METAVERSO: segurança da informação, segurança cibernética e proteção à privacidade

Foto: Edison Fontes. Museu, Gdansk, Polônia.

Edison Fontes, CISM, CISA, CRISC, Ms. 2023

 

Metaverso é um ambiente para o qual o ser humano pode se transportar mentalmente, atuando neste universo de maneira exclusiva ou interagindo com a realidade, utilizando ou não a tecnologia. (Edison Fontes, 2023).

 

Existem várias definições de Metaverso. Acima descrevo minha definição, reconhecendo que o Metaverso existe com ou sem tecnologia. Quando sonhamos entramos em um universo mental paralelo á realidade. Quando os homens e mulheres das cavernas desenhavam suas figuras capturando animais, querendo prever uma caça de sucesso, ao desenhar estavam mentalmente em um outro ambiente.

 

Simplificando, o Metaverso se tornou uma realidade no ambiente (negócio) dos jogos eletrônicos. O usuários destes jogos se transporta mentalmente para aquele universo. Eu consigo jogar com meu neto ou a minha neta, jogos tipo Roblox, cada um com seu dispositivo em locais diferentes: quarto e sala ou quilômetros de distância.

 

Com a tecnologia permitindo o barateamento do armazenamento dos dispositivos, facilidade de solução em nuvem e a rapidez das telecomunicações a um custo acessível, a utilização do Metaverso ganhou um potencial de negócio e soluções em busca de problemas. Haja vista que o Facebook alterou sua marca comercial para Meta e investe bilhões de US$, apesar dos atuais prejuízos.

 

Mas a verdade é que o Metaverso permite uma facilidade para uma séries de aplicações e tipos de negócios (novos e antigos). Com o uso crescente do Metaverso, sem sabermos ainda qual vai ser a velocidade de implantação de soluções, é necessário considerar a questão da segurança da informação, em conjunto com a segurança cibernética e a privacidade da pessoa humana. Como tratar este assunto? Como desenhar uma estrutura ou uma arquitetura de segurança e privacidade para o tratamento da informação no Metaverso?

 

Faço aqui algumas considerações iniciais, com certeza não completas, mas que tenho tomado por direcionadoras nos trabalhos que realizo e oriento. Gosto muito de estruturar, separar, arquitetar, pois, entendo que assim a compreensão do assunto será facilitado.

 

Com certeza o leitor poderá complementar. Se possível gostaria de receber suas considerações e observações.

 

Direcionadores:

1. Ambientes Considerados

Podemos estruturar o Ambiente utilizado pelo Metaverso em pelo menos três grandes blocos:

 

1.1. Ambiente de Informação Plataforma do Metaverso

Este ambiente plataforma suporta as aplicações que serão executadas considerando o Metaverso. Atualmente, com exceção de situações de laboratórios e pesquisas em empresas e na área acadêmica, somente grandes empresas como Meta, Google e similar estão ofertando estas soluções.

 

1.2. Ambiente de Informação Dispositivos Metaverso

Já existem inúmeros dispositivos para uso pelas aplicações de Metaverso. Atualmente o custo ainda é um empecilho, mas logo este custo ficará acessível.

 

A diversidade de tipos de dispositivos é inimaginável. Dispositivos que nem pensamos atualmente, estarão disponíveis em curto prazo, permitindo que o tratamento e sensação da informação aconteça de maneira mais realista e com a sensação de que estamos no mundo real.

 

1.3. Ambiente de Informação Aplicação Metaverso

As aplicações utilizando o ambiente de Metaverso é o que mais conhecemos e o que mais será a nossa realidade de negócio, acadêmica ou de diversão (mas de negócio para os fornecedores de solução.

 

As aplicações são e serão de uma diversidade quase que infinita. Pessoalmente entendo que as primeiras áreas que crescerão em Metaverso são Jogos, eventos artísticos, eventos esportivos, área acadêmica tradicional, cursos e treinamentos livres, realidade aumentada (setor imobiliário) e outros seguimentos em que a tratamento remoto da informações seja essencial.

 

2. Segurança da informação, segurança cibernética e proteção à privacidade

 Tenho utilizado esta tríade de controles, pois é assim que as Normas ISO 27001 e 27002 nas suas versões de 2022 definem.

 

Entendo que todos os controles das normas ISO/IEC 27001 e 27002, e as demais da família 27000, devem ser seguidos por estes três ambientes. Porém para facilitar, também entendo que alguns controles têm maior relevância para cada um dos ambientes. Destaco:

 

2.1. Ambiente de Informação Plataforma do Metaverso

– Alta Disponibilidade do ambiente.

– Mais alto nível de proteção de segurança cibernética.

– Garantia de integridade do ambiente.

– Garantia de proteção contra invasões de criminosos.

– Copias de segurança com alto grau de confiabilidade e confidencialidade.

– Não conhecimento de identificações de pessoas. Controle das aplicações.

– Utilização de aplicação apenas após aprovação e uma Gestão de Mudanças.

– Gestão de Resiliência Operacional: Gestão de problemas, Gestão de Capacidade.

– Existência de Gestão de Incidentes.

– Existência de Política de Segurança. Política de Uso do Site, Política de Privacidade para o Titular de Dados Pessoais.

– Identificação e conformidade com as leis existentes e também com os normativos das agências reguladoras, a quem este ambiente deve se submeter.

 

2.2. Ambiente de Informação Dispositivos Metaverso

– Utilização de dispositivos certificados garantindo a segurança e proteção.

– Mais alto nível de proteção de segurança cibernética.

– Garantia de proteção contra invasões de criminosos.

– Garantia de uso adequado por ser humano: parâmetros de uso.

– Garantia de não rastreamento e guarda de rastreamento de uso pelo usuário.

 

2.3. Ambiente de Informação Aplicação Metaverso

– Usuário: autenticação individual e intransferível.

– Definição de uso de identificação relacionada a pessoa humana ou não.

– Garantia de controle de autenticação rígida. Biometria, dois fatores, similar.

– Definição da guarda de rastreamento de uso da identificação na aplicação: regras claras, tempo de guarda, similar.

– Autorização para uso de dados pessoais.

– Explicitação de quais dados pessoais são tratados e armazenados.

– Criptografia dos dados armazenados.

– Possibilidade de apagar dados do usuário, se o mesmo solicitar.

– Definir regras de compartilhamento de dados pessoais com os demais usuários da aplicação.

– Classificação de informações em relação ao sigilo.

– Utilização de aplicação apenas após aprovação e uma Gestão de Mudanças.

– Gestão de Resiliência Operacional: Gestão de problemas, Gestão de Capacidade.

– Existência de Gestão de Incidentes.

– Desenvolvimento da aplicação seguindo metodologias de desenvolvimento de sistemas e obrigatoriamente em conformidade com os Controles de Desenvolvimento Seguro.

– Existência de Política de Segurança para o desenvolvedor. Política de Uso da Aplicação , Política de Privacidade para o Titular de Dados Pessoais.

– Identificação e conformidade com as leis existentes e também com os normativos das agencias reguladoras, a quem esta aplicação deve se submeter.

– Explicitação para o usuário de todas as leis e regulamentos que a aplicação está em conformidade.

– Explicitação do Profissional ou Equipe de Profissionais responsáveis pela Aplicação desenvolvida.

 

CONCLUSÃO

Confesso que chego à conclusão com a sensação de que se passasse mais algumas horas, mais controles identificaria e com certeza faria uma melhor distribuição, tipo uma Matriz de Controles e Aplicação nos Ambientes de Informação do Metaverso. Mas, o ótimo é inimigo da perfeição. Então compartilho de imediato estas minhas “primeiras considerações” sobre Metaverso: segurança da informação, segurança cibernética e proteção à privacidade.

 

Grande abraço.

Edison Fontes, CISM, CISA, CRISC, Ms.

CyberSecurity Evangelist – NTT DATA Europe & LATAM

[email protected]