O enfoque social da segurana da informao

Joo Luiz Marciano

Doutorando em cincia da informao pela UnB. E-mail: marciano@unb.br

INTRODUO O uso cada vez amplo e disseminado de sistemas informatizados para a realizao das mais diversas atividades, com a integrao destes sistemas e de suas bases de dados por meio de redes, um fato determinante da sociedade da informao. Contudo, este universo de contedos e continentes digitais est sujeito a vrias formas de ameaas, fsicas ou virtuais, que comprometem seriamente a segurana das pessoas e das informaes a elas atinentes, bem como das transaes que envolvem o complexo usurio-sistema-informao. A tecnologia da informao capaz de apresentar parte da soluo a este problema, no sendo, contudo, capaz de resolv-lo integralmente, e at mesmo contribuindo, em alguns casos, para agrav-lo. Nos ambientes organizacionais, a prtica voltada preservao da segurana orientada pelas chamadas polticas de segurana da informao, que devem abranger de forma adequada as mais variadas reas do contexto organizacional, perpassando os recursos computacionais e de infra-estrutura e logstica, alm dos recursos humanos. Diante deste panorama e dada a relevncia dos aspectos humanos no contexto da segurana da informao, este artigo prope a integrao de disciplinas oriundas do mbito das cincias sociais para a construo de um arcabouo destinado elaborao, implementao e acompanhamento de polticas de segurana abrangentes, que contemplem com o adequado equilbrio os aspectos humanos e tcnicos da segurana da informao, em contraposio aos modelos atuais, notadamente voltados s questes tecnolgicas. O roteiro apresentado prope que se inicie a anlise de tais problemas pela compreenso dos conceitos relacionados ao comportamento dos usurios dos sistemas de informao, passando pelas interaes observadas neste comportamento, pela formulao do conceito do que se compreende por segurana da informao mediante esta nova conformidade e terminando com a sugesto de alguns princpios ticos e legais que venham a govern-la. INTERAO SOCIAL E COMPORTAMENTO As polticas de segurana da informao so, via de regra, apresentadas como cdigos de conduta aos quais os usurios dos sistemas computacionais devem se adequar integralmente. Entretanto, no se v uma discusso adequada sobre o grau de receptividade dos usurios a

Mamede Lima-Marques
Doutor em informatique Universite de Toulouse III (Paul Sabatier). E-mail: mamede@unb.br

Resumo
O uso cada vez mais disseminado de sistemas informatizados integrados por meio de redes um fato determinante da sociedade da informao. Este universo de contedos e continentes digitais est sujeito a vrias ameaas que comprometem seriamente a segurana do complexo usuriosistema-informao. A tecnologia da informao capaz de apresentar parte da soluo a este problema, mas no capaz de resolv-lo integralmente. As polticas de segurana da informao devem contemplar o adequado equilbrio dos aspectos humanos e tcnicos da segurana da informao, em contraposio aos modelos de polticas atuais, extremamente voltados s questes tecnolgicas. Palavras-chave Interao social. Segurana da informao. Polticas de segurana da informao.

Social approach concerning information security Abstract

The ever increasing use of network-integrated information systems is an Information Societys landmark. This universe of digital contents and media is prone to some threats that seriously compromise the security of the user-systeminformation relationship. Information technology can present part of this problems solution, but cannot solve it integrally. The information security policies must observe the balance between the human and technology issues about information security, in contrast with current policy models, extremely devoted to technological questions. Keywords Information security. Information security policies. Policy networks. Social interaction.

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

89

Joo Luiz Marciano / Mamede Lima-Marques

estas polticas, nem se apresentam questes sobre o impacto, usualmente considervel, por elas causado sobre o ambiente e sobre o comportamento daqueles que as devem seguir (WOOD, 2000). Este artigo prope que, antes de apresentar-se um elemento de perturbao de uma ordem vigente (mesmo que catica), analisem-se os indivduos e as interaes ali existentes. O campo da interao social, o qual envolve as relaes intra e interorganizacionais, abarcando, por conseguinte, a gnese dos sistemas de informao ali existentes, visto pelas diferentes cincias sob vrios enfoques. A administrao e a economia, por exemplo, devido prpria natureza particular dos seus objetos de estudo, debruam-se sobre este tema com especial ateno. Da mesma forma, as estratgias de tomada de deciso e de implementao de sistemas de informao, voltadas gerao ou manuteno de diferenciais e vantagens competitivos, ressaltam continuamente o papel preponderante assumido pelos processos de comunicao organizacional ante os demais processos presentes no ambiente analisado. A cincia da informao, por sua vez, ao ressaltar o prprio carter transdisciplinar e o seu relacionamento com a comunicao (a informao um fenmeno e a comunicao o processo de transferncia ou compartilhamento deste fenmeno (SARACEVIC, 1999)), analisa os aspectos da comunicao organizacional ora pela ptica da teoria geral dos sistemas (BATES, 1999; VON BERTALANFFY, 1975, passim), ora pela ptica dos processos cognitivos envolvidos na gerao e na externalizao desta comunicao (LIMA, 2003). Do ponto de vista da psicologia, por sua vez, vrias abordagens aos processos da comunicao tm sido apresentadas, em particular da comunicao em ambientes organizacionais, procurando afastar-se do reducionismo materialista que caracterizou tais abordagens no decorrer do sculo passado, especialmente em sua primeira metade (PASQUALI, 2003, pp. 19-28). Cumpre observar que as classificaes apresentadas pela psicologia quanto aos aspectos comportamentais do indivduo, em especial quanto queles manifestos em sua vida em sociedade e no mbito organizacional, evoluram da mera anlise da intensidade dos processos neurais, tais como a excitao e a inibio na teoria de Pavlov, para conceitos mais elaborados baseados na resposta a estmulos vindos do meio, buscando identificar a estrutura da personalidade apresentada na resposta obtida. Esta evoluo, por sua vez, veio preencher uma lacuna da teoria da administrao quanto aos processos mais adequados de seleo e de colocao de pessoal e de tratamento tico de empregados em situaes de
90

demisso, entre outras necessidades. Um resultado evidente desta parceria entre psicologia e administrao a prtica adotada por muitas organizaes de submeter a testes psicotcnicos os candidatos a postos de trabalho ou a promoes funcionais, muitas vezes derivando para um psiquismo exacerbado (PASQUALI, 2003, pp. 2941), em detrimento de outras anlises, por exemplo socioeconmicas, que deveriam ser acrescidas ao conjunto de avaliaes utilizadas. Deve-se ressaltar, ainda, que cada um destes estudos atende a nveis especficos do ambiente organizacional: quando se quer observar o indivduo e suas interaes com o meio, utilizam-se instrumentos do campo da psicologia; quando se pretende observar o comportamento de grupos diante de situaes e suas aes coletivas, recorre-se sociologia; por fim, o estudo cultural, partindo da gnese e evoluo desta cultura, o campo da antropologia (BATES, 1999). Eis o motivo de propor-se uma anlise da segurana da informao organizacional pela viso da teoria das cincias sociais: a informao gerada, armazenada, tratada e transmitida com o fim de ser comunicada, e a comunicao eminentemente um processo grupal, seja ela interna ou externa s fronteiras da organizao. Diversas abordagens tm sido propostas para a anlise do comportamento social. A escolhida para este artigo baseada na interao simblica, conforme descrito a seguir. INTERAO SIMBLICA E DRAMATURGIA SOCIAL As origens da interao simblica remetem s obras de socilogos como Cooley, Thomas e Mead, publicadas entre o final do sculo XIX e o incio do sculo XX. Este enfoque envolve a concepo da sociedade como um processo de interao, vendo-se o indivduo e a sociedade como entidades intimamente inter-relacionadas. Alm disso, d- se especial ateno aos aspectos comportamentais do ser humano enquanto formador e mantenedor do grupo e da identidade sociais (HAGUETE, 1995, pp. 27-28). Ao referir-se prpria obra, em especial ao trabalho Mind, Self and Society, como pertencente ao campo do behaviorismo social, em contraposio ao behaviorismo psicolgico ento dominante, Mead salientava a importncia do ato social no s em termos de sua componente observvel, mas tambm da atividade no revelada, ntima, do ato. De acordo com ele, toda atividade grupal se baseia no comportamento cooperativo, diferenciando - se o
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

O enfoque social da segurana da informao

comportamento humano pela inteno percebida nos atos dos demais atores e pela resposta baseada nesta percepo. Tais intenes so transmitidas por meio de gestos que se tornam simblicos, portanto passveis de serem interpretados, e que levam o homem a desenvolver a habilidade de responder aos prprios gestos. O que permite o compartilhamento de experincias e de condutas a capacidade de diferentes seres humanos responderem da mesma forma ao mesmo gesto, desenvolvendo, assim, comportamentos grupais (HAGUETE, 1995, pp. 34). As idias de Mead foram revistas por vrios pensadores, em especial Blumer, que em sua obra Symbolic Interactionism, Perspective and Method, salienta aquelas que so, em seu entendimento, as trs premissas bsicas do interacionismo simblico: 1) o ser humano age com relao s coisas (todos os objetos fsicos, outros seres humanos, instituies, idias, valores) com base no sentido que elas tm para ele; 2) o sentido destas coisas advm da interao que o indivduo estabelece com seu grupo social; 3) estes sentidos so manipulados e modificados por meio de um processo interpretativo usado pelo indivduo ao tratar as coisas com as quais se depara. Deste modo, o interacionismo simblico atribui fundamental importncia ao sentido que as coisas tm para o comportamento do indivduo, alm de vislumbrar este sentido como resultante do processo de interao entre indivduos, e no como algo inato, constituinte da mente ou da psique. Deve-se observar a aproximao desta viso com os estudos fenomenolgicos de Husserl e Merleau-Ponty, dentre outros, e com as novas abordagens da fenomenologia aplicada cincia da informao. Essencial para o interacionismo simblico tambm o processo de auto-interao, por meio do qual o indivduo manipula o seu mundo e constri sua ao (HAGUETE, 1995, pp. 29-30), seja esta ao individual ou coletiva. Contrariamente viso ento vigente de que a sociedade humana existe sob a forma de uma ordem estabelecida por meio da aderncia a um conjunto de regras, normas e valores, Blumer sustenta que o processo social de vida em grupo que cria e mantm as regras, tratando de descartar aquelas que no lhe so interessantes. Blumer complementa que as instituies, em particular, funcionam porque as pessoas, em momentos diferentes,
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

atuam em resposta a uma situao na qual so chamadas a agir, e no porque as organizaes funcionem automaticamente em atendimento a uma dinmica interna ou a determinado sistema de regras e requerimentos (HAGUETE, 1995, pp. 38-39). Baseando-se na obra de Mead, Erving Gorffman, em seu trabalho mais conhecido, The Presentation of Self in Everyday Life, de 1959, apresenta a importncia que tm as aparncias sobre o comportamento dos indivduos e grupos, levando-os a agir com o intento de transmitir certas impresses aos que os rodeiam, ao mesmo tempo que tentam controlar o prprio comportamento a partir das reaes que lhes so transmitidas pelos demais atores, a fim de projetar uma imagem distinta da realidade. A conceituao de Gorffman envolve termos como palco, desempenho, audincia, papel, pea e ato, dentre outros do vocabulrio cnico. Em termos sucintos, para Gorffman, o homem visto no como sendo ou fazendo alguma coisa, mas sim fingindo ser ou fingindo fazer alguma coisa (HAGUETE, 1995, p. 54). Considera-se que a anlise dos temas anteriormente propostos extremamente pertinente ao mbito da segurana da informao, uma vez que neste mbito comum deparar- se com o seguinte problema: implementam-se regras (genericamente chamadas polticas) que se mostram inadequadas ao ambiente organizacional, sendo rechaadas pelos usurios como inadequadas, impraticveis ou extremamente invasivas. Com o intuito de reduzir esta averso e de contemplar questes de fato pertinentes, prope-se a anlise do comportamento dos usurios ante a segurana da informao, idealmente em dois momentos, prvia e posteriormente adoo de tais regras. A ANLISE DE COMPORTAMENTO E A FORMALIZAO DE REGRAS DE CONDUTA A correta mensurao do comportamento individual obtida por meio da construo, aplicao e anlise de instrumentos (em geral, questionrios ou entrevistas) capazes de formular de modo claro e consistente os conceitos que se deseja medir e a extenso em que se deseja medi-los. A psicologia, em suas vertentes social e comportamental, apresenta vrias modalidades para a consecuo de tais instrumentos, associando aplicao destes uma gama de ferramentas estatsticas (para instrumentos quantitativos) ou de carter analtico (para pesquisas qualitativas). Associam-se ainda a esta discusso as idias tecidas por Wittgenstein em suas Consideraes filosficas. Ali, ao falar
91

Joo Luiz Marciano / Mamede Lima-Marques

sobre os requisitos necessrios ao entendimento de determinado contexto social, tal como a prtica de seguir determinadas regras de convvio, ele afirma que este estgio implica o conhecimento ou ateno das situaes subjacentes a este contexto. No entanto, para Wittgenstein, o indivduo no pode estar ciente de todas as exigncias e desdobramentos do cumprimento destas regras, permitindo a ocorrncia de interpretaes errneas e ambguas (TAYLOR, 1993). Nestes termos, o prprio atendimento a regras uma prtica social, moldada pelos conceitos inerentes a cada indivduo e traduzida pelas aes executadas em atendimento (ou no) s regras vigentes. Conseqentemente, a avaliao do entendimento reside na observao das prticas adotadas, o que atribui um papel extremamente importante compreenso do locus de convvio, o que se observa, por exemplo, em MerleauPonty, Heidegger e no prprio Wittgenstein (TAYLOR, 1993) e que se reflete no conceito de habitus (o nvel de entendimento e o modo de agir social) de Bourdieu (THROOP; MURPHY, 2001). O grau com que determinada regra aplicada reflete a sua incorporao (embodiment, no dizer de Merleau-Ponty) pelos indivduos pertencentes ao contexto social do qual ela emana. Outra indagao repousa sobre a forma de representao de tais regras: por mais que a interpretao seja moldada por experincias pessoais, esta representao deve se dar de tal modo que possa ser perceptvel de maneira o mais uniforme possvel por todos os que devem segui-la, evitando ambigidades lingsticas e reduzindo os malentendidos (inevitveis, conforme j se disse, segundo Wittgenstein). Regras no so auto-aplicveis nem autoformulveis: elas devem ser univocamente formuladas e adequadamente aplicadas, o que exige, por vezes, elevada carga de julgamentos e percepes, tanto de seus formuladores, quanto daqueles que se espera que as sigam, alm de uma prtica coerentemente alinhada com a sua formulao. No convvio social moderno, mais especificamente na sociedade da informao, a padronizao de regras de conduta voltadas ao convvio diante das fontes e acervos informacionais se traduz por meio da formulao, aplicao e acompanhamento de polticas da informao, sejam elas governamentais ou organizacionais, expressas em linguagem natural, o que as sujeita a interpretaes dbias. A fim de contornar esta dificuldade, existem propostas de representar as polticas de segurana da informao com base em formalismos capazes de expressar os conceitos da linguagem natural e de
92

averiguar a consistncia dos modelos ali representados, como a lgica e, mais especificamente, as lgicas modais (GLASGOW; MACEWEN; PANANGADEN, 1992). A ABRANGNCIA DA SEGURANA DA INFORMAO Embora, do ponto de vista tecnolgico, a necessidade de uma segurana da informao efetiva e os requisitos que almejam satisfaz-la estejam muito bem definidos e sejam amplamente conhecidos, conforme pode-se ver, por exemplo, em ABNT (2002), o estgio atual da segurana da informao assiste a um panorama no mnimo pessimista: de um lado, a engenharia de software propese a desenvolver sistemas cuja aplicabilidade medida quase que exclusivamente em termos prticos, atendendo-se a pressupostos do tipo o sistema atende s finalidades para as quais foi concebido (PRESSMAN, 1995, p. 34-36) a este pressuposto, a segurana apresenta um adendo: o sistema realiza as atividades para as quais foi concebido, e somente estas; de outro, assiste-se a um nmero cada vez maior de ocorrncias de falhas de segurana relativas a sistemas de informao que no contemplaram adequadamente os conceitos da segurana em sua formulao (SCHNEIER, 2000, p. 27). A disseminao de meios macios de acesso informao, com a integrao organizacional por meio da informtica (FLORES et al., 1988) e posteriormente com a proliferao da internet e de redes corporativas, ao mesmo tempo que introduz formas de fcil e rpida utilizao dos recursos computacionais, expe ainda mais a fragilidade e os riscos a que esto expostos os usurios, os sistemas que utilizam e os dados armazenados e tratados por tais sistemas. Para citar-se um caso restrito ao Brasil, a iniciativa que visava incluso digital e que foi preconizada pelo poder pblico por meio do Programa Sociedade da Informao (TAKAHASHI, 2000), apontava o foco da segurana como essencial ao provimento de servios de governo (vide TAKAHASHI, op. cit., p. 99). O mesmo raciocnio pode ser aplicado a outras finalidades de sistemas de informao, tais como o comrcio eletrnico e o acesso a pginas de instituies financeiras por meio da internet. Em todos estes casos, a preocupao com a segurana permeia os sistemas desenvolvidos, sendo item obrigatrio para a sua implementao. Entretanto, as formas correntes de implementao de mecanismos de segurana em sistemas de informao, como a criptografia, que utilizada como preveno ou soluo para falhas em segurana, na ampla maioria dos
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

O enfoque social da segurana da informao

casos, so notadamente tcnicas, e tendem a s-lo em grau cada vez maior, haja vista o fato de as iniciativas apresentadas se basearem em atualizaes e sofisticaes da tecnologia. Estas implementaes incorporam elementos que, se no forem devidamente analisados, podem resultar em impactos negativos que se contrapem e at mesmo anulam os benefcios alcanados, seja por no se incorporarem adequadamente aos sistemas de informao que os suportam, seja por trazerem consigo outras falhas inesperadas, por vezes maiores que as falhas que se tentava corrigir (SCHNEIER, 2000, p. 83). Esta abordagem da segurana da informao termina por gerar uma srie de barreiras que impedem a utilizao adequada e amigvel dos sistemas por parte de seus usurios. Os mecanismos de anlise e de formalizao de polticas de segurana atualmente em voga, tais como a norma International Organization for Standardization/ International Electrotechnical Commission ISO/IEC 17799, cuja adoo no Brasil se deu por meio da norma da Associao Brasileira de Normas Tcnicas (ABNT) Norma Brasileira de Referncia (NBR) 17799 (ABNT, 2002), ou a descrio de recomendaes de institutos de tecnologia e de padres, partem de pressupostos representados por melhores prticas (ABNT, 2002, p. 4), ou seja, adota-se um conjunto de procedimentos ad hoc definidos de forma emprica e exclusivamente voltados a aspectos tcnicos, por vezes deslocados do contexto humano e profissional em que se inserem.

Deste modo, a segurana se faz presente nas arquiteturas e modelos da informao, neles inserindo-se em todos os nveis. Entretanto, observa-se um nmero crescente de ocorrncias de incidentes relativos segurana da informao. Fraudes digitais, furtos de senhas, cavalos de tria (cdigos de programas aparentemente inofensivos, mas que guardam instrues danosas ao usurio, ao software ou ao equipamento), vrus e outras formas de ameaas tm se multiplicado vertiginosamente, conforme ilustra a figura 1. Na imagem apresentada pela figura 1, mostra-se o aumento do nmero de vulnerabilidades, ou seja, potenciais falhas de mecanismos computacionais (implementados em software ou em hardware), as quais, uma vez exploradas, ou em virtude de fatores notecnolgicos, como humanos, do ensejo ocorrncia dos incidentes. Estes, por sua vez, apresentam-se em nmero e crescimento muito superiores s vulnerabilidades, mesmo porque a reiterada explorao da mesma vulnerabilidade pode ocasionar mltiplos incidentes. Observe-se, ainda, que um mesmo incidente que atinja diversas instalaes (como a infeco por um mesmo vrus em centenas de milhares de computadores, por exemplo) contabilizado como caso nico para a confeco do grfico. A evoluo destes incidentes atesta o fato de que a tecnologia por si s, da forma como vem sendo empregada, no capaz de solucionar semelhantes problemas, levando ocorrncia de um crculo vicioso: a aplicao da tecnologia aumenta o volume de ameaas introduzem-se mais vulnerabilidades , as quais procura-se combater com maior aporte tecnolgico.

Cumpre observar que os sistemas de informao, mormente aqueles digitais, em ampla voga no contexto da sociedade da informao, FIGURA 1 encontram-se, naturalmente, envoltos por Vulnerabilidades e incidentes de segurana da informao em sites no completo em ambientes do mundo real, mundo reportados no perodo de 1988 a 2003 estando sujeitos a vrias formas de aes afeitas sua segurana, tais como negaes de servio, fraudes, roubos, tentativas de invaso, corrupo e outras atividades hostis. Em resposta a estas hostilidades, a segurana da informao, em seu sentido mais abrangente, envolve requisitos voltados garantia de origem, uso e trnsito da informao, buscando certificar todas as etapas do seu ciclo de vida. Estes objetivos podem ser resumidos na forma dos seguintes itens (ABNT, 2002): confidencialidade, integridade, disponibilidade, autenticidade e irretratabilidade ou no repdio.

Fonte: CERT (2004).

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

93

Joo Luiz Marciano / Mamede Lima-Marques

Este enfoque resultante de uma viso canhestra da situao, que considera to- somente os aspectos tecnolgicos ali relacionados. Correntemente, para contemplar este problema a partir de uma abordagem abrangente, procede- se adoo de estratgias organizacionais de segurana, as quais so implementadas com base em polticas de segurana institucionais. O CONCEITO INFORMAO DE SEGURANA DA

seu elo mais fraco. comum a assero de que o elo mais fraco da corrente da segurana da informao seja o usurio, uma vez que os recursos computacionais j estariam protegidos por considervel acervo tecnolgico. Arce (2003b) sugere que os sistemas operacionais das estaes de trabalho e seus usurios seriam os mais vulnerveis a ataques internos e externos contudo, como j se viu, o complexo que a segurana abrange requer ateno a todos os nveis de usurios e sistemas. Outro aspecto que se tem mostrado extremamente relevante o custo da segurana da informao. Geer Jr, Hoo e Jaquith (2003) mostram o custo relativo para a correo de falhas de segurana em softwares, em cada etapa do processo de desenvolvimento, conforme ilustra a tabela 1. Como se v, quanto mais tardiamente as falhas so detectadas e corrigidas, tanto maior o custo em que se incorre para san-las.
TABELA 1 Custo relativo da segurana no desenvolvimento de software

A literatura especializada prdiga na apresentao de conceitos do que a segurana da informao faz e de quais so os domnios de sua atuao, mas no do que ela de fato . Ou seja, abundam as anlises funcionais, mas so escassas as anlises descritivas da segurana da informao. Pemble (2004) sugere que a segurana da informao deve ser definida em termos das atribuies do profissional responsvel por ela. O autor descreve trs esferas de atuao de tais profissionais em torno das quais a segurana deveria ser parametrizada e compreendida: a esfera operacional, voltada ao impacto que os incidentes podem gerar capacidade da organizao de sustentar os processos do negcio; a esfera da reputao, voltada ao impacto que os incidentes tm sobre o valor da marca ou sobre o valor acionrio; a esfera financeira, voltada aos custos em que se incorre na eventualidade de algum incidente. Arce (2003a) lembra que diversos tipos de ataques em redes produzem resultados sobre a informao no nvel semntico, ou seja, atuam sobre o significado da informao, modificando-o. A mudana de rotas de acesso em redes e a falsificao de endereos de servidores computacionais so exemplos destes ataques. Contudo, as ferramentas de deteco e preveno atuam no nvel sinttico: elas tratam cadeias de caracteres em busca de padres ou seqncias no esperadas, como o caso de um software antivrus ou de uma ferramenta de preveno de intruses. Esta diferenciao produz um descompasso evidente entre caa (atacante) e caador (profissional da segurana): por vezes, eles simplesmente atuam em nveis epistemolgicos distintos, requerendo abordagens diferenciadas das atualmente utilizadas para a soluo efetiva do problema. Uma das frases mais citadas no contexto da segurana da informao que uma corrente to resistente quanto
94

Estgio Projeto Implementao Testes Manuteno

Fonte: Geer Jr, Hoo e Jaquith (2003).

Custo relativo 1,0 6,5 15,0 100,0

Ainda, Venter e Eloff (2003) sugerem uma taxonomia para as tecnologias de segurana da informao, dividindo-as em reativas e proativas, baseando-se no clssico modelo de redes em sete camadas da Open Systems Interconnection (OSI). Todas as definies e proposies anteriores baseiam-se ou derivam de conceitos da segurana da informao vista como um domnio tecnolgico, em que ferramentas e recursos tecnolgicos so aplicados em busca de solues de problemas gerados, muitas vezes, com o concurso daquela mesma tecnologia. Evidencia-se a necessidade de uma compreenso mais abrangente destes problemas. NECESSIDADE DE NOVO CONCEITO DE SEGURANA DA INFORMAO A ausncia de um conceito exato do que seja a segurana da informao j foi abordada, entre outros, por Anderson (2003). O autor cita vrios textos que sugerem uma definio para o termo, mas que na verdade apresentam
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

O enfoque social da segurana da informao

as atribuies ou resultados esperados pela aplicao da segurana da informao. Ele apresenta seu prprio conceito: Um sentimento bem fundamentado da garantia de que os controles e riscos da informao esto bem equilibrados, discorrendo em seguida sobre cada uma das partes componentes da definio. Hitchings (1995) apresentava, j h mais de uma dcada, a necessidade de um conceito de segurana da informao no qual o aspecto do agente humano tivesse a devida relevncia, fosse como agente ou paciente de eventos de segurana (ataques, mais especificamente). Mesmo no aspecto tecnolgico, sugestes como a de Stergiou, Leeson e Green (2004) de uma alternativa estrutural ao modelo da OSI, ou como a de Aljareh e Rossiter (2002), de um modelo de segurana colaborativo, tm sido apresentadas em contraposio ao modelo vigente. Visto todo este contexto, propem-se ento novos conceitos, capazes de representar adequadamente os atores e o ambiente envolvidos na sistemtica da segurana da informao. A primeira definio a do que se deva entender como um sistema de informaes. Um sistema de informaes composto pela somatria do sistema social no qual ele se apresenta, compreendendo os usurios e suas interaes entre si e com o prprio sistema, e do complexo tecnolgico sobre o qual estas interaes se sustentam. Deve-se observar que a tecnologia da informao adotada cada vez mais como uma tecnologia de representao do mundo, real ou virtual, gerando vises prprias da realidade objetiva, as quais se estendem pela reflexividade de seu prprio uso ou seja, a tecnologia aponta novos caminhos antes no concebidos. Assim sendo, o prprio uso da tecnologia por seus usurios constitui- se em um campo aberto a diversos questionamentos e consideraes, falando-se at mesmo, como em Kim (2001), em uma fenomenologia do serdigital. Por questes de escopo e praticidade, no presente artigo delimita-se o campo de utilizao das tecnologias da informao aos ambientes organizacionais, nas esferas circunscritas pelos sistemas de informao formais, ou seja, de utilizao reconhecida na organizao, e utilizados com vistas aos fins organizacionais. Entretanto, para que no pairem dvidas sobre o tipo de usurio sobre o qual se fala, segue-se mais uma definio:

O usurio de um sistema de informao o indivduo para o qual se concretiza o fenmeno do conhecimento mediante as informaes providas por aquele sistema. Esta definio se baseia no conceito fenomenolgico de que o conhecimento representa a apropriao, por parte do indivduo, das propriedades do objeto apresentado (HUSSERL, 1996; CAPURRO, 1982). No resta dvida de que o processo de disseminao de informaes por meio de redes, notadamente a internet, amplia sobremaneira o escopo de alcance dos sistemas de informao. So muitos os exemplos nos quais o alcance obtido muito maior que o pretendido, o que nem sempre um bom resultado. Segurana da informao um fenmeno social no qual os usurios (a includos os gestores) dos sistemas de informao tm razovel conhecimento acerca do uso destes sistemas, incluindo os nus decorrentes expressos por meio de regras, bem como sobre os papis que devem desempenhar no exerccio deste uso. Esta definio procura abranger todos os componentes localizados no complexo da segurana da informao: 1) os atores do processo (os usurios); 2) o ambiente original de sua atuao (os sistemas computacionais de informao, potencializados pelos recursos tecnolgicos); 3) o alcance final dessa mesma atuao (a prpria sociedade, mediante o impacto causado pelas modificaes introduzidas pela utilizao dos sistemas de informao). Deste modo, tem-se uma via de mo dupla entre o contexto social no qual se inserem os sistemas de informao e a sua segurana: a partir do contexto social chega-se definio dos requisitos necessrios segurana da informao. Em contrapartida, partindose dos requisitos adotados para segurana da informao, chega-se ao contexto social em que esto inseridos os sistemas os requisitos, como regras de comportamento, refletem as interaes observadas no convvio social, conforme se observou anteriormente. Resta ainda uma questo fundamental: em que se baseiam os requisitos da segurana da informao? Em outras palavras, quais so os pressupostos necessrios para
95

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

Joo Luiz Marciano / Mamede Lima-Marques

a adequada formulao de polticas de segurana da informao? Para a correta abordagem a este problema, so apresentados alguns princpios bsicos sobre os quais se prope que se baseiem os requisitos para a formulao das polticas de segurana da informao. PRINCPIOS PARA A SEGURANA DA INFORMAO A correta gesto ou governana da segurana da informao atingida com o compromisso de todos os usurios quanto aplicao das normas e procedimentos estabelecidos. De fato, o termo governana tem sido usado cada vez mais para indicar as atividades de planejamento, implementao e avaliao das atividades voltadas segurana. Estas diferentes atividades podem ser agrupadas conforme a seguinte disposio (ISACF, 2001): 1) desenvolvimento de polticas, com os objetivos da segurana como fundamentos em torno dos quais elas so desenvolvidas; 2) papis e autoridades, assegurando que cada responsabilidade seja claramente entendida por todos; 3) delineamento, desenvolvendo um modelo que consista em padres, medidas, prticas e procedimentos; 4) implementao, em um tempo hbil e com capacidade de manuteno; 5) monitoramento, com o estabelecimento de medidas capazes de detectar e garantir correes s falhas de segurana, com a pronta identificao e atuao sobre falhas reais e suspeitas com plena aderncia poltica, aos padres e s prticas aceitveis; 6) vigilncia, treinamento e educao relativos proteo, operao e prtica das medidas voltadas segurana. Por sua vez, a Organizao para a Cooperao e Desenvolvimento Econmico (OCDE) apresenta os seguintes princpios para o desenvolvimento de uma cultura de segurana da informao (OCDE, 2002): 1) vigilncia os participantes devem estar atentos para a necessidade da segurana dos sistemas de informao e sobre o que cada um deve fazer com vistas ao incremento desta segurana;
96

2) responsabilidade todos os participantes so coresponsveis pela segurana dos sistemas de informao; 3) responsividade os participantes devem agir de modo coordenado e em tempo hbil a fim de prevenir, detectar e responder aos incidentes de segurana; 4) tica cada participante deve respeitar os legtimos interesses dos demais; 5) democracia a segurana dos sistemas de informaes deve ser compatvel com os valores essenciais das sociedades democrticas; 6) avaliao de risco devem ser conduzidas avaliaes de risco, periodicamente, a fim de mensurar eventuais vulnerabilidades; 7) delineamento e implementao da segurana os participantes devem incorporar a segurana como um elemento essencial dos sistemas de informaes; 8) gesto da segurana os participantes devem adotar uma abordagem abrangente da gesto da segurana (compreendida em muitos meios como governana); 9) reavaliao os participantes devem rever e reavaliar a segurana da informao, fazendo as modificaes apropriadas a polticas, prticas, medidas e procedimentos. Observa-se que o cumprimento de tais princpios uma atividade discricionria, ou seja, cabe aos gestores decidir se aderem ou no s recomendaes apresentadas. Pragmaticamente, cada vez mais empresas buscam a aderncia a padres internacionais ou nacionais, mesmo que advindos de fruns externos, de segurana. No espectro governamental, h algumas imposies. Cabe meno especial disposio da Constituio brasileira, que estabelece que A administrao pblica direta e indireta de qualquer dos Poderes da Unio, dos Estados, do Distrito Federal e dos Municpios obedecer aos princpios de legalidade, impessoalidade, moralidade, publicidade e eficincia (...) (BRASIL, 2002, art. 37) Embora estes princpios sejam comumente vistos como aplicveis somente aos procedimentos e aos trmites ligados s atividades da administrao, como a gesto de pessoal e de finanas, no h nada que impea a sua aplicao segurana da informao. Pelo contrrio: como os procedimentos e trmites da administrao tm
Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

O enfoque social da segurana da informao

cada vez mais apoio sobre os sistemas de informao, a aplicao dos princpios dispostos pela Carta Magna a estes sistemas vem ao encontro da inteno do constituinte: garante-se que os sistemas de informao sejam aderentes aos princpios legais vigentes, de ampla utilizao, atendam aos preceitos da moral e da tica, dem vazo aos anseios democrticos por acesso informao e atendam eficientemente aos seus objetivos. COMENTRIOS FINAIS O crescimento alarmante dos incidentes relacionados segurana da informao alerta para a premente necessidade de uma viso fundamentada em bases slidas para este problema, a qual extrapola em muito o mbito da tecnologia. Esta capaz de apresentar solues para alguns dos problemas apresentados, mas falha clamorosamente quanto apresentada a vrios outros. Um conceito essencial a esta nova viso o de que devese analisar adequadamente os papis representados pelos usurios e suas interaes diante dos sistemas de informao. Outro aspecto que merece especial ateno a urgente necessidade de uma discusso aprofundada dos preceitos subjacentes s polticas de segurana da informao adotadas no Brasil em sua maioria, do lado estatal, so voltadas ao prprio aparato do Estado, salvo no tocante aos aspectos penais e judiciais. Do lado corporativo, carece-se de uma discusso adequada da realidade nacional ante o fenmeno da sociedade da informao e dos modelos que a sociedade brasileira pretende adotar diante desta realidade. Por fim, cabe o comentrio de que no se conhece qualquer soluo meramente tecnolgica para problemas sociais. Sendo um conceito eminentemente social, a segurana da informao necessita de uma viso igualmente embasada em conceitos sociais, alm dos tecnolgicos, para sua correta cobertura.

REFERNCIAS ALJAREH, S.; ROSSITER, N. A task-based security model to facilitate collaboration in trusted multi-agency networks. In: 2002 ACM SYMPOSIUM ON APPLIED COMPUTING, 2002, Madrid. Proceedings Madri: ACM, 2002. p. 744749. ANDERSON, J. M. Why we need a new definition of information security. Computers & Security, v. 22, n. 4, p. 308313, May 2003. ARCE, I. The rise of the gadgets. IEEE Security & Privacy, v. 1, n. 5, p. 7881, Sept./Oct. 2003. __________. The weakest link revisited. IEEE Security & Privacy , v. 1, n. 2, p. 7276, Mar./Apr. 2003. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS - ABNT. NBR ISO/IEC 17799: tecnologia da informao - cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2002. BATES, M. J. The invisible substrate of information science. Journal of the American Society for Information Science , v. 50, n. 12, 1999. Disponvel em: <http://www.gseis.ucla.edu/faculty/bates/ substrate.html>. Acesso em: 08 ago. 2003. BRASIL. Constituio (1988). Constituio. Braslia: Cmara dos Deputados, Centro de Documentao e Informao, 2002. CAPURRO, R. Heidegger y la experiencia del lenguaje. 1982. Disponvel em: <http://www.capurro.de/boss.htm>. Acesso em: 24 maio 2005. COMPUTER EMERGENCY RESPONSE TEAM. CERT/Coordination Center Statistics . 2004. Disponvel em: <http://www.cert.org/stats/ cert_stats.html>. Acesso em: 09 jan. 2006. FLORES, F. et al. Computer systems and the design of organizational interaction. ACM Transactions on Office Information Systems, v. 6, n. 2, p. 153172, 1988. Disponvel em: <http://doi.acm.org/10.1145/ 45941.45943>. Acesso em: 07 abr. 2004. GEER, D.; HOO, K. S.; JAQUITH, A. Information security: why the future belongs to the quants. IEEE Security & Privacy, v. 1, n. 4, p. 2432, July/Aug. 2003. GLASGOW, J.; MACEWEN, G.; PANANGADEN, P. A logic for reasoning about security. ACM Transactions on Computer Systems , v. 10, n. 3, p. 226264, 1992. . Metodologias HAGUETE, T. M. F. A interao simblica. In: qualitativas na sociologia. 4. ed. Petrpolis: Vozes, 1995. p. 2550. HITCHINGS, J. Deficiencies of the traditional approach to information security and the requirements for a new methodology. Computers & Security, v. 14, n. 5, p. 377383, May 1995. HUSSERL, E. Investigaes lgicas: sexta investigao - elementos de uma elucidao fenomenolgica do conhecimento. So Paulo: Nova Cultural, 1996. INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION. Information security governance: guidance for boards of directors and executive management. Illinois: Rolling Meadows, 2001. KIM, J. Phenomenology of digital-being. Human Studies, v. 24, n. 1/2, p. 87111, Mar. 2001.

Artigo submetido em 12/06/2006 e aceito em 16/03/2007.

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006

97

Joo Luiz Marciano / Mamede Lima-Marques LIMA, G. A. B. Interfaces entre a cincia da informao e a cincia cognitiva. Cincia da Informao, v. 32, n. 1, jan./abr. 2003. Disponvel em: <http://www.ibict.br/cionline/320103/3210308.pdf>. Acesso em: 16 ago. 2003. ORGANIZAO PARA A COOPERAO E DESENVOLVIMENTO ECONMICO - OCDE. Guidelines for the security of information systems and networks: towards a culture of security. Paris, 2002. Disponvel em: <http://www.oecd.org/dataoecd/16/22/ 15582260.pdf>. Acesso em: 20 nov. 2002. PASQUALI, L. Os tipos humanos: a teoria da personalidade. Petrpolis: Vozes, 2003. PEMBLE, M. What do we mean by information security. Computer fraud & security, v. 2004, n. 5, p. 1719, May 2004. PRESSMAN, R. S. Software Engineering: A practitioners approach. 2nd. ed. New York: McGraw-Hill, 1995. SARACEVIC, T. Information science. Journal of the American Society for Information Science, v. 50, n. 12, p. 10511063, Oct. 1999. SCHNEIER, B. Secrets and lies: digital security in a networked world. New York: John Wiley & Sons, 2000. STERGIOU, T.; LEESON, M.; GREEN, R. An alternative architectural framework to the OSI security model. Computers & Security, v. 23, n. 2, p. 137153, Mar. 2004. TAKAHASHI, T. Sociedade da informao no Brasil: livro verde. Braslia: Ministrio da Cincia e Tecnologia, 2000. TAYLOR, C. To follow a rule... In: CALHOUN, C.; LIPUMA, E.; POSTONE, M. (Ed.). Bourdieu: critical perspectives. Chicago: Chicago University, 1993. p. 150165. THROOP , C. J.; MURPHY, K. M. Bourdieu and phenomenology: a critical assessment. Anthropological theory, v. 2, n. 2, p. 185207, June 2001. VENTER, H. S.; ELOFF, J. H. P. A taxonomy for information security technologies. Computers & Security, v. 22, n. 4, p. 299307, May 2003. VON BERTALANFFY, L. Teoria Geral dos Sistemas. Petrpolis: Vozes, 1975. WOOD, C. C. An unnapreciated reason why information security policies fail. Computer Fraud & Security, v. 2000, n. 10, p. 1314, Oct. 2000.

98

Ci. Inf., Braslia, v. 35, n. 3, p. 89-98, set./dez. 2006