Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
Conteudista: Prof. Me. Afonso Maria Luiz Rodrigues Pavão Revisão Textual: Esp. Ricardo Messias Marques Objetivo da Unidade: Discutir os aspectos relacionados à proteção de dados pessoais e às responsabilidades envolvidas. ˨ Material Teórico ˨ Material Complementar ˨ Referências Proteção de Dados Introdução Atualmente, todas as empresas e pessoas têm uma grande preocupação com as informações que trafegam pela internet e também com a sua privacidade, não é mesmo? Nesta Unidade, vamos tratar desses assuntos e como é possível melhorar a segurança dos dados e das informações, garantindo que a privacidade seja mantida. Mas para falarmos de segurança das informações, é necessário lembramos alguns conceitos básicos, tais como dado e informação: 1 / 3 ˨ Material Teórico Para Laudon (2004), dados são fluxos de fatos brutos que representam eventos que estão ocorrendo nas organizações ou no ambiente físico antes de terem sido organizados e arranjados de uma forma que as pessoas possam entendê-los e usá- los; Para O´Brien (2004), dados são fatos ou observações cruas, normalmente sobre fenômenos físicos ou transações de negócios. Os dados são medidas objetivas dos atributos, ou seja, as características de entidades como pessoas, lugares, coisas ou eventos; Para Laudon (2004), informação são dados que tenham sido trabalhados de uma forma que tenham significado e sejam úteis para as pessoas, apresentados em uma forma significativa e útil para os seres humanos; Para O´Brien (2004), informação são dados que foram convertidos em um contexto significativo e útil para usuários finais específicos. Assim, os dados são submetidos De fato, as transações financeiras, por exemplo, uma transferência bancária entre duas contas correntes, ocorrem porque informamos os dados das contas de débito e de crédito, a data e o valor da transferência. E a informação é o resultado dessa transação: o comprovante gerado e que é a garantia que aquela transferência ocorreu. Note que este comprovante contém diversos dados que foram processados, agrupados e exibidos de modo organizado. Uma vez que relembramos esses conceitos básicos, passemos agora a tratar dos objetos de estudo desta Unidade. Segurança de Dados Quando se fala em segurança de dados, temos que levar em conta um princípio que a meu ver é fundamental: se um dado qualquer estiver errado ou inconsistente e se o processamento desse mesmo dado não identificar isso, a informação que será gerada não atenderá a seu objetivo, pois será no mínimo também incorreta ou incompleta e, portanto, indesejável e desnecessária. É, então, imprescindível que sejam tomadas as devidas precauções para se garantir a confiabilidade dos dados logo na sua origem, independente do mesmo ter sido gerado manual ou automaticamente. O fato é que devem existir controles para se evitar falhas ou erros. Assim, tratar este assunto abrangente como sendo segurança de dados ou como segurança de informação não irá fazer diferença, na medida em que estão relacionados e são dependentes entre si. A segurança envolve diversos aspectos, tais como os princípios gerais requeridos pela organização, técnicas e protocolos de diversos tipos de controle, assim como as regras, normas e procedimentos que tenham como alvo tentar garantir mais confiabilidade a um sistema de a um processo que irá agregar algum valor. Esse processo é chamado de processamento de dados ou processamento de informação. informação e, consequentemente, às informações por ele geradas. Seu principal objetivo é proteger a informação dos mais diferentes tipos de ameaças, possibilitando, assim, que haja a continuidade dos negócios da empresa, seja reduzindo suas perdas, que podem ser financeiras ou não, ou ainda aumentando suas receitas. Os sistemas de informação devem garantir que os dados sejam consistentes já a partir de sua entrada, para que os processamentos ocorram corretamente e sem que aconteçam falhas e gerem informações com erros. Dessa forma, deve-se garantir precisão, integridade e segurança nas diversas atividades e recursos requeridos pelos sistemas de informação. E são exatamente os controles que podem reduzir as chances de erros, perda de dados ou informações, ou ainda, fraudes, podendo, assim, gerar informações com maior qualidade. Com isso, acabam por reduzir os problemas que a tecnologia da informação pode produzir e os impactos negativos na imagem, continuidade dos negócios e no sucesso das empresas e porque não, também na qualidade de vida na sociedade como um todo. Quanto mais controles a organização determinar e quanto mais eficazes forem, maior será a segurança que os sistemas de informação irão proporcionar a seus dados. Os diversos tipos de controle precisam ser elaborados, desenvolvidos, implantados e acompanhados frequentemente para garantir a qualidade e a segurança que se deseja: trata-se dos controles de sistemas de informação, controles de procedimentos e das instalações. Controles nos Sistemas de Informação Um desses controles é o de sistemas de informação. Trata-se de métodos e dispositivos que buscam garantir a validade, a precisão e a característica (ou propriedade) daquele sistema. Estes controles devem ser criados para monitorar e manter a segurança e a qualidade de todas as atividades relativas às entradas, processamento, saídas e armazenamento que os sistemas de informação fazem uso e geram. Então, devem se responsabilizar pelas corretas entrada de dados, pelas técnicas de processamento, pelos métodos de armazenamento e pela saída das informações. Controles de Entrada Os controles de entrada devem garantir que os dados estejam íntegros para que o processamento ocorra sem erros e que as saídas também estejam certas. Esses controles devem incluir mecanismos e códigos de segurança, tais como senhas, telas de entrada de dados adequadamente formatadas e com consistência de campos, alertas sonoros e visuais em caso de erros, telas com “máscaras” para as teclas em que os dispositivos sejam assim acionados e ainda formulários pré-elaborados (pré-numerados e/ou pré-gravados). Os sistemas que são executados em tempo real devem registrar (gravar) todas as entradas nos chamados registros de controle, em qualquer meio ou dispositivo físico, como por exemplo, discos ou fitas magnéticas, de tal forma que possam ser preservadas toda e qualquer evidência naquelas entradas para efeitos de reprocessamentos, mecanismos de reinicialização de um processamento e, inclusive, para efeitos de trilha de auditoria (audit trail) ou ainda para análises e verificações periódicas de validação e qualidade, além das determinações dos totais de controle (gerais ou parciais) de dados ou registros de entrada, processados e de saída. Controles de Processamento Outro controle muito importante a ser executado é o controle de processamento: estando os dados adequada e corretamente registrados por um sistema aplicativo, espera-se que estes sejam processados corretamente; os controles de processamento devem identificar erros em todos os tipos de cálculos e de operações lógicas, uma vez que são também utilizados de forma a garantir que não ocorram dados perdidos ou que não tenham sido processados. Esses controles, conforme a criticidade da aplicação, podem também incluir outros controles, de hardware e de software. Os controles de hardware referem-se a validações específicas embutidas no hardware que visam verificar o quão preciso é o processamento do computador. Estes incluem os circuitos para detecção de falhas, os quais são utilizados para o monitoramento de suas operações, como verificações de paridade, do eco, verificações de redundância de circuitos, de sinais aritméticos, de sincronização e de voltagem da unidade central de processamento. Os controles de hardware também englobam os componentes redundantes. São os dispositivos de verificação e garantia de exatidão nas tarefas de leitura e de gravação, com os múltiplos cabeçotes para esta finalidade. Além desses, também existem os microprocessadores com finalidades específicas e respectivos circuitos associados. São os dispositivos utilizados para o apoio a diagnósticos e correções (manutenções) remotas, que permitem aos técnicos que seja feita a correção de determinados tipos de problemas por intermédio das redes. Já os controles de software visam garantir que o processamento ocorra com dados corretos. Esse tipo de controle inclui label (ou rótulo) interno, que possibilita ao computador garantir que se está utilizando o arquivo correto e que o processamento usará os dados corretos. Outro controle de software importante é especificar alguns pontos internos de verificação (check-points) durante o processamento e em algumas partes específicas de um programa em execução para que os resultados intermediários de seu processamento sejam gravados ou impressos em algum dispositivo físico. Estes pontos de verificação reduzem os efeitos e as possibilidades de erros no processamento e também colaboram para com as análises de audit trail. Saiba Mais Audit Trail ou trilha de auditoria refere-se à possibilidade de se acompanhar o processamento das transações em qualquer etapa (e em todas as etapas) de um processamento. Outro controle de software é conhecido por pacote de sistema especialista ou o mais comum, de monitor de segurança de sistema. É um programa específico que objetiva monitorar a utilização do sistema computacional, protegendo todos os seus recursos contra destruições (acidentais ou não), fraudes ou uso não autorizado. Controles de Saída Esses controles são elaborados para assegurar que as informações resultantes dos processamentos sejam corretas, completas e estejam disponíveis para os usuários autorizados que delas necessitem. Os controles de saída frequentemente utilizados são os documentos e/ou relatórios que seguem um roteiro de verificações visuais por parte dos funcionários do setor de expedição do data center ou até mesmo do usuário final. Tais controles nas listagens são os totais de saídas geradas que são comparados com os totais das entradas e dos processados em suas diversas etapas. Normalmente, esse tipo de controle é impresso para gerar evidências no fluxo de entrada, processamento e saída, mas podem também serem gravados para avaliações e auditorias nesses controles posteriormente. Além disso, devem ser utilizados formulários pré-numerados (ou mesmo enumerados sequencial e automaticamente pelo próprio processamento), para fins de melhorias nos controles e inclusive, também, de auditoria. Seu objetivo principal é evitar a perda de documentos gerados automaticamente. Outro controle importante é manter-se uma lista de distribuição dos relatórios e listagens com a indicação e restrição de quais usuários estão autorizados a recebê-las. Em situações de maior responsabilidade ou confidencialidade, os acessos aos documentos gerados podem ser controlados automaticamente (ou não) por intermédio de códigos de segurança com senhas e níveis de acesso para identificar a autorização para o recebimento daqueles documentos, devidamente classificados anteriormente. Um ponto importante neste caso é que esses usuários autorizados sejam constante e permanentemente incentivados a fornecer um feedback sobre a qualidade das informações geradas e recebidas. Controles de Armazenamento Os controles relativos a armazenamento voltam sua responsabilidade sobre os arquivos de programas de computador e banco de dados, englobam e estendem atribuições a especialistas do data center como por exemplo o DBA – administrador de banco de dados. Tais obrigações envolvem as garantias de proteções contra uso não autorizado ou acidental, com o apoio de programas de segurança e exigências de identificação apropriadas e no nível definido conforme as circunstâncias, mediante contas específicas, senhas e outros mecanismos de segurança, registrando, ainda, o acesso do usuário que foi devidamente autorizado. Evidentemente que outros controles para essa finalidade podem fazer uso de tecnologias mais sofisticadas, como, por exemplo, com o apoio de criptografia e cartão inteligente. Analogamente, é importante definir o catálogo dos usuários que estão autorizados, conforme seu nível hierárquico e responsabilidades, para que seja autorizado o acesso aos diversos tipos de sistemas, de acordo com as suas qualificações técnicas e funcionais. Esse acesso pode restringir ainda as bases de dados, os registros e até mesmo os campos previamente identificados, assim como o tipo de acesso liberado, se apenas de consulta: parcial ou total. Outro mecanismo essencial que deve ter controles adicionais é manter sob custódia adequada os arquivos considerados de reserva. Estes são arquivos que foram duplicados e que devem ficar armazenados fisicamente em local distante do data center e em condições ambientais adequadas, as quais vamos apresentar mais à frente. Da mesma forma, devem ser armazenados em outros data centers, in cloud. Veja mais sobre cloud computing – computação em nuvem: processamento e armazenamento. A proteção de arquivos deve considerar as medidas de sua retenção conforme a criticidade da aplicação, dos processamentos que destes fazem uso ou de exigências legais, incluindo tanto os arquivos base (mestres) como também os de transações em suas diversas versões (avô, pai e filho) também conforme sua criticidade e inclusive em períodos previamente determinados pelos stakeholders, pela legislação ou auditorias (interna e/ou externa). Tais arquivos podem ser utilizados para reprocessamentos, auditorias ou análises estatísticas de performance e/ou projeções e curvas de tendência. Controles nas Instalações Esses controles têm por objetivo proteger as instalações sob a responsabilidade da área de tecnologia da informação contra a perda ou destruição, acidental ou não, de seus ativos, pois a mesma está, assim como as redes de comunicação de dados, bastante sujeitas a eventos casuais como acidentes, desastres naturais (menos comuns no Brasil), sabotagens, espionagens, usos não autorizados, destruição ou roubo ou ainda vandalismos. Controles em Redes Apesar da segurança de uma rede ter como suporte pacotes de software específicos para esta finalidade: os monitores de segurança de sistemas e rede (são programas que fazem o monitoramento do uso dos sistemas e das redes de computadores), protegendo-os quanto a uso não autorizado ou inadequado, destruição ou fraude. Entre as diversas facilidades, esses programas permitem definir, mediante configurações, quais são as medidas de segurança requeridas para autorizar que usuários definidos possam acessar as redes de computação. Esses monitores também podem controlar a utilização dos recursos de software, de hardware e os dados utilizados pelos sistemas de informação. Além disso, também coletam e armazenam dados estatísticos de uso e sobre qualquer tentativa de acesso indevido ou utilização imprópria dos dados, gerando relatórios para análise e melhoria no processo de manutenção da rede, visando sua qualidade e integridade. Criptografia Este mecanismo passou a ser uma das maneiras mais importantes para a proteção de dados e de outros recursos de rede de computadores, em particular, nas intranets, extranets e internet. Suas facilidades englobam mensagens, senhas, arquivos ou os dados a serem transmitidos. Os caracteres são “embaralhados e desembaralhados” por usuários autorizados mediante processamento pelos sistemas de informação por meio de uma sequência de algoritmos matemáticos: a chave, antes de sua transmissão. Após ser concluída a transmissão, outro sistema, no destino, faz a descriptografia, decodificando-os e retornando-os a seu formato e conteúdo originais. Os programas que executam essa transformação normalmente são comercializados de forma independente, como produtos isolados, ou que seguem “embutidos” em um software usado para executar a criptografia. Esses programas usam os métodos conhecidos como um par de chaves públicas e privadas, exclusivas para cada instalação. Firewall Para efeitos de controle e segurança na internet e em outras redes de computadores, como a intranet, é também utilizado este outro método, que tem como características protegê-las contra invasão. O firewall funciona como um filtro e age como um ponto seguro para transferir o acesso de equipamentos às redes, e vice-versa. O software monitora todo o tráfego nas redes, pesquisando senhas corretas e outros códigos de segurança e somente permite acesso e transmissões (para fora e de fora da rede), caso estejam devidamente autorizadas. Esses componentes são considerados vitais para as organizações que têm acesso à internet (todas têm, senão a maioria) até porque há falta de segurança na internet, o que causa muita vulnerabilidade. Porém, os firewalls detêm um acesso não autorizado, mas não conseguem evitar totalmente acesso indevido (hacking). Por este motivo, o firewall pode ser configurado para permitir acesso apenas a partir de locais específicos e credenciados para computadores previamente determinados, ou ainda permitir que apenas dados ou informações com controles adicionais (criptografados, por exemplo), sejam transmitidos. É que em determinadas situações não é possível estabelecer que um serviço na rede seja ou não seguro; nesse caso, recusam-se todos os pedidos de acesso, bloqueando-os. Apesar de todos os benefícios do firewall, substituindo outros mecanismos, é bom saber que apesar de serem menos vulneráveis, não o são totalmente. Controles de Proteção Física Esses controles visam fornecer o máximo de segurança e proteção contra perdas de recursos computacionais. Um data center exige que existam diversos tipos de controles de acesso, permitido apenas a pessoal autorizado e imprescindível no local. Por isso, são feitos investimentos para a segurança que englobam técnicas tais como fechaduras eletrônicas, identificação mediante simbologia diferenciada, portas e portões com acesso restrito e, claro, controlado, além de alarmes contra roubo, circuito interno de televisão fechado para monitoramento e outros sistemas de detecção. Além dos controles de acesso, é fundamental que um data center exerça controles adicionais para proteção instalando sistemas de detecção e extinção de incêndio, cofres protegidos e à prova de incêndio para armazenamento de arquivos, sistemas de controle e instalações isoladas e específicas relativas a cabeamentos de rede, de energia elétrica, de iluminação de emergência, além de controles de temperatura, poeira e umidade. A sala do data center também deve ter piso falso (elevado) para a passagem das fiações e do ar-condicionado (esse também pelo teto), ser de alvenaria de qualidade e, de preferência, com proteções contra eletromagnetismo. Controles Biométricos Os controles de biometria complementam as medidas de segurança contra acessos indevidos ou não autorizados ao local do data center. Tais controles são fornecidos por mecanismos em dispositivos de computação com características que fazem a medição física de cada indivíduo e suas características, incluindo verificação da voz, impressões digitais, escaneamento de retina, análise de digitação, reconhecimento facial, geometria da mão, análise de padrões genéticos e até a dinâmica manual de uma assinatura. Controles de Falhas no Processamento Podemos considerar os controles de falhas em processamento triviais e sequer os considerarmos. Mas só de lembrar os demais controles citados até aqui, é possível constatar que além daqueles afetarem a segurança dos dados e das informações, outros procedimentos devem ser implementados para minimizar os possíveis erros nos processamentos, decorrentes de suas falhas. Então, vejamos: os processamentos nos computadores podem ser interrompidos devido à variação ou pior: queda de energia, problemas externos ou internos nas redes de telecomunicações, defeitos na rede elétrica ou nos circuitos eletrônicos, erros na programação, erros ou falhas na operação, vandalismo eletrônico ou mecanismos de fishing e falhas decorrentes da elicitação de requisitos no projeto de um sistema. Pois é: são muitos os riscos que devem ser assumidos numa instalação computacional, e o órgão deve tomar medidas de forma a evitar falhas nos equipamentos para minimizar os efeitos prejudiciais e assim garantir a confiabilidade dos processamentos. A instalação deve negociar e estabelecer padrões confiáveis para o fornecimento de energia elétrica, ar-condicionado, nobreaks e geradores, além de possuir controles adequados sobre umidade e prevenção contra incêndio. Utilizar computadores capacitados a receber manutenção automática e à distância pertencem a outros mecanismos para garantir a segurança e a continuidade dos negócios da organização, assim como desenvolver, elaborar e divulgar uma programação de manutenções preventivas e detectivas a fim de, inclusive, evitar-se ao máximo as manutenções corretivas, que provocam a interrupção nos processamentos; o mesmo raciocínio para as manutenções e atualizações dos diversos softwares requeridos, tais como o básico, banco de dados, telecomunicações, redes e as diversas aplicações. O planejamento para a atualização de determinados softwares críticos e as atualizações de hardware deve ser acompanhado, monitorado e atualizado com frequência para se evitar problemas. Da mesma forma, devem existir possibilidades e parcerias para se manter backups (cópia de segurança) do computador e de arquivos críticos armazenados externamente, e, se for em data centers maiores que prestam serviços, deve ser exigido destes garantias explícitas para esta finalidade (e ainda maiores para casos extremos de necessidade de recuperação de desastres). Outros pontos importantes são: promover treinamentos e reciclagens constantes dos profissionais envolvidos com a segurança e com os controles dos dados e, de preferência, utilizar sistemas computacionais tolerantes a falhas. Por falar em tolerância a falhas, são sistemas que buscam evitar a falha de um computador fazendo uso de diversas unidades centrais de processamento (CPUs), diversos periféricos e softwares de sistemas e que continuam operando, apesar de em nível reduzido de performance (porém aceitável), caso ocorra uma falha no sistema. Já os sistemas à prova de falhas, referem- se àqueles que continuam operando com o mesmo desempenho anterior em caso de uma falha ter ocorrido. Controles de Procedimentos Notadamente, não haverá controles adequados se os procedimentos também não forem seguidos e controlados. Os controles de procedimentos a que nos referimos são métodos que determinam quais e como os recursos de computadores e de redes em uma organização devem ser operados, de modo a se ter o máximo possível de segurança, pois a orientação advinda dos mesmos é que define e ajuda a precisão e a integridade nas operações de computadores e nas ações aplicadas no desenvolvimento de aplicações. Os procedimentos devem conter o que chamamos de padrões a serem seguidos, estruturação e formatação da documentação no data Saiba Mais Norma NBR ISO/IEC 27002 – Tecnologia da informação – técnicas de segurança – código de prática para controles de segurança da informação. center, as definições, os requisitos e as ações necessários para autorizações, para recuperação de dados em casos de sinistros e as diretrizes da computação para os usuários finais. Procedimentos padrão são aqueles elaborados pela área de tecnologia da informação em uma organização para que sejam adotados e seguidos para a operação e processamento dos sistemas de informação. Tais procedimentos dedicam-se, além de controlar as atividades executadas conforme as responsabilidades de seus stakeholders, a também buscar a qualidade nos serviços prestados e reduzir as possibilidades de erros e fraudes. São orientações a usuários e especialistas de TI para que todos conheçam as responsabilidades, atribuições e ações de cada um, bem como a quem recorrer em situações de procedimentos operacionais, visando à qualidade sistêmica e de serviços. É claro que também contém documentação que inclui definições e instruções relativas aos processos de software: projeto, implementação, implantação, manutenção e sua operação. Estas documentações devem ser seguidas, elaboradas e manutenidas tanto quanto o próprio software, já que são imprescindíveis e têm valor inestimável para efeitos de manutenções corretivas, preventivas e de melhorias. Requisitos de Autorização As premissas para o desenvolvimento de um sistema, para as modificações de rotinas, programas ou ainda os processamentos precisam ser submetidos a uma gama de revisões formais por parte das gerências envolvidas antes de ser determinada a autorização para que sejam executados, pois esta tem como objeto reduzir ou eliminar quaisquer efeitos prejudiciais que possam recair sobre a precisão ou integridade das operações, dos dados e das informações, até porque têm caráter preventivo. Recuperação em Caso de Desastres O restabelecimento das atividades computacionais de uma instalação é imprescindível em locais e casos onde possam ocorrer terremotos, incêndios, tsunamis, enchentes, furacões, guerrilhas, atos terroristas ou criminosos, e, obviamente, falhas humanas. Diversos tipos de empresas, de acordo com seu ramo de atividade e criticidade de suas operações, tais como instituições financeiras ou companhias aéreas, podem ficar incapacitadas de executar suas atividades caso ocorra interrupção nos processamentos, o que lhe trará prejuízos incalculáveis. Isso é mais que suficiente para que elaborem procedimentos para garantir a recuperação de suas atividades. Estes procedimentos precisam estar devidamente documentados, atualizados, serem de ciência de todos os envolvidos, terem sido testados e estarem todos aptos e prontos para os colocar em ação, seja em instalações de backup próprias ou de parceiros. Controles Computacionais para Usuário Final Grande parte das aplicações e da computação que os usuários finais utilizam para executar as atividades intrínsecas relativas às suas funções organizacionais são muito importantes, e até mesmo decisivas para a sobrevivência e sucesso da empresa. Por esse motivo, são chamadas de aplicações críticas, e os controles sobre estas deve ser exercidos da mesma forma e na mesma medida que as demais aplicações do data center e seguindo-se as mesmas normas e padrões de procedimentos voltados para os desenvolvedores. Você pode até pensar que tudo isso é exagero, mas... Reflita Imagine que você está realizando uma transação bancária que envolva a quantia de R$ 500 mil, relativa a um imóvel que acabou de adquirir com todo seu esforço de trabalho e, de repente, há interrupção no processamento dessa transação. O vendedor não teve creditado o valor, o banco não tem registro sobre a transação nem seu destino e em sua conta corrente não há mais aquele valor. O que você faria? Acredita que Para que você fique um pouco menos preocupado, devem existir mecanismos que permitam verificar e garantir a conformidade dos mecanismos e procedimentos de controle e segurança. Esses mecanismos de controle são exercidos pelo órgão de auditoria interna, na sua especialidade de auditoria da tecnologia de informação mediante procedimentos geralmente aceitos pelas entidades certificadoras internacionais, além de serem exigência legal para as empresas que comercializam ações na bolsa de valores e, principalmente, prezam pelo cumprimento das melhores práticas da governança corporativa. Mas este é outro assunto, o qual não será tratado neste curso. Entretanto, você pensa que terminou? Negativo. Passemos agora ao nosso próximo item a ser discutido, e que está totalmente integrado aos mecanismos de controle e segurança de dados que vimos até aqui. Trata-se da privacidade. Privacidade Vamos iniciar este assunto com uma reflexão: esta situação é difícil de acontecer? Acredita que todas as informações seriam restabelecidas rapidamente? O termo privacidade vem sendo bastante utilizado ultimamente. Também, não é à toa: muitos fatos têm colaborado para que este assunto não saia de pauta. Há normas ISO que tratam o assunto, que também é tratado pelas melhores práticas de controle. Se é verdade que a tecnologia da informação contribuiu para que diversas atividades repetitivas ou prejudiciais no ambiente de trabalho deixassem de ser executadas pelos humanos, aumentando a qualidade de vida e do trabalho, também é verdade que a exposição contínua frente ao computador traz consequências nem sempre agradáveis, principalmente no que tange ao volume de informações de que frequentemente fazemos uso, direta ou indiretamente, seja gerando, processando, analisando ou simplesmente lendo. Uma das questões que estão sendo consideradas, evidentemente, é relativa ao monitoramento do trabalho pelo computador. Claro que se considerarmos o aspecto ética, isso não é nem um pouco agradável. Mas e se olharmos isto sob outra ótica, a ótica de que podemos estar trabalhando e nossa privacidade estar sendo violada, não por motivos de monitoramento de nosso trabalho, mas por motivos de inadequação em mecanismos de controle e segurança. Não é muito pior os dados e informações da empresa (ou os nossos) estarem sendo indevidamente utilizados ou furtados? Pois então vamos tratar dessas questões. Reflita A tecnologia de sistemas de informação existente traz segurança ou desafios à privacidade? Privacidade, intimidade, vida íntima ou particular não se referem apenas às questões individuais, mas também a empresas ou pessoas – bem-intencionadas ou não – que fazem uso de dados sem autorização. Por outro lado, a arquitetura atual da internet privilegia a criação de tecnologias de controle de informações de forma indevida, ou seja, possibilitando esse uso indevido. Isso quer dizer que além da tecnologia permitir o armazenamento e a recuperação de informações, também facilita seu uso indevido, trazendo efeitos negativos no direito à privacidade que as pessoas têm. Algumas questões importantes debatidas por governos e empresas tratam do acesso a correspondências e registros privados do computador e da coleta e compartilhamento de informações de pessoas resultantes de entradas a sites e grupos de notícias na internet. É a violação da privacidade. Outro assunto está relacionado com o fato das empresas terem conhecimento de qual local um indivíduo está (paging) – os serviços de telefonia têm mais conexão com as pessoas do que com os locais frequentados. É a chamada monitoração. O uso de equipamentos automatizados tanto para gerar quanto para coletar informações dos usuários também têm sido questionados. É a identificação de chamadas. Da mesma forma, o uso de informações ou preferências de clientes aplicados para vendas adicionais de produtos ou de serviços (cruzamento de informação) ou solicitar auxílio vem sendo debatido. Ainda outro assunto questionado trata da coleta de números telefônicos e outros dados para criar o perfil de cliente. É o acesso não autorizado a arquivos pessoais. Esses assuntos ganham ainda mais ênfase nas discussões quando associamos a privacidade pela internet. Sim, porque sua fama é de oferecer um desejado anonimato, mas que na verdade, estão altamente visíveis e disponíveis para serem violados, já que não há regras claras e rígidas sobre quais informações podem ser consideradas pessoais ou privativas. Raciocínio análogo cuida da privacidade do e-mail. Fato é que as organizações possuem políticas de privacidade diferentes entre si, notadamente, com relação ao correio eletrônico. Umas jamais monitoram os e-mails dos funcionários, enquanto outras se reservam o direito de monitorar, outras constantemente monitoram e outras o fazem somente se houver alguma suspeita de uso ilegal ou não autorizado. Igualmente séria, a comparação entre computadores (o chamado cotejo) ocorre quando são utilizados para comparar dados sobre as características pessoais dos indivíduos, obtidos de vários sistemas de informação, objetivando identificar alguém para fins governamentais, empresariais ou outros. O uso indevido disso é uma ameaça à privacidade, além do que podem combinar o perfil de mais de uma pessoa. Nos EUA, há uma rígida lei federal que regulamenta os órgãos governamentais quanto ao uso e à coleta de dados pessoais, ao mesmo tempo que permite aos indivíduos fazer inspeção em seus próprios dados, copiar, alterar ou excluir dados falsos ou errados. Mas o interessante é salientar as obrigações que os órgãos – ou agências federais – têm de divulgar quais arquivos mantêm, os motivos pelos quais solicitam determinadas informações, além de se responsabilizarem por seu armazenamento, controle, segurança e confidencialidade (e não poderem revelar essas informações). Com a lei de privacidade nas comunicações eletrônicas e a lei sobre fraude e abuso do computador, os EUA trouxeram as principais tentativas de aplicar a privacidade de informações obtidas por computador, proibindo interceptar, roubar, destruir dados ou invadir sistemas computacionais. No Brasil, a mais recente lei é a conhecida “lei geral de proteção aos dados”, a Lei 13709, além de outras como as Leis 8.248, 13.969, 9.504 e 9.609/98, mas que serão objeto de estudo em outras Unidades. Neste momento, você pode estar questionando também o direito que as pessoas devem ter sobre conhecer informações sobre assuntos que outras desejam que sejam sigilosas (é a liberdade de informação), o direito que as pessoas têm de expressar suas opiniões (liberdade de discurso) ou ainda o direito de publicarem suas opiniões (liberdade de imprensa). Os principais fatos discutidos além das leis relativas a difamação e censura são as técnicas aplicadas contra a privacidade e que consistem nos mecanismos conhecidos como flaming, que é a prática do envio de mensagens depreciativas ou vulgares (em inglês, flame mail) ou mensagens das bulletin board system – bbs, que são ligações por telefone a um sistema com o computador do usuário para com ele interagir e que permite distribuir softwares, jogos on-line, aplicativos ou informações e lazer para outros usuários pertencentes a esse grupo de indivíduos. Mas sem dúvida alguma, o mais usado é o spamming, que consiste no envio indiscriminado de e-mails de propaganda em massa, indevidos e não autorizados para inúmeros usuários da internet, conhecido como junk e-mail. E como se não bastassem essas invasões indesejáveis, ainda temos as piores e cada vez mais comuns, que são as ações criminosas que tiram proveito do uso das redes, sendo a maior ameaça ao uso com ética da tecnologia da informação. Estamos falando do crime informatizado, o qual traz ameaças seríssimas à integridade, à segurança e à qualidade na maioria dos sistemas de informação, pois fraudam e acessam sistemas de computação médica, traficam senhas usurpadas e são responsáveis, nos EUA, por uma perda estimada maior que US$ 1000 por transação. De acordo com Laudon (2004), a Associação dos Profissionais de Tecnologia da Informação (Association of Information Technology Professionals) define crime informatizado como: Para o mesmo autor, nos EUA, são consideradas crime as atividades criminosas que fazem uso de computadores, o que normalmente inclui: O uso, acesso, modificação e destruição não autorizados de recursos de hardware, software, dados ou rede; A divulgação não autorizada de informações; A cópia não autorizada de softwares; A negação de acesso a um usuário final aos seus próprios recursos de hardware, software, dados ou rede; e O uso ou conspiração para uso de recursos de computação para obter ilegalmente informações ou propriedade tangível. Ao chegarmos ao fim desta Unidade, você com certeza percebeu que os controles necessários para se garantir a segurança de dados e de informações e à privacidade que todos desejamos ter envolvem diversos aspectos relativos não só à ética, como também, às melhores práticas de gestão e leis que objetivam normatizar estes assuntos de sorte a orientar profissionais em todos os ramos de atividades e permitir que tanto empresas quanto pessoas tenham menos prejuízos e menos envolvimento em situações fraudulentas ou inescrupulosas. Roubo de dinheiro, serviços, softwares e dados; Destruição de dados e softwares, principalmente por vírus de computador; Acesso malicioso ou hacking na Internet ou outras redes de computadores; Violação da privacidade; Violação da lei anti-truste ou internacional; e Vírus. Saiba Mais ITIL – Information Technology Infrastructure Library (práticas para gerenciamento de serviços em TI). COBIT – Control Objectives for Information and Related Technologies (práticas para governança de TI). Recomendamos que você acesse os links sugeridos no material complementar e que aprofunde seus conhecimentos com a leitura da bibliografia recomendada. Indicações para saber mais sobre os assuntos abordados nesta Unidade: Sites Instituto Gartner e colaborações Clique no botão para conferir o conteúdo. ACESSE Information Systems Audit and Control Association Clique no botão para conferir o conteúdo. ACESSE Leitura 2 / 3 ˨ Material Complementar https://www.gartner.com/en https://www.isaca.org/ Como a Privacidade na Internet Pode Ser Garantida? Clique no botão para conferir o conteúdo. ACESSE Nove Formas de Manter a Privacidade na Internet Clique no botão para conferir o conteúdo. ACESSE China Aprova Lei de Proteção à Privacidade de Dados na Internet Clique no botão para conferir o conteúdo. ACESSE Segurança e Privacidade na Internet: Conheça Mais Sobre o Tema! Clique no botão para conferir o conteúdo. ACESSE https://www.certifiquei.com.br/privacidade-internet/ https://www.techtudo.com.br/listas/2019/06/nove-formas-de-manter-a-privacidade-na-internet.ghtml https://www.tecmundo.com.br/mercado/223516-china-aprova-lei-protecao-privacidade-dados-internet.htm https://www.maven.com.br/blog/seguranca-e-privacidade-na-internet-conheca-mais-sobre-o-tema/ O que é Privacidade de Dados? Clique no botão para conferir o conteúdo. ACESSE https://www.kaspersky.com.br/resource-center/threats/internet-and-individual-privacy-protection BRASIL. Tribunal de Contas da União. Boas práticas em segurança da informação. 4. ed. Brasília: TCU, 2012. COELHO, F. E. S. et al. Gestão da segurança da informação. Rio de Janeiro: RNP, 2014. FONTES, E. Políticas de segurança da informação. Rio de Janeiro: RNP, 2015. ________. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012. ________. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. HINTZBERGEN, J. et al. Fundamentos de segurança da informação. Trad. Allam de Sá. Rio de Janeiro: Brasport, 2018. LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais: administrando a empresa digital. 5. ed. São Paulo: Pearson, 2004. (e-book) O’BRIEN, J. A. Sistemas de Informação e as decisões gerenciais na era da internet. 11. ed. São Paulo: Saraiva, 2004. PINHEIRO, P. P. Proteção de dados pessoais: comentários à Lei nº 13.709/2018 (LGPD). 2. ed. São Paulo: Saraiva Educação, 2020. (e-book) 3 / 3 ˨ Referências STALLINGS, W. Criptografia e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson, 2015.
Compartilhar