representam eventos que
estão ocorrendo nas organizações ou no ambiente físico antes de terem sido
organizados e arranjados de uma forma que as pessoas possam entendê-los e usá-
los;
Para O´Brien (2004), dados são fatos ou observações cruas, normalmente sobre
fenômenos físicos ou transações de negócios. Os dados são medidas objetivas dos
atributos, ou seja, as características de entidades como pessoas, lugares, coisas ou
eventos;
Para Laudon (2004), informação são dados que tenham sido trabalhados de uma
forma que tenham significado e sejam úteis para as pessoas, apresentados em uma
forma significativa e útil para os seres humanos;
Para O´Brien (2004), informação são dados que foram convertidos em um contexto
significativo e útil para usuários finais específicos. Assim, os dados são submetidos
De fato, as transações financeiras, por exemplo, uma transferência bancária entre duas contas
correntes, ocorrem porque informamos os dados das contas de débito e de crédito, a data e o
valor da transferência.
E a informação é o resultado dessa transação: o comprovante gerado e que é a garantia que
aquela transferência ocorreu. Note que este comprovante contém diversos dados que foram
processados, agrupados e exibidos de modo organizado.
Uma vez que relembramos esses conceitos básicos, passemos agora a tratar dos objetos de
estudo desta Unidade.
Segurança de Dados
Quando se fala em segurança de dados, temos que levar em conta um princípio que a meu ver é
fundamental: se um dado qualquer estiver errado ou inconsistente e se o processamento desse
mesmo dado não identificar isso, a informação que será gerada não atenderá a seu objetivo, pois
será no mínimo também incorreta ou incompleta e, portanto, indesejável e desnecessária.
É, então, imprescindível que sejam tomadas as devidas precauções para se garantir a
confiabilidade dos dados logo na sua origem, independente do mesmo ter sido gerado manual
ou automaticamente. O fato é que devem existir controles para se evitar falhas ou erros.
Assim, tratar este assunto abrangente como sendo segurança de dados ou como segurança de
informação não irá fazer diferença, na medida em que estão relacionados e são dependentes
entre si.
A segurança envolve diversos aspectos, tais como os princípios gerais requeridos pela
organização, técnicas e protocolos de diversos tipos de controle, assim como as regras, normas
e procedimentos que tenham como alvo tentar garantir mais confiabilidade a um sistema de
a um processo que irá agregar algum valor. Esse processo é chamado de
processamento de dados ou processamento de informação.
informação e, consequentemente, às informações por ele geradas. Seu principal objetivo é
proteger a informação dos mais diferentes tipos de ameaças, possibilitando, assim, que haja a
continuidade dos negócios da empresa, seja reduzindo suas perdas, que podem ser financeiras
ou não, ou ainda aumentando suas receitas.
Os sistemas de informação devem garantir que os dados sejam consistentes já a partir de sua
entrada, para que os processamentos ocorram corretamente e sem que aconteçam falhas e
gerem informações com erros.
Dessa forma, deve-se garantir precisão, integridade e segurança nas diversas atividades e
recursos requeridos pelos sistemas de informação. E são exatamente os controles que podem
reduzir as chances de erros, perda de dados ou informações, ou ainda, fraudes, podendo, assim,
gerar informações com maior qualidade. Com isso, acabam por reduzir os problemas que a
tecnologia da informação pode produzir e os impactos negativos na imagem, continuidade dos
negócios e no sucesso das empresas e porque não, também na qualidade de vida na sociedade
como um todo.
Quanto mais controles a organização determinar e quanto mais eficazes forem, maior será a
segurança que os sistemas de informação irão proporcionar a seus dados.
Os diversos tipos de controle precisam ser elaborados, desenvolvidos, implantados e
acompanhados frequentemente para garantir a qualidade e a segurança que se deseja: trata-se
dos controles de sistemas de informação, controles de procedimentos e das instalações.
Controles nos Sistemas de Informação
Um desses controles é o de sistemas de informação. Trata-se de métodos e dispositivos que
buscam garantir a validade, a precisão e a característica (ou propriedade) daquele sistema.
Estes controles devem ser criados para monitorar e manter a segurança e a qualidade de todas as
atividades relativas às entradas, processamento, saídas e armazenamento que os sistemas de
informação fazem uso e geram.
Então, devem se responsabilizar pelas corretas entrada de dados, pelas técnicas de
processamento, pelos métodos de armazenamento e pela saída das informações.
Controles de Entrada
Os controles de entrada devem garantir que os dados estejam íntegros para que o
processamento ocorra sem erros e que as saídas também estejam certas.
Esses controles devem incluir mecanismos e códigos de segurança, tais como senhas, telas de
entrada de dados adequadamente formatadas e com consistência de campos, alertas sonoros e
visuais em caso de erros, telas com “máscaras” para as teclas em que os dispositivos sejam
assim acionados e ainda formulários pré-elaborados (pré-numerados e/ou pré-gravados).
Os sistemas que são executados em tempo real devem registrar (gravar) todas as entradas nos
chamados registros de controle, em qualquer meio ou dispositivo físico, como por exemplo,
discos ou fitas magnéticas, de tal forma que possam ser preservadas toda e qualquer evidência
naquelas entradas para efeitos de reprocessamentos, mecanismos de reinicialização de um
processamento e, inclusive, para efeitos de trilha de auditoria (audit trail) ou ainda para análises
e verificações periódicas de validação e qualidade, além das determinações dos totais de controle
(gerais ou parciais) de dados ou registros de entrada, processados e de saída.
Controles de Processamento
Outro controle muito importante a ser executado é o controle de processamento: estando os
dados adequada e corretamente registrados por um sistema aplicativo, espera-se que estes
sejam processados corretamente; os controles de processamento devem identificar erros em
todos os tipos de cálculos e de operações lógicas, uma vez que são também utilizados de forma a
garantir que não ocorram dados perdidos ou que não tenham sido processados. Esses controles,
conforme a criticidade da aplicação, podem também incluir outros controles, de hardware e de
software.
Os controles de hardware referem-se a validações específicas embutidas no hardware que visam
verificar o quão preciso é o processamento do computador. Estes incluem os circuitos para
detecção de falhas, os quais são utilizados para o monitoramento de suas operações, como
verificações de paridade, do eco, verificações de redundância de circuitos, de sinais aritméticos,
de sincronização e de voltagem da unidade central de processamento.
Os controles de hardware também englobam os componentes redundantes. São os dispositivos
de verificação e garantia de exatidão nas
tarefas de leitura e de gravação, com os múltiplos
cabeçotes para esta finalidade. Além desses, também existem os microprocessadores com
finalidades específicas e respectivos circuitos associados. São os dispositivos utilizados para o
apoio a diagnósticos e correções (manutenções) remotas, que permitem aos técnicos que seja
feita a correção de determinados tipos de problemas por intermédio das redes.
Já os controles de software visam garantir que o processamento ocorra com dados corretos.
Esse tipo de controle inclui label (ou rótulo) interno, que possibilita ao computador garantir que
se está utilizando o arquivo correto e que o processamento usará os dados corretos.
Outro controle de software importante é especificar alguns pontos internos de verificação
(check-points) durante o processamento e em algumas partes específicas de um programa em
execução para que os resultados intermediários de seu processamento sejam gravados ou
impressos em algum dispositivo físico. Estes pontos de verificação reduzem os efeitos e as
possibilidades de erros no processamento e também colaboram para com as análises de audit
trail.
Saiba Mais
Audit Trail ou trilha de auditoria refere-se à possibilidade de se
acompanhar o processamento das transações em qualquer etapa (e em
todas as etapas) de um processamento.
Outro controle de software é conhecido por pacote de sistema especialista ou o mais comum, de
monitor de segurança de sistema. É um programa específico que objetiva monitorar a utilização
do sistema computacional, protegendo todos os seus recursos contra destruições (acidentais ou
não), fraudes ou uso não autorizado.
Controles de Saída
Esses controles são elaborados para assegurar que as informações resultantes dos
processamentos sejam corretas, completas e estejam disponíveis para os usuários autorizados
que delas necessitem.
Os controles de saída frequentemente utilizados são os documentos e/ou relatórios que seguem
um roteiro de verificações visuais por parte dos funcionários do setor de expedição do data
center ou até mesmo do usuário final. Tais controles nas listagens são os totais de saídas
geradas que são comparados com os totais das entradas e dos processados em suas diversas
etapas.
Normalmente, esse tipo de controle é impresso para gerar evidências no fluxo de entrada,
processamento e saída, mas podem também serem gravados para avaliações e auditorias nesses
controles posteriormente. Além disso, devem ser utilizados formulários pré-numerados (ou
mesmo enumerados sequencial e automaticamente pelo próprio processamento), para fins de
melhorias nos controles e inclusive, também, de auditoria. Seu objetivo principal é evitar a perda
de documentos gerados automaticamente.
Outro controle importante é manter-se uma lista de distribuição dos relatórios e listagens com a
indicação e restrição de quais usuários estão autorizados a recebê-las. Em situações de maior
responsabilidade ou confidencialidade, os acessos aos documentos gerados podem ser
controlados automaticamente (ou não) por intermédio de códigos de segurança com senhas e
níveis de acesso para identificar a autorização para o recebimento daqueles documentos,
devidamente classificados anteriormente. Um ponto importante neste caso é que esses usuários
autorizados sejam constante e permanentemente incentivados a fornecer um feedback sobre a
qualidade das informações geradas e recebidas.
Controles de Armazenamento
Os controles relativos a armazenamento voltam sua responsabilidade sobre os arquivos de
programas de computador e banco de dados, englobam e estendem atribuições a especialistas
do data center como por exemplo o DBA – administrador de banco de dados.
Tais obrigações envolvem as garantias de proteções contra uso não autorizado ou acidental,
com o apoio de programas de segurança e exigências de identificação apropriadas e no nível
definido conforme as circunstâncias, mediante contas específicas, senhas e outros
mecanismos de segurança, registrando, ainda, o acesso do usuário que foi devidamente
autorizado.
Evidentemente que outros controles para essa finalidade podem fazer uso de tecnologias mais
sofisticadas, como, por exemplo, com o apoio de criptografia e cartão inteligente.
Analogamente, é importante definir o catálogo dos usuários que estão autorizados, conforme
seu nível hierárquico e responsabilidades, para que seja autorizado o acesso aos diversos tipos
de sistemas, de acordo com as suas qualificações técnicas e funcionais. Esse acesso pode
restringir ainda as bases de dados, os registros e até mesmo os campos previamente
identificados, assim como o tipo de acesso liberado, se apenas de consulta: parcial ou total.
Outro mecanismo essencial que deve ter controles adicionais é manter sob custódia adequada os
arquivos considerados de reserva. Estes são arquivos que foram duplicados e que devem ficar
armazenados fisicamente em local distante do data center e em condições ambientais
adequadas, as quais vamos apresentar mais à frente. Da mesma forma, devem ser armazenados
em outros data centers, in cloud.
Veja mais sobre cloud computing – computação em nuvem:
processamento e armazenamento.
A proteção de arquivos deve considerar as medidas de sua retenção conforme a criticidade da
aplicação, dos processamentos que destes fazem uso ou de exigências legais, incluindo tanto os
arquivos base (mestres) como também os de transações em suas diversas versões (avô, pai e
filho) também conforme sua criticidade e inclusive em períodos previamente determinados
pelos stakeholders, pela legislação ou auditorias (interna e/ou externa). Tais arquivos podem ser
utilizados para reprocessamentos, auditorias ou análises estatísticas de performance e/ou
projeções e curvas de tendência.
Controles nas Instalações
Esses controles têm por objetivo proteger as instalações sob a responsabilidade da área de
tecnologia da informação contra a perda ou destruição, acidental ou não, de seus ativos, pois a
mesma está, assim como as redes de comunicação de dados, bastante sujeitas a eventos casuais
como acidentes, desastres naturais (menos comuns no Brasil), sabotagens, espionagens, usos
não autorizados, destruição ou roubo ou ainda vandalismos.
Controles em Redes
Apesar da segurança de uma rede ter como suporte pacotes de software específicos para esta
finalidade: os monitores de segurança de sistemas e rede (são programas que fazem o
monitoramento do uso dos sistemas e das redes de computadores), protegendo-os quanto a
uso não autorizado ou inadequado, destruição ou fraude.
Entre as diversas facilidades, esses programas permitem definir, mediante configurações, quais
são as medidas de segurança requeridas para autorizar que usuários definidos possam acessar
as redes de computação. Esses monitores também podem controlar a utilização dos recursos de
software, de hardware e os dados utilizados pelos sistemas de informação. Além disso, também
coletam e armazenam dados estatísticos de uso e sobre qualquer tentativa de acesso indevido ou
utilização imprópria dos dados, gerando relatórios para análise e melhoria no processo de
manutenção da rede, visando sua qualidade e integridade.
Criptografia
Este mecanismo passou a ser uma das maneiras mais importantes para a proteção de dados e de
outros recursos de rede de computadores, em particular, nas intranets, extranets e internet. Suas
facilidades englobam mensagens, senhas, arquivos ou os dados a serem transmitidos. Os
caracteres são “embaralhados e desembaralhados” por usuários autorizados mediante
processamento pelos sistemas de informação por meio de uma sequência de algoritmos
matemáticos: a chave, antes de sua transmissão. Após ser concluída a transmissão, outro
sistema, no destino, faz a descriptografia, decodificando-os e retornando-os a seu formato e
conteúdo originais.
Os programas que executam essa transformação normalmente são comercializados de forma
independente, como produtos isolados, ou que seguem “embutidos”
em um software usado para
executar a criptografia. Esses programas usam os métodos conhecidos como um par de chaves
públicas e privadas, exclusivas para cada instalação.
Firewall
Para efeitos de controle e segurança na internet e em outras redes de computadores, como a
intranet, é também utilizado este outro método, que tem como características protegê-las
contra invasão. O firewall funciona como um filtro e age como um ponto seguro para transferir o
acesso de equipamentos às redes, e vice-versa. O software monitora todo o tráfego nas redes,
pesquisando senhas corretas e outros códigos de segurança e somente permite acesso e
transmissões (para fora e de fora da rede), caso estejam devidamente autorizadas.
Esses componentes são considerados vitais para as organizações que têm acesso à
internet (todas têm, senão a maioria) até porque há falta de segurança na internet, o que causa
muita vulnerabilidade. Porém, os firewalls detêm um acesso não autorizado, mas não
conseguem evitar totalmente acesso indevido (hacking). Por este motivo, o firewall pode ser
configurado para permitir acesso apenas a partir de locais específicos e credenciados para
computadores previamente determinados, ou ainda permitir que apenas dados ou informações
com controles adicionais (criptografados, por exemplo), sejam transmitidos. É que em
determinadas situações não é possível estabelecer que um serviço na rede seja ou não seguro;
nesse caso, recusam-se todos os pedidos de acesso, bloqueando-os. Apesar de todos os
benefícios do firewall, substituindo outros mecanismos, é bom saber que apesar de serem
menos vulneráveis, não o são totalmente.
Controles de Proteção Física
Esses controles visam fornecer o máximo de segurança e proteção contra perdas de recursos
computacionais. Um data center exige que existam diversos tipos de controles de acesso,
permitido apenas a pessoal autorizado e imprescindível no local. Por isso, são feitos
investimentos para a segurança que englobam técnicas tais como fechaduras eletrônicas,
identificação mediante simbologia diferenciada, portas e portões com acesso restrito e, claro,
controlado, além de alarmes contra roubo, circuito interno de televisão fechado para
monitoramento e outros sistemas de detecção.
Além dos controles de acesso, é fundamental que um data center exerça controles adicionais
para proteção instalando sistemas de detecção e extinção de incêndio, cofres protegidos e à
prova de incêndio para armazenamento de arquivos, sistemas de controle e instalações isoladas
e específicas relativas a cabeamentos de rede, de energia elétrica, de iluminação de emergência,
além de controles de temperatura, poeira e umidade. A sala do data center também deve ter piso
falso (elevado) para a passagem das fiações e do ar-condicionado (esse também pelo teto), ser
de alvenaria de qualidade e, de preferência, com proteções contra eletromagnetismo.
Controles Biométricos
Os controles de biometria complementam as medidas de segurança contra acessos indevidos ou
não autorizados ao local do data center. Tais controles são fornecidos por mecanismos em
dispositivos de computação com características que fazem a medição física de cada indivíduo e
suas características, incluindo verificação da voz, impressões digitais, escaneamento de retina,
análise de digitação, reconhecimento facial, geometria da mão, análise de padrões genéticos e
até a dinâmica manual de uma assinatura.
Controles de Falhas no Processamento
Podemos considerar os controles de falhas em processamento triviais e sequer os
considerarmos. Mas só de lembrar os demais controles citados até aqui, é possível constatar que
além daqueles afetarem a segurança dos dados e das informações, outros procedimentos devem
ser implementados para minimizar os possíveis erros nos processamentos, decorrentes de suas
falhas.
Então, vejamos: os processamentos nos computadores podem ser interrompidos devido à
variação ou pior: queda de energia, problemas externos ou internos nas redes de
telecomunicações, defeitos na rede elétrica ou nos circuitos eletrônicos, erros na programação,
erros ou falhas na operação, vandalismo eletrônico ou mecanismos de fishing e falhas
decorrentes da elicitação de requisitos no projeto de um sistema.
Pois é: são muitos os riscos que devem ser assumidos numa instalação computacional, e o órgão
deve tomar medidas de forma a evitar falhas nos equipamentos para minimizar os efeitos
prejudiciais e assim garantir a confiabilidade dos processamentos.
A instalação deve negociar e estabelecer padrões confiáveis para o fornecimento de energia
elétrica, ar-condicionado, nobreaks e geradores, além de possuir controles adequados sobre
umidade e prevenção contra incêndio. Utilizar computadores capacitados a receber manutenção
automática e à distância pertencem a outros mecanismos para garantir a segurança e a
continuidade dos negócios da organização, assim como desenvolver, elaborar e divulgar uma
programação de manutenções preventivas e detectivas a fim de, inclusive, evitar-se ao máximo
as manutenções corretivas, que provocam a interrupção nos processamentos; o mesmo
raciocínio para as manutenções e atualizações dos diversos softwares requeridos, tais como o
básico, banco de dados, telecomunicações, redes e as diversas aplicações.
O planejamento para a atualização de determinados softwares críticos e as atualizações de
hardware deve ser acompanhado, monitorado e atualizado com frequência para se evitar
problemas. Da mesma forma, devem existir possibilidades e parcerias para se manter
backups (cópia de segurança) do computador e de arquivos críticos armazenados externamente,
e, se for em data centers maiores que prestam serviços, deve ser exigido destes garantias
explícitas para esta finalidade (e ainda maiores para casos extremos de necessidade de
recuperação de desastres).
Outros pontos importantes são: promover treinamentos e reciclagens constantes dos
profissionais envolvidos com a segurança e com os controles dos dados e, de preferência,
utilizar sistemas computacionais tolerantes a falhas.
Por falar em tolerância a falhas, são sistemas que buscam evitar a falha de um computador
fazendo uso de diversas unidades centrais de processamento (CPUs), diversos periféricos e
softwares de sistemas e que continuam operando, apesar de em nível reduzido de performance
(porém aceitável), caso ocorra uma falha no sistema. Já os sistemas à prova de falhas, referem-
se àqueles que continuam operando com o mesmo desempenho anterior em caso de uma falha
ter ocorrido.
Controles de Procedimentos
Notadamente, não haverá controles adequados se os procedimentos também não forem
seguidos e controlados. Os controles de procedimentos a que nos referimos são métodos que
determinam quais e como os recursos de computadores e de redes em uma organização devem
ser operados, de modo a se ter o máximo possível de segurança, pois a orientação advinda dos
mesmos é que define e ajuda a precisão e a integridade nas operações de computadores e nas
ações aplicadas no desenvolvimento de aplicações. Os procedimentos devem conter o que
chamamos de padrões a serem seguidos, estruturação e formatação da documentação no data
Saiba Mais
Norma NBR ISO/IEC 27002 – Tecnologia da informação – técnicas de
segurança – código de prática para controles de segurança da
informação.
center, as definições, os requisitos e as ações necessários para autorizações, para recuperação de
dados em casos de sinistros e as diretrizes da computação para os usuários finais.
Procedimentos padrão são aqueles elaborados pela área de tecnologia da informação em uma
organização para que sejam adotados e seguidos para a operação e processamento dos sistemas
de informação. Tais procedimentos dedicam-se, além de controlar as atividades executadas
conforme as responsabilidades de seus stakeholders, a também buscar a qualidade nos serviços
prestados e reduzir as possibilidades de erros e fraudes.
São orientações a usuários
e especialistas de TI para que todos conheçam as responsabilidades,
atribuições e ações de cada um, bem como a quem recorrer em situações de procedimentos
operacionais, visando à qualidade sistêmica e de serviços. É claro que também contém
documentação que inclui definições e instruções relativas aos processos de software: projeto,
implementação, implantação, manutenção e sua operação. Estas documentações devem ser
seguidas, elaboradas e manutenidas tanto quanto o próprio software, já que são imprescindíveis
e têm valor inestimável para efeitos de manutenções corretivas, preventivas e de melhorias.
Requisitos de Autorização
As premissas para o desenvolvimento de um sistema, para as modificações de rotinas,
programas ou ainda os processamentos precisam ser submetidos a uma gama de revisões
formais por parte das gerências envolvidas antes de ser determinada a autorização para que
sejam executados, pois esta tem como objeto reduzir ou eliminar quaisquer efeitos prejudiciais
que possam recair sobre a precisão ou integridade das operações, dos dados e das informações,
até porque têm caráter preventivo.
Recuperação em Caso de Desastres
O restabelecimento das atividades computacionais de uma instalação é imprescindível em locais
e casos onde possam ocorrer terremotos, incêndios, tsunamis, enchentes, furacões, guerrilhas,
atos terroristas ou criminosos, e, obviamente, falhas humanas.
Diversos tipos de empresas, de acordo com seu ramo de atividade e criticidade de suas
operações, tais como instituições financeiras ou companhias aéreas, podem ficar incapacitadas
de executar suas atividades caso ocorra interrupção nos processamentos, o que lhe trará
prejuízos incalculáveis. Isso é mais que suficiente para que elaborem procedimentos para
garantir a recuperação de suas atividades. Estes procedimentos precisam estar devidamente
documentados, atualizados, serem de ciência de todos os envolvidos, terem sido testados e
estarem todos aptos e prontos para os colocar em ação, seja em instalações de backup próprias
ou de parceiros.
Controles Computacionais para Usuário Final
Grande parte das aplicações e da computação que os usuários finais utilizam para executar as
atividades intrínsecas relativas às suas funções organizacionais são muito importantes, e até
mesmo decisivas para a sobrevivência e sucesso da empresa. Por esse motivo, são chamadas de
aplicações críticas, e os controles sobre estas deve ser exercidos da mesma forma e na mesma
medida que as demais aplicações do data center e seguindo-se as mesmas normas e padrões de
procedimentos voltados para os desenvolvedores.
Você pode até pensar que tudo isso é exagero, mas...
Reflita
Imagine que você está realizando uma transação bancária que envolva
a quantia de R$ 500 mil, relativa a um imóvel que acabou de adquirir
com todo seu esforço de trabalho e, de repente, há interrupção no
processamento dessa transação. O vendedor não teve creditado o valor,
o banco não tem registro sobre a transação nem seu destino e em sua
conta corrente não há mais aquele valor. O que você faria? Acredita que
Para que você fique um pouco menos preocupado, devem existir mecanismos que permitam
verificar e garantir a conformidade dos mecanismos e procedimentos de controle e segurança.
Esses mecanismos de controle são exercidos pelo órgão de auditoria interna, na sua
especialidade de auditoria da tecnologia de informação mediante procedimentos geralmente
aceitos pelas entidades certificadoras internacionais, além de serem exigência legal para as
empresas que comercializam ações na bolsa de valores e, principalmente, prezam pelo
cumprimento das melhores práticas da governança corporativa. Mas este é outro assunto, o qual
não será tratado neste curso.
Entretanto, você pensa que terminou? Negativo.
Passemos agora ao nosso próximo item a ser discutido, e que está totalmente integrado aos
mecanismos de controle e segurança de dados que vimos até aqui. Trata-se da privacidade.
Privacidade
Vamos iniciar este assunto com uma reflexão:
esta situação é difícil de acontecer? Acredita que todas as informações
seriam restabelecidas rapidamente?
O termo privacidade vem sendo bastante utilizado ultimamente. Também, não é à toa: muitos
fatos têm colaborado para que este assunto não saia de pauta. Há normas ISO que tratam o
assunto, que também é tratado pelas melhores práticas de controle.
Se é verdade que a tecnologia da informação contribuiu para que diversas atividades repetitivas
ou prejudiciais no ambiente de trabalho deixassem de ser executadas pelos humanos,
aumentando a qualidade de vida e do trabalho, também é verdade que a exposição contínua
frente ao computador traz consequências nem sempre agradáveis, principalmente no que tange
ao volume de informações de que frequentemente fazemos uso, direta ou indiretamente, seja
gerando, processando, analisando ou simplesmente lendo.
Uma das questões que estão sendo consideradas, evidentemente, é relativa ao monitoramento
do trabalho pelo computador. Claro que se considerarmos o aspecto ética, isso não é nem um
pouco agradável.
Mas e se olharmos isto sob outra ótica, a ótica de que podemos estar trabalhando e nossa
privacidade estar sendo violada, não por motivos de monitoramento de nosso trabalho, mas por
motivos de inadequação em mecanismos de controle e segurança.
Não é muito pior os dados e informações da empresa (ou os nossos) estarem sendo
indevidamente utilizados ou furtados? Pois então vamos tratar dessas questões.
Reflita
A tecnologia de sistemas de informação existente traz segurança ou
desafios à privacidade?
Privacidade, intimidade, vida íntima ou particular não se referem apenas às questões individuais,
mas também a empresas ou pessoas – bem-intencionadas ou não – que fazem uso de dados
sem autorização. Por outro lado, a arquitetura atual da internet privilegia a criação de tecnologias
de controle de informações de forma indevida, ou seja, possibilitando esse uso indevido.
Isso quer dizer que além da tecnologia permitir o armazenamento e a recuperação de
informações, também facilita seu uso indevido, trazendo efeitos negativos no direito à
privacidade que as pessoas têm.
Algumas questões importantes debatidas por governos e empresas tratam do acesso a
correspondências e registros privados do computador e da coleta e compartilhamento de
informações de pessoas resultantes de entradas a sites e grupos de notícias na internet. É a
violação da privacidade. Outro assunto está relacionado com o fato das empresas terem
conhecimento de qual local um indivíduo está (paging) – os serviços de telefonia têm mais
conexão com as pessoas do que com os locais frequentados. É a chamada monitoração.
O uso de equipamentos automatizados tanto para gerar quanto para coletar informações dos
usuários também têm sido questionados. É a identificação de chamadas. Da mesma forma, o uso
de informações ou preferências de clientes aplicados para vendas adicionais de produtos ou de
serviços (cruzamento de informação) ou solicitar auxílio vem sendo debatido. Ainda outro
assunto questionado trata da coleta de números telefônicos e outros dados para criar o perfil de
cliente. É o acesso não autorizado a arquivos pessoais.
Esses assuntos ganham ainda mais ênfase nas discussões quando associamos a privacidade
pela internet. Sim, porque sua fama é de oferecer um desejado anonimato, mas que na verdade,
estão altamente visíveis e disponíveis para serem violados, já que não há regras claras e rígidas
sobre quais informações podem ser consideradas pessoais ou privativas.
Raciocínio análogo cuida da privacidade do e-mail. Fato é que as organizações possuem políticas
de privacidade diferentes entre si, notadamente, com relação ao correio eletrônico. Umas jamais
monitoram os e-mails dos funcionários, enquanto outras se reservam o direito de monitorar,
outras constantemente monitoram e outras o fazem somente se houver alguma suspeita de uso
ilegal ou não autorizado.
Igualmente
séria, a comparação entre computadores (o chamado cotejo) ocorre quando são
utilizados para comparar dados sobre as características pessoais dos indivíduos, obtidos de
vários sistemas de informação, objetivando identificar alguém para fins governamentais,
empresariais ou outros. O uso indevido disso é uma ameaça à privacidade, além do que podem
combinar o perfil de mais de uma pessoa.
Nos EUA, há uma rígida lei federal que regulamenta os órgãos governamentais quanto ao uso e à
coleta de dados pessoais, ao mesmo tempo que permite aos indivíduos fazer inspeção em seus
próprios dados, copiar, alterar ou excluir dados falsos ou errados.
Mas o interessante é salientar as obrigações que os órgãos – ou agências federais – têm de
divulgar quais arquivos mantêm, os motivos pelos quais solicitam determinadas informações,
além de se responsabilizarem por seu armazenamento, controle, segurança e confidencialidade
(e não poderem revelar essas informações).
Com a lei de privacidade nas comunicações eletrônicas e a lei sobre fraude e abuso do
computador, os EUA trouxeram as principais tentativas de aplicar a privacidade de informações
obtidas por computador, proibindo interceptar, roubar, destruir dados ou invadir sistemas
computacionais.
No Brasil, a mais recente lei é a conhecida “lei geral de proteção aos dados”, a Lei 13709, além de
outras como as Leis 8.248, 13.969, 9.504 e 9.609/98, mas que serão objeto de estudo em outras
Unidades.
Neste momento, você pode estar questionando também o direito que as pessoas devem ter sobre
conhecer informações sobre assuntos que outras desejam que sejam sigilosas (é a liberdade de
informação), o direito que as pessoas têm de expressar suas opiniões (liberdade de discurso) ou
ainda o direito de publicarem suas opiniões (liberdade de imprensa).
Os principais fatos discutidos além das leis relativas a difamação e censura são as técnicas
aplicadas contra a privacidade e que consistem nos mecanismos conhecidos como flaming, que
é a prática do envio de mensagens depreciativas ou vulgares (em inglês, flame mail) ou
mensagens das bulletin board system – bbs, que são ligações por telefone a um sistema com o
computador do usuário para com ele interagir e que permite distribuir softwares, jogos on-line,
aplicativos ou informações e lazer para outros usuários pertencentes a esse grupo de indivíduos.
Mas sem dúvida alguma, o mais usado é o spamming, que consiste no envio indiscriminado de
e-mails de propaganda em massa, indevidos e não autorizados para inúmeros usuários da
internet, conhecido como junk e-mail.
E como se não bastassem essas invasões indesejáveis, ainda temos as piores e cada vez mais
comuns, que são as ações criminosas que tiram proveito do uso das redes, sendo a maior
ameaça ao uso com ética da tecnologia da informação. Estamos falando do crime informatizado,
o qual traz ameaças seríssimas à integridade, à segurança e à qualidade na maioria dos sistemas
de informação, pois fraudam e acessam sistemas de computação médica, traficam senhas
usurpadas e são responsáveis, nos EUA, por uma perda estimada maior que US$ 1000 por
transação.
De acordo com Laudon (2004), a Associação dos Profissionais de Tecnologia da Informação
(Association of Information Technology Professionals) define crime informatizado como:
Para o mesmo autor, nos EUA, são consideradas crime as atividades criminosas que fazem uso
de computadores, o que normalmente inclui:
O uso, acesso, modificação e destruição não autorizados de recursos de hardware,
software, dados ou rede;
A divulgação não autorizada de informações;
A cópia não autorizada de softwares;
A negação de acesso a um usuário final aos seus próprios recursos de hardware,
software, dados ou rede; e
O uso ou conspiração para uso de recursos de computação para obter ilegalmente
informações ou propriedade tangível.
Ao chegarmos ao fim desta Unidade, você com certeza percebeu que os controles necessários
para se garantir a segurança de dados e de informações e à privacidade que todos desejamos ter
envolvem diversos aspectos relativos não só à ética, como também, às melhores práticas de
gestão e leis que objetivam normatizar estes assuntos de sorte a orientar profissionais em todos
os ramos de atividades e permitir que tanto empresas quanto pessoas tenham menos prejuízos e
menos envolvimento em situações fraudulentas ou inescrupulosas.
Roubo de dinheiro, serviços, softwares e dados;
Destruição de dados e softwares, principalmente por vírus de computador;
Acesso malicioso ou hacking na Internet ou outras redes de computadores;
Violação da privacidade;
Violação da lei anti-truste ou internacional; e
Vírus.
Saiba Mais
ITIL – Information Technology Infrastructure Library (práticas para
gerenciamento de serviços em TI).
COBIT – Control Objectives for Information and Related Technologies
(práticas para governança de TI).
Recomendamos que você acesse os links sugeridos no material complementar e que aprofunde
seus conhecimentos com a leitura da bibliografia recomendada.
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Sites
Instituto Gartner e colaborações
Clique no botão para conferir o conteúdo.
ACESSE
Information Systems Audit and Control Association
Clique no botão para conferir o conteúdo.
ACESSE
Leitura
2 / 3
˨ Material Complementar
https://www.gartner.com/en
https://www.isaca.org/
Como a Privacidade na Internet Pode Ser Garantida?
Clique no botão para conferir o conteúdo.
ACESSE
Nove Formas de Manter a Privacidade na Internet
Clique no botão para conferir o conteúdo.
ACESSE
China Aprova Lei de Proteção à Privacidade de Dados na
Internet
Clique no botão para conferir o conteúdo.
ACESSE
Segurança e Privacidade na Internet: Conheça Mais Sobre o
Tema!
Clique no botão para conferir o conteúdo.
ACESSE
https://www.certifiquei.com.br/privacidade-internet/
https://www.techtudo.com.br/listas/2019/06/nove-formas-de-manter-a-privacidade-na-internet.ghtml
https://www.tecmundo.com.br/mercado/223516-china-aprova-lei-protecao-privacidade-dados-internet.htm
https://www.maven.com.br/blog/seguranca-e-privacidade-na-internet-conheca-mais-sobre-o-tema/
O que é Privacidade de Dados?
Clique no botão para conferir o conteúdo.
ACESSE
https://www.kaspersky.com.br/resource-center/threats/internet-and-individual-privacy-protection
BRASIL. Tribunal de Contas da União. Boas práticas em segurança da informação. 4. ed. Brasília:
TCU, 2012.
COELHO, F. E. S. et al. Gestão da segurança da informação. Rio de Janeiro: RNP, 2014.
FONTES, E. Políticas de segurança da informação. Rio de Janeiro: RNP, 2015.
________. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport,
2012.
________. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008.
HINTZBERGEN, J. et al. Fundamentos de segurança da informação. Trad. Allam de Sá. Rio de
Janeiro: Brasport, 2018.
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais: administrando a empresa
digital. 5. ed. São Paulo: Pearson, 2004. (e-book)
O’BRIEN, J. A. Sistemas de Informação e as decisões gerenciais na era da internet. 11. ed. São
Paulo: Saraiva, 2004.
PINHEIRO, P. P. Proteção de dados pessoais: comentários à Lei nº 13.709/2018 (LGPD). 2. ed.
São Paulo: Saraiva Educação, 2020. (e-book)
3 / 3
˨ Referências
STALLINGS, W. Criptografia e segurança de redes: princípios e práticas. 6. ed. São Paulo:
Pearson, 2015.