Segurança nas eleições? Para a próxima!

Estamos a poucos dias onde cada brasileiro poderá utilizar a máquina que ajuda a construir o futuro: a urna eletrônica! Com razão e emoção cada brasileiro vai digitar uma série de números que desencadeará o mais nobre dos programas de computador: a contagem dos votos.Sempre perto das eleições se retorna o tema da segurança das urnas. Surgem boatos bem exagerados sobre manipulações e grandes vulnerabilidades que a urna e os computadores podem ter. Exageros? Paranóias? Maldade? Ou falta de informação?Não precisamos ficar paranóicos, mas também não podemos ser inocentes e esquecermos de que o processo eletrônico como qualquer atividade que congrega pessoas e máquinas pode sofrer erros e pode ser alvo de ações de má fé.Para estas eleições, o que foi definido de controle já está valendo. O que precisamos é pensar a segurança, que deve melhorar cada dia, para as próximas eleições. Vejamos alguns conceitos e controles.Em termos de Governança de Segurança da Informação:a) Eleição é um projeto de EstadoO controle das eleições é um projeto do Estado brasileiro, não de governo. Seja qual for o governo que esteja no comando da nação, este deve se submeter ao controle das eleições.b) Maior direcionador: integridade das informações.Evidentemente a confidencialidade e disponibilidade são características da segurança da informação que queremos que sejam cumpridas. Mas, a integridade de cada informação é a característica mais importante. Nenhuma informação deve ser alterada do seu estado original e de verdade.c) A eleição é um projeto prioritário e deve ter os recursos necessáriosOS recursos para a execução do processo da eleição eletrônica é prioritário para o Estado brasileiro. Em termos de recursos financeiros e também em termos de prioridade de tempo.d) TransparênciaO processo da eleição eletrônica deve ser transparente e deve ser de conhecimento de todos os acionistas do Estado: cada cidadão. e) Atendimento a todos os atores do processoO processo da eleição eletrônica deve atender de maneira igualitária todos os atores envolvidos: o eleitor, o candidato, a justiça eleitoral e outros órgãos envolvidos.Em termos de Gestão da Segurança da Informação:a) Programas utilizadosOs textos dos programas utilizados devem ser disponibilizados para os partidos seis meses antes das eleições e congelados nesta data. Qualquer nova alteração deverá ser comunicado à todos.b) O processoO processo das informações também deve ser de conhecimento dos partidos, para possibilitar controles paralelos.c) As informaçõesApós a coleta dos votos, as informações devem ser disponibilizadas para todos inclusive permitindo uma contagem paralela.d) AuditoriaDeve ser possível auditar um percentual de urnas, que deverão ter o voto impresso e jogado em uma cesta, possibilitando uma contagem manual para batimento com a contagem eletrônica.e) Autenticação dos eleitoresDeve-se migrar para uma autenticação forte, tipo biometria para minimizar a possibilidade de falsa identidade.f) Teste de vulnerabilidadeDeve ser permitido ser feito teste de descoberta de vulnerabilidades por especialistas indicados formalmente pelos partidos.g) ResponsáveisDevem ser divulgados os nomes dos responsáveis pelo processamento e segurança de dados de cada eleição.Entendo que estes controles de Governança e de Gestão são um bom roteiro para cada vez mais aprimorar nossa eleição eletrônica e o nosso processo democrático.Boa eleição e que Deus nos oriente na escolha dos nossos governantes!Edison Fontes, CISM, CISA  Consultoria em Segurança da Informação[email protected]