1. Home >
  2. Colunas >

Brasil: Para uma Governança para a Segurança da Informação!

Author Photo
9:51 am - 14 de agosto de 2013

Precisamos urgentemente de uma Governança para a Segurança da informação para o Estado da República Federativa do Brasil. Entendo que não temos. Porém se ela existe, a mesma está escondida a sete chaves. E neste caso vai contra um dos princípios da Governança (e da boa democracia): transparência.

Primeiramente precisamos nos lembrar (ou aprender) que Governança é o direcionamento que se quer para um determinado assunto. No caso que estamos tratando: segurança da informação. Os acontecimentos recentes nos levam a entender que estamos longe de ter uma Governança para a Segurança da Informação. Em certos momentos, parece que estamos rodando em círculos, e culpando os outros.

Para se ter uma Governança de Segurança da Informação é necessário:

1. Definir como será a estrutura para cuidar da proteção da informação

Como Estado, precisamos cuidar das ameaças internas e das ameaças externas. É uma monitoração continua.

Em relação a ameaças internas muitas vezes não são grandes problemas de espionagem. Constantemente dados sigilosos são encontrados em papel desprezados no lixo. Outras vezes, órgãos como o TSE, iriam disponibilizar dados de 142 milhões de brasileiros para uma empresa não pertencente ao governo. Ou, pessoas autorizadas que acessam informações privilegiadas, aceitam serem corrompidas e disponibilizam mediante o recebimento de valor financeiro, informações para organizações que não estão autorizadas a acessarem estas informações.

Em relação ao ambiente externo a exigência de um monitoramento estruturado e constante é fundamental.

2. Definir a dependência dos fornecedores

O Estado é cliente de fornecedores de soluções em tecnologia da informação. A maioria destes fornecedores que tratam informações sigilosas não são nacionais. Isto dificulta a influência que se pode ter sobre estes fornecedores. Precisamos definir o grau de dependência ou de independência. Teremos tecnologia própria? Ou temos condições de exigir de um fornecedor estrangeiro que abra o seu código fonte para provar que não tem nenhuma ?porta dos fundos? para entrar quando quiser?

Falamos de produtos, mas isto também é válido para os serviços. Por exemplo, em relação à Internet, dos 13 grandes computadores que gerenciam o tráfego de mensagens, 10 estão nos Estados Unidos, e consequentemente sob as leis americanas. O Brasil vai deixar de usar a Internet? Claro que não. Mas, o Estado Brasileiro precisa ter algumas definições sobre as informações sigilosas do Governo que passarão pela Internet.

Quando falamos de dados sigilosos de Estados é diferente de dados sigilosos de uma organização comercial de atuação nacional, por exemplo. Sendo bastante realista, esta organização comercial deste exemplo estará muito bem segura utilizando equipamentos e algoritmos de criptografia vendidos por fornecedores estrangeiros. É aceitável. Mas, um Estado, uma Nação politicamente organizada, pode ?descansar? seus dados secretos em algoritmos de potências concorrentes, mesmo que não sejam inimigas?

Devemos e queremos pagar por desenvolver uma tecnologia própria?

3. Definir como será realizada a contraespionagem.

O Brasil, de uma maneira simplificada, não tem inimigos. Porém, temos muitos, e muitos concorrentes. Com o fim (aparentemente) da guerra fria, a guerra econômica que sempre existiu, ficou mais acirrada e consequentemente a espionagem econômica ficou mais forte. Recursos como o Petróleo, confundem o que é Estado e o que é Empresa. Principalmente no nosso caso quando o Governo é o maior acionista da Petrobras, e os caminhos a serem trilhados estão fortemente amarradas à decisões deste Governo.

Saber que estamos sendo espionados pela notícia do Programa Fantástico da Rede Globo de Televisão, ter uma declaração da Presidente indicando que vai exigir que nosso concorrente diga tudo o que fez de espionagem contra o Brasil, leva a crer que estamos sabendo pouco do que os outros estão fazendo conosco.

4. Definir o conjunto de leis para o tratamento da informação

Não podemos esquecer (podemos discordar), mas a maioria (ou todas) as ações que os Estados Unidos estão realizando contra parceiros econômicos, ao pescar os dados que passam pelo seu território e fazer análises, estão cobertos por uma legislação. Evidentemente que a grande motivação desta legislação é o combate ao terrorismo, porém, este fato deixa brechas para algumas outras ações (legais de acordo com a legislação americana).

No Brasil não temos leis efetivas sobre o uso da informação. Falamos que a espionagem americana foi uma invasão de privacidade, e pode ser considerada sob este aspecto, porém, permitimos no Brasil que empresas negociem (vide o caso TSE) dados de pessoas sem que estas pessoas tomem conhecimento ou autorizem esta transação.

5. Tratar o assunto proteção da informação como responsabilidade estratégica.

A implementação de controles é a Gestão da Segurança da Informação. Mas, para uma efetiva proteção, precisamos implantar controles coerentes e direcionados pela Governança da Segurança da Informação. E esta governança é de responsabilidade de quem está à frente do Estado. Esta governança deve ser Política de Estado, continuando válida para todos os governos que assumirem o país.

A gestão deve obedecer a governança. Na Estação Antártida Comandante Ferraz, onde o governo brasileiro realizava pesquisa e que foi destruída por um incêndio, não existia cópias de segurança das pesquisas. Perdeu-se tudo. As informações das pesquisas foram todas perdidas. Neste caso, aparentemente a NSA não teve nada com a história.

Conclusão

Evidentemente é importante refletir o passado, para entender e aprender com falhas ou limitações. Mas, mais importante é o que se vai fazer daqui para frente. Temo que os resultados imediatos serão difíceis de acontecer. Mesmo querendo mudar, passaremos um bom tempo dependente de tecnologias que não dominamos. Mas, queremos esta mesma situação para daqui a dez anos? A decisão está nas mãos. Ou decidimos corretamente, ou não esqueçamos de assistir o Programa Fantástico ou os programas das outras emissoras de televisão e vamos correr para culpar os outros, em um mundo onde cada país precisa cuidar primeiramente de si.

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.

[email protected]

www.nucleoconsult.com.br

@edisonfontes

 

Notícias relacionadas

Notícias
Dell, Intel e FAS: projeto ESG contribui na transformação de comunidades indígenas e ribeirinhas
Notícias
Infosys compra alemã in-tech para reforçar posição na indústria automobilística
Notícias
Hospitais apostam em tecnologia para ganhar eficiência operacional
Notícias
7 oportunidades de ingressar na área de tecnologia
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.