Você está na página 1de 116

Editorial editorial

Uma publicação da:

Ano 9 - nº 12 - Dezembro de 2012

Governador do Estado de Minas Gerais A presente edição da revista Fonte retoma a reflexão sobre Segurança da Infor-
Antonio Augusto Junho Anastasia
Vice-Governador
mação, tema que a cada dia assume maior relevância no contexto da sociedade
Alberto Pinto Coelho
em rede. Sob o ritmo acelerado de nosso cotidiano on-line, é difícil conceber,
Secretária de Estado de Planejamento e Gestão
Renata Maria Paes de Vilhena hoje, quaisquer atividades ou processos de negócio – dos mais prosaicos aos
Diretora-Presidente
Isabel Pereira de Souza mais críticos – que prescindam do suporte de algum tipo de infraestrutura tec-
Vice-Presidente
Antônio Alberto Moreira de Castro nológica.
Diretor de Desenvolvimento de Sistemas
Paulo Cesar Lopes Trata-se de um cenário por vezes paradoxal. As novas tecnologias das redes e
Diretor de Gestão Empresarial
Nathan Lerman ambientes digitais descortinam oportunidades e viabilizam avanços sociais an-
Diretora de Negócios
Maria Luiza Jakitsch tes inimagináveis; ao mesmo tempo, essa ambiência virtual também dá ensejo a
Diretor de Produção
Raul Monteiro de Barros Fulgêncio
uma série de riscos, dilemas e inquietações. Desse modo, cinco anos desde que o
assunto Segurança da Informação foi tratado pela primeira vez nas páginas desta
revista, pode-se afirmar que ele se tornou uma das principais preocupações na
CONSELHO EDITORIAL
Amílcar Vianna Martins Filho
pauta de gestores das áreas pública e privada. Mas, de lá até aqui, o que de fato
Gustavo da Gama Torres mudou para motivar essa postura?
Isabel Pereira de Souza
Marcio Luiz Bunte de Carvalho
Marcos Brafman Aborda-se agora a Segurança da Informação em rede. O mundo está cada vez
Maurício Azeredo Dias Costa
Paulo Kléber Duarte Pereira mais interconectado à rede e dependente dela. As implicações desse fenômeno
são variadas e não se limitam ao campo tecnológico, movimentando também
EDIÇÃO EXECUTIVA as searas política, econômica, jurídica, comunicacional e cultural. Vivenciamos
Gerência de Marketing
Gustavo Grossi de Lacerda
o crescimento das redes sociais, que saem do âmbito privado para invadir o
Edição, Reportagem e Redação dia a dia corporativo, fato impulsionado pelo uso exponencial dos dispositivos
Júlia de Magalhães Carvalho – MG 10249 JP
Colaboração
móveis.
Isabela Moreira de Abreu
Carine Alves de Carvalho As organizações têm que se estruturar para proteger suas informações, preservar
Gabriel Sales
Artigos Universidade Corporativa o legado informacional, conscientizar colaboradores e garantir a continuidade
Flávia Fernanda Carvalho da Motta
do negócio. Ocorrem ameaças e ataques cada vez mais diversificados, sofisti-
Capa
Guydo Rossi cados e insidiosos por parte daqueles que se valem das conquistas tecnológicas
Coordenação da Produção Gráfica
Guydo Rossi como meio para cometer ilicitudes nas redes; crimes cibernéticos, vazamento de
Consultoria Técnica dados, quebra de sigilo e invasão de privacidade começam a provocar reações
Carine Alves de Carvalho
Evandro Nicomedes Araújo da sociedade.
Revisão
André Luiz
Discute-se no país um novo marco regulatório, com um arcabouço legal que
Diagramação
Guydo Rossi proteja os cidadãos, dinamize o mercado e possibilite respostas rápidas e efi-
Impressão
Imprensa Oficial do Estado de Minas Gerais
cientes para os novos imbróglios jurídicos surgidos. Tudo isso exige que se re-
Tiragem pense as políticas e normas de Segurança da Informação, adequando-as a essa
3.000 exemplares
Periodicidade
nova realidade, inclusive frente às iniciativas voltadas à transparência e ao aces-
Anual so às informações de interesse público.
Patrocínio/Apoio Institucional
Lívia Mafra
(31) 3915-4114 / revistafonte@prodemge.gov.br Para revisitar uma temática que está em plena efervescência, contamos nesta
edição com o apoio precioso de nossos colaboradores, os quais oferecem um
A revista Fonte visa à abertura de espaço para
a divulgação técnica, a reflexão e a promo- painel reflexivo e multidisciplinar acerca da segurança da informação em rede.
ção do debate plural no âmbito da tecnologia da
informação e comunicação, sendo que o Vale destacar que a Segurança da Informação é compromisso e um pilar da
conteúdo dos artigos publicados nesta edição é
de responsabilidade exclusiva de seus autores. atuação da Prodemge, hoje celebrando 45 anos de uma trajetória que coloca a
tecnologia da informação a serviço da gestão publica em Minas.
Prodemge - Rodovia Prefeito Américo Gianetti,
nº 4.143 - Serra Verde - CEP 31630-901
Belo Horizonte - MG - Brasil
www.prodemge.gov.br Boa leitura a todos!
prodemge@prodemge.gov.br Diretoria da Prodemge

Dezembro de 2012
Fonte
Fonte 3
sumário
Sumário
Ano 9 - Dezembro de 2012

5 Diálogo
Entrevista com o diretor de Projetos Especiais e de Desenvolvimento do NIC.br, Milton Kaoru Kashiwakura, a gerente-geral do CERT.br,
Cristine Hoepers, e a analista de Segurança do CERT.br Miriam von Zuben sobre os novos contextos da segurança da informação.

12 Dossiê
A infraestrutura de rede e os novos ataques, as mudanças trazidas pelos dispositivos móveis e pelas redes sociais e os benefícios trazidos pela
gestão documental e a certificação digital para a segurança da informação.

42 Em uma guerra totalmente científica, contam-se cérebros e não ogivas


Marcelo Bezerra, especialista em segurança de TI e gerente de Pré-Vendas da CrossBeam Systems para a América Latina.

44 Gestão da Segurança da Dados: um processo de gestão de dados do framework DAMA-DMBok


Fernanda Farinelli, mestre em Administração de Empresas, analista de TIC na Prodemge e colaboradora da Data Management Association
Capítulo Brasil.

46 Lei de Acesso a Informação em Minas Gerais


Plínio Salgado, controlador-geral do Estado de Minas Gerais.

47 Benchmarking
As experiências da Companhia Energética de Minas Gerais e da Companhia de Tecnologia da Informação de Minas Gerais mostram a impor-
tância de campanhas de comunicação para o sucesso de uma política de segurança da informação.

54 O usuário faz a diferença em segurança da informação


Edison Fontes, mestre em Tecnologia, professor e consultor em segurança da informação. Autor de cinco livros sobre proteção da informação
na organização.

56 Arquitetura empresarial e segurança da informação: uma profícua sinergia


Marcello Bax, doutor em Informática e professor associado da Escola de Ciência de Informação da Universidade Federal de Minas Gerais.

60 Login e senha x autenticação do usuário com certificado digital


Luiz Carlos Morato, especialista em Gestão em TI e gerente de Operações da Autoridade Certificadora Prodemge.

62 Política de segurança, uma ferramenta eficaz para a segurança da informação de uma organização
Ricardo Cruz, especialista em Gestão Empresarial e coordenador de GRC na Montreal.

63 Universidade Corporativa Prodemge


Artigos acadêmicos inéditos descrevem experiências, pesquisas e reflexões sobre a segurança da informação.

64 Legado informacional: um desafio dos órgãos públicos


Vanessa Fusco, especialista em Ciências Penais pela Universidade Gama Filho e doutora em Direito pela Universitat de Barcelona,
Espanha. Coordenadora da Promotoria Estadual de Combate aos Crimes Cibernéticos do Ministério Público de Minas Gerais.

72 Fortalecimento de segurança cibernética: uma das prioridades da OEA e da América Latina


Belisario Contreras, gerente do Programa de Segurança Cibernética na Secretaria do Comitê Interamericano contra o Terrorismo,
pertencente à Organização dos Estados Americanos (OEA).

76 Alta disponibilidade de serviços de redes baseada na utilização de cluster implementado por meio de softwa-
re livre
Evandro Araújo, mestre em Administração Pública com ênfase em Gestão da Informação pela Fundação João Pinheiro e analista de
suporte a redes de comunicação de dados na Prodemge; e Alberone Rodrigues, bacharel em Gestão da Tecnologia da Informação
pelo Centro Universitário de Belo Horizonte e gestor da área de TI do escritório Pinto & Soares Advogados Associados.

84 Reflexões sobre a segurança de arquivos e de documentos arquivísticos: impactos das novas tecnologias e das
mídias digitais
Leandro Negreiros, mestre em Ciência da Informação e bibliotecário da Assembleia Legislativa do Estado de Minas Gerais; e Wel-
der Silva, mestre em Ciência da Informação e arquivista da Assembleia Legislativa do Estado de Minas Gerais.

89 A segurança da informação documental nos órgãos públicos.


Nelson Spangler, mestre em Administração Pública, Sistemas de Informação e Gestão pela Fundação João Pinheiro/Departamento
de Ciência da Computação da Universidade Federal de Minas Gerais e analista de Conteúdo Digital na Prodemge; e Sândalo Ribei-
ro, especialista em Gestão de Projetos Educacionais pelo Centro Universitário UNA e analista de Conteúdo Digital na Prodemge.

96 Engenharia da segurança: computação em nuvem e privacidade


Leonardo Barbosa, bacharel (UFMG), mestre (UFMG), doutor (Unicamp) e pós-doutor (Unicamp) em Ciência da Computação e
professor adjunto do Departamento de Ciência da Computação da Universidade Federal de Minas Gerais.

100 A segurança e a informação


Bruno Castro, gestor de Negócios e TI e consultor e gestor da Breed Consultoria.

104 Crônica de uma morte exagerada – obituários da privacidade na sociedade em rede


Gustavo Grossi, publicitário, mestre em Comunicação Social e gerente de Markteting da Prodemge.

113 C-O-R-I-N-T-H-A-S
Fim de Papo – Luís Carlos Eiras

4 Fonte
Fonte
Dezembro de 2012
Diálogo
Diálogo
Segurança da
Informação em rede
Os desafios trazidos por um mundo cada vez mais
conectado e os impactos para usuários e organizações
Para promover a qualidade técnica, inovação e dis-
Divulgação

seminação dos serviços de internet no Brasil, um grupo


formado por membros do governo, do setor empresarial,
do terceiro setor e da comunidade acadêmica trabalha há
17 anos coordenando e integrando todas as iniciativas
relacionadas à implantação, administração e uso da rede
em território brasileiro. É o Comitê Gestor da Internet no
Brasil (CGI.br). Suas decisões e projetos são implementa-
das pelo Núcleo de Informação e Coordenação do Ponto
BR (NIC.br), uma entidade civil sem fins lucrativos que
mantém o Grupo de Resposta a Incidentes de Segurança
para a Internet brasileira (Cert.br) para estudar, responder
e tratar incidentes de segurança no país.
Esse grupo também atua na conscientização sobre
os problemas de segurança, na análise de tendências e
correlações entre eventos na internet brasileira e no au-
xílio ao estabelecimento de novos grupos de segurança e
resposta a incidentes (CSIRTs) no Brasil.
Para falar sobre os novos cenários que a seguran-
ça da informação enfrenta, a revista Fonte entrevistou o
diretor de Projetos Especiais e de Desenvolvimento do
NIC.br, Milton Kaoru Kashiwakura; a gerente-geral do
CERT.br, Cristine Hoepers; e a analista de Segurança do
CERT.br Miriam von Zuben.
Milton Kaoru

Dezembro de 2012 Fonte


Fonte 5
Fonte: Quais os problemas de infraestrutura que a internet enfrenta no Brasil?
Milton Kaoru: O país tem as infraestruturas básicas da internet: cabos submarinos
ligando o Brasil a outros países, fibras conectando o Brasil de norte a sul, Pontos de
Troca de Tráfego (http://ptt.br), cópias de servidores DNS raízes (http://root-servers.
org), servidores DNS do .br espalhados pelo Brasil e pelo mundo, alguns servidores DNS
secundários de países como Coreia, Chile e Alemanha, servidores NTP (http://ntp.br)
distribuídos pelo país com capacidade suficiente para sincronizar todos os computadores
conectados no Brasil, data centers para prover serviços e conteúdos. Falta cobertura,
espalhar os serviços de acesso à internet banda larga fixa, levando a internet para cidades
ainda não atendidas e a bairros em cidades metropolitanas ainda não atendidos, ampliar a
cobertura do acesso móvel 3G, instalar 4G e, a longo prazo, investir em cabos submarinos
para ligar a outros continentes.
Os governos federal, estadual e municipal devem incentivar investimentos e propor
políticas para que promovam a competição no serviço de acesso, além de criar condições
que conduzam à redução de custo de infraestrutura para que o Brasil atraia conteúdos e
serviços de internet para o país.

.......................................
Divulgação

Fonte: O Brasil tem 83,4 milhões de inter-


nautas, segundo o Ibope (os números são do pri-
meiro trimestre de 2012). No mundo, são mais de
2,1 bilhões de usuários, de acordo com a empresa
de monitoramento de sites Pingdom. Com o seu de-
senvolvimento e amplitude exponenciais, a internet
está ficando mais segura ou insegura? Por quê?
Miriam von Zuben: O cenário atual, compos-
to pelo crescimento no número de internautas e pelo
aumento da importância da internet no dia a dia de
pessoas e empresas, acabou por resultar no aumento
dos ataques em si.
Esse aumento é uma tendência mundial, uma
vez que a internet passa a ocupar, cada vez mais, um
importante papel na sociedade. Isso atrai interesse
por parte de todos, incluindo aqueles que tentam ob-
ter alguma vantagem ilícita através do uso da rede.
Esse aumento em si não necessariamente tor-
na a internet mais ou menos segura, uma vez que o
que define isso é o conjunto de medidas preventivas
que é tomado por todos aqueles que a utilizam.
Miriam von Zuben

6 Fonte
Fonte Dezembro de 2012
Fonte: O governo brasileiro está adotando o uma organização construir sua política de seguran-
Plano Nacional de Banda Larga, que tem o objetivo ça da informação?
de massificar até 2014 a oferta de acessos de inter- Miriam von Zuben: A política de segurança
net banda larga para a população. Quais os impac- define os direitos e as responsabilidades de cada um
tos que essa inclusão digital pode causar? em relação à segurança dos recursos computacio-
Cristine Hoepers: Do ponto de vista da segu- nais que utiliza e as penalidades às quais está sujei-
rança, o maior desafio será a parte de conscientiza- to, caso não a cumpra.
ção dos novos usuários. Nesse processo, os usuários O passo fundamental para a construção de
terão não só o desafio de aprender a utilizar novas uma política de segurança da informação é conhecer
tecnologias, como também de aprender sobre os ris- o ambiente ao qual ela se aplica e, com base nele,
cos e como se proteger. deixar claro o comportamento esperado de cada um.
A nova estrutura da nossa Cartilha de Segu- Dessa forma, casos de mau comportamento, que es-
rança para Internet (cartilha.cert.br) já levou em tejam previstos na política, podem ser tratados de
conta esse desafio. Ela foi pensada não apenas como forma adequada pelas partes envolvidas.
um livro com dicas de segurança, mas como um
conjunto de materiais que pode ser utilizado para Fonte: Quais os fatores de sucesso na implan-
multiplicar o conhecimento aos novos usuários en- tação de um processo de segurança da informação?
trantes. Os fascículos da Cartilha Cristine Hoepers: A cha-
abordarão diversos assuntos espe- ve é realmente pensar que é um
cíficos e serão acompanhados por
“A chave é realmente processo e, mais que isso, um
slides, que podem ser usados em
pensar que é um processo processo que precisa envolver
palestras, aulas ou qualquer outra
e, mais que isso, um todos. A administração superior
iniciativa de conscientização.
processo que precisa precisa apoiar a implantação e
envolver todos.” dar o exemplo no cumprimen-
Fonte: Como o crescimento to das políticas. Essas políticas
da internet e o desenvolvimento de novas tecnolo- devem ser desenvolvidas com participação de todos
gias, como os dispositivos móveis, estão impactan- os setores, especialmente para que reflitam a reali-
do a segurança da informação nas redes? dade da organização, ou seja, que forneçam um ní-
Miriam von Zuben: O crescimento da inter- vel aceitável de segurança, mas que não interfiram
net, a grande popularidade dos dispositivos móveis, no negócio da organização. E, por fim, todos os fun-
a facilidade de conexão que esses equipamentos cionários precisam entender que fazem parte desse
oferecem e a grande quantidade de informações que processo.
eles armazenam trouxeram novos desafios relacio- Miriam von Zuben: É importante lembrar
nados à segurança de informação. Novos sistemas que, para aumentar as chances de sucesso na implan-
e aplicativos foram desenvolvidos enquanto outros tação de um processo de segurança de informação,
tiveram que ser adaptados. é importante que ele seja, de tempos em tempos, re-
Todo esse novo cenário traz impactos dire- visto e atualizado. Dessa forma, estará adequado às
tos à segurança da informação nas redes, exigindo necessidades da empresa.
a criação de novas políticas e/ou adaptação das já
existentes. Fonte: Qual a importância do usuário (inter-
nauta) para a eficiência de uma política de seguran-
Fonte: Quais os passos necessários para ça da informação?

Dezembro de 2012 Fonte


Fonte 7
Miriam von Zuben: O usuário tem papel fun- tura e que tenham o objetivo de mitigar os riscos
damental para a eficiência de uma política de segu- identificados para a sua organização em particular
rança da informação. Temos observado que nos últi- – através de um processo de análise de riscos, por
mos anos os atacantes têm concentrado esforços na exemplo.
exploração das fragilidades dos usuários, por meio Para que a chance de sucesso seja maior, é
de ataques de engenharia social. importante que as diversas áreas da organização se-
Cristine Hoepers: Por isso, é cada vez mais jam envolvidas em um projeto de definição e im-
importante que as organizações implementem pro- plantação das políticas. As áreas de negócio preci-
gramas de treinamento e conscientização, pois os sam apontar o que é chave para cumprir a missão da
usuários precisam não só entender os riscos, como organização, a área jurídica deve avaliar os impac-
saber como implementar as medidas necessárias de tos legais e as áreas técnicas para identificar como
proteção. implantar as tecnologias necessárias.

Fonte: Pensando em normas, certificações, Fonte: Existe algum movimento de organiza-


modelos e boas práticas, empresas que têm um bai- ções, públicas ou privadas, buscando a união para
xo nível de maturidade em suas operações de segu- tratar e enfrentar as ameaças de segurança da in-
rança da informação devem seguir qual modelo de formação?
evolução? Cristine Hoepers: Existem diversas inicia-
Cristine Hoepers: O mais importante é que tivas de cooperação em andamento, tanto no setor
cada organização procure implementar políticas e público quanto no setor privado. Existem grupos de
procedimentos que estejam de acordo com sua cul- trabalho, setores da indústria que se reúnem periodi-
camente, bem como fóruns para a discussão
dos assuntos relativos a incidentes de segu-
Divulgação

rança. Como as questões relativas à segu-


rança das organizações são sensíveis, esses
fóruns em geral não são públicos. A chave
é que cada organização procure conhecer
profissionais de segurança da comunidade e
participar de congressos e reuniões da área.
Um bom local para conhecer alguns desses
profissionais são as reuniões do Grupo de
Trabalho de Segurança do CGI.br (http://gts.
nic.br/). Esse é um evento gratuito, que ocor-
re duas vezes ao ano, em que profissionais de
segurança se reúnem para compartilhar boas
práticas na área de segurança.

Fonte: Quais os benefícios e as


desvantagens para as empresas em ade-
rir ao movimento Bring Your Own Device
(BYOD), que incentiva os empregados a
utilizarem seus próprios dispositivos móveis
Cristine Hoepers

8 Fonte
Fonte Dezembro de 2012
para realizar tarefas do trabalho? zenados. Questões relativas aos custos rela-
Miriam von Zuben: Os benefícios e as des- cionados ao acesso à internet ou a ligações
vantagens dependem muito de como esse movimen- feitas devem estar claras, assim como res-
to está sendo implementado na empresa, já que não ponsabilidades de reposição do equipamento
existe uma forma única de implementação: em caso de perda ou furto ou de exclusão de
De forma geral, os benefícios para as empre- dados em caso de desligamento da empresa.
sas são:
- possível aumento de produtividade: já que Fonte: Quais os cuidados de segurança que
os funcionários passam a usar equipamentos um usuário de dispositivo móvel deve ter ao utilizar
e sistemas de sua preferência aos quais, prova- seu aparelho?
velmente, estão mais familiarizados; Miriam von Zuben: De forma geral, os cuida-
- redução com custos de equipamentos, tanto dos de segurança que um usuário de dispositivo mó-
de aquisição como para atualização tecnológi- vel deve ter ao utilizar seu aparelho são os mesmos
ca: devido ao constante lançamento de novos aplicados ao uso de computadores pessoais, como
modelos, das promoções feitas por lojas/ope- mantê-lo sempre atualizado e utilizar mecanismos de
radoras e do desejo dos usuários de sempre te- segurança (como antivírus e firewall pessoal).
rem os modelos mais Outros cuidados
atuais, fica mais fácil complementares a serem to-
para as empresas te- “De forma geral, os cuidados mados são:
rem os equipamentos de segurança que um usuário - ser cuidadoso ao instalar
atualizados.
de dispositivo móvel deve ter aplicações desenvolvidas
De forma geral,
as desvantagens para as
ao utilizar seu aparelho são os por terceiros, como comple-
mentos, extensões e plug-
empresas são:
mesmos aplicados ao uso de ins;
- maior possibilidade computadores pessoais, como - manter as informações
de vazamento de in- mantê-lo sempre atualizado...” sensíveis sempre em forma-
formações: uma vez to criptografado;
que os dados empre- - fazer backups periódicos
sariais ficam armazenados em equipamentos dos dados nele gravados;
com maior possibilidade de perda ou furto, já - manter controle físico sobre ele, principal-
que é mais difícil garantir a segurança física mente em locais de risco (procurar não deixá-
deles; -lo sobre a mesa e ter cuidado com bolsos e
- dificuldade em prover suporte e manutenção bolsas quando estiver em ambientes públicos);
a dispositivos de diferentes fabricantes e com - configurar para que seja localizado e blo-
diferentes versões de sistemas operacionais e queado remotamente, por meio de serviços
aplicativos: isso pode também gerar incom- de geolocalização (isso pode ser bastante útil
patibilidade entre sistemas e aplicações; em casos de perda ou furto).
- dificuldade em separar os contextos: é ne- Mais detalhes e outros cuidados a serem
cessário que haja uma política clara sobre os tomados estão disponíveis na Cartilha de Segurança
direitos e deveres da empresa e dos funcio- para Internet, mais especificamente no capítulo 14,
nários relativos, por exemplo, ao dispositivo, Segurança em Dispositivos Móveis (http://cartilha.
aos aplicativos instalados e aos dados arma- cert.br/dispositivos-moveis).

Dezembro de 2012 Fonte


Fonte 9
Fonte: Como o Direito e a Segurança da In- restringindo e reduzindo as informações dis-
formação podem ou devem trabalhar em conjunto ponibilizadas;
para acompanhar as mudanças de tecnologia, as - ser cuidadoso ao disponibilizar informa-
vulnerabilidades da rede e seus riscos? ções: considerar que está em um local públi-
Cristine Hoepers: Um ponto importante é co, que tudo que é divulgado pode ser lido
lembrar um dos Princípios para a Governança e Uso ou acessado por qualquer pessoa, tanto agora
da Internet no Brasil: a inimputabilidade da rede. como futuramente;
Esse princípio nos diz que “o combate a ilícitos na - pensar bem antes de divulgar algo, pois não
rede deve atingir os responsáveis finais e não os há possibilidade de arrependimento;
meios de acesso e transporte, sempre preservando - usar as opções de privacidade oferecidas
os princípios maiores de defesa da liberdade, da pelos sites e procurar ser o mais restritivo
privacidade e do respeito aos direitos humanos” possível;
(mais sobre os princípios em: http://www.cgi.br/ - ser seletivo ao aceitar amigos/seguidores,
regulamentacao/resolucao2009-003.htm). Ou seja, pois quanto maior a rede de relacionamento
devemos lembrar que a internet é um meio para maior é o número de pessoas com acesso às
cometer determinados crimes, mas a tipificação suas informações;
diz respeito à conduta, não à tecnologia usada. Por - ser cuidadoso ao fornecer a localização geo-
exemplo, uma calúnia pode ser cometida por meio gráfica e ao elaborar as senhas de acesso.
de revista, jornal, TV ou internet, Mais detalhes e outros
mas será o mesmo crime, inde- cuidados a serem tomados estão
pendente do meio. O mesmo vale “Claro que cada nova tec- disponíveis na Cartilha de Segu-
para crimes como estelionato ou nologia traz novos desafios rança para Internet, mais espe-
furto. para a preservação e coleta cificamente no capítulo 11, Pri-
Claro que cada nova tec- de evidências...” vacidade (http://cartilha.cert.br/
nologia traz novos desafios para privacidade).
a preservação e coleta de evidên-
cias, a realização de investigações e a formação de Fonte: A Lei de Acesso à Informação en-
provas. Mas isso já ocorreu no passado, com inova- trou em vigor no país em maio de 2012. Um dos
ções como armas de fogo, energia elétrica, automó- seus princípios diz respeito aos dados abertos, que
veis, sistemas de telefonia, entre outros. permite a qualquer pessoa usá-los, reutilizá-los e
redistribuí-los. A Lei também prevê que os sítios
Fonte: O crescimento da internet, das redes eletrônicos devem garantir a autenticidade e a in-
sociais e do uso de dispositivos móveis está fazendo tegridade das informações disponíveis para acesso.
aumentar a quantidade de dados pessoais nas re- Essas duas situações são compatíveis?
des. Como as pessoas podem garantir a privacida- Cristine Hoepers: Primeiramente, devemos
de de seus dados? olhar duas definições presentes no Capítulo 7 da
Miriam von Zuben: Para tentar preservar a Cartilha de Segurança para Internet:
privacidade e proteger os dados pessoais, há algu- - Integridade: proteger a informação contra
mas medidas básicas que os usuários devem tomar, alteração não autorizada.
como: - Não repúdio: evitar que uma entidade possa
- procurar diminuir a quantidade de infor- negar que foi ela quem executou uma ação.
mações pessoais que possam ser coletadas: A autenticidade está relacionada ao não repú-

10 Fonte
Fonte Dezembro de 2012
dio, ou seja, à garantia de que uma informação esteja certa no lugar certo.
realmente sendo prestada por um determinado órgão. Nenhuma tecnologia sozinha aumentará a
Esses conceitos não só são compatíveis com segurança. Profissionais bem treinados, processos
o princípio de dados abertos, como essenciais para bem estabelecidos e usuários esclarecidos sobre os
garantir a qualidade dos dados que estão sendo dis- riscos e seu papel em mitigá-los são os fatores que
ponibilizados pelos órgãos governamentais. realmente fazem a diferença na proteção das orga-
nizações.
Fonte: Eugene Kaspersky, fundador da de-
senvolvedora de softwares de proteção de compu- Fonte: Como você enxerga o futuro da inter-
tadores Kaspersky Lab, que em 2009 descobriu o net e da segurança da informação?
malware que infectou a rede que comandava centrí- Cristine Hoepers: A internet já faz parte das
fugas de urânio no Irã, afirmou em entrevista para nossas vidas e não temos mais como pensar na evo-
o jornal Folha de S. Paulo que “estamos sentados lução da nossa sociedade sem conectividade. Mui-
sobre um barril de pólvora, e estamos serrando o tas mudanças devem vir no futuro, incluindo novas
galho que sustenta toda a internet, e junto toda a versões de protocolos, como o IPv6, que substituirá
infraestrutura do planeta”. Qual sua opinião sobre o IPv4. A segurança das redes provavelmente será
a afirmação de Eugene? cada vez mais importante, pois os serviços on-line
Cristine Hoepers: Creio que são cada vez mais prevalentes e a
seja sempre salutar avaliar qual- comodidade e agilidade são inegá-
quer declaração com cuidado.
“...a agilidade na detecção veis.
Por um lado, a internet re-
e no tratamento fará a Porém, as organizações pre-
almente não foi projetada levando
diferença entre um cisam, por um lado, conscientizar-
em conta o seu uso tão dissemina-
incidente com grande im- se de que os riscos existem e são
do. Está cada vez maior a depen-
pacto e um incidente do diferentes daqueles a que elas esta-
dência de diversos serviços críticos
qual a organização se vam acostumadas. Por outro lado,
da internet, incluindo smart grids,
recupere facilmente.” não é possível ter uma segurança
comunicação e serviços financei- perfeita, não existe nenhuma ativi-
ros. Mas, por outro, a implantação de medidas de dade da sociedade que seja 100% livre de riscos.
segurança de forma planejada e bem avaliada pode O que a sociedade terá que encontrar nos próximos
trazer o uso da internet para níveis aceitáveis de ris- anos é um nível aceitável de risco e de segurança
co. É sempre bom lembrar que não existe nenhuma on-line.
atividade sem algum risco envolvido, e não é dife- Também será necessário que as organiza-
rente na internet. ções criem estruturas eficientes de gestão de in-
Encaro metáforas como essa da declaração uma cidentes de segurança. Os incidentes ocorrerão,
tentativa de ilustrar o que pode acontecer caso as medi- mas a agilidade na detecção e no tratamento fará a
das necessárias de segurança não sejam tomadas. diferença entre um incidente com grande impacto
e um incidente do qual a organização se recupere
Fonte: Quais as novas tecnologias e so- facilmente. A gestão de incidentes inclui um gru-
luções que estão sendo usadas na segurança da po de tratamento de incidentes, mas não é somente
informação? isso, é necessário ter uma integração entre as di-
Cristine Hoepers: Mais importante que utili- versas áreas e um conjunto de processos que faça a
zar a tecnologia mais recente, é aplicar a tecnologia comunicação fluir.

Dezembro de 2012 Fonte


Fonte 11
Dossiê

Rede IP
Multisserviços,
a infraestrutura que
conecta o Estado de
Minas Gerais e
todos os seus
prédios públicos

Uma rede com alcance em todo o território um novo modelo de gestão de contratos e de servi-
mineiro, interconectando órgãos e transmitindo in- ços da rede. Antes, os órgãos do Estado contratavam
formações, além de serviços de voz, vídeo e ima- as linhas de dados diretamente com as operadoras,
gem. Essa foi a ideia que nasceu em 2008 e começou por meio de ata de registro de preços. A partir da
a tomar forma em setembro de 2010, quando entrou criação da Rede, a Companhia de Tecnologia da In-
em operação a Rede IP Multisserviços. Segundo o formação do Estado de Minas Gerais (Prodemge)
governo, ela permite ao Estado se instrumentalizar é a representante do governo estadual, por meio da
para “prover os serviços essenciais à sociedade com Unidade Gestora de Contrato (UGC) e da Unidade
qualidade, rapidez e eficiência”. Além disso, a Rede Gestora Operacional (UGO), junto às operadoras.
disponibiliza aos órgãos integrados acesso em tem- Além de acompanhar e monitorar todo o serviço
po real e de forma segura às informações corporati- prestado por elas, faz a gestão dos contratos e de
vas do governo e à internet. faturamento dos órgãos participantes. Desse modo,
A Rede IP tem dois grandes objetivos: pro- quem adere à Rede IP só utiliza e paga pelo serviço.
ver acessos a todos os municípios mineiros e inter- “Esse é um modelo inovador”, afirma o supe-
conectar 100% dos órgãos públicos. Ao fazer com rintendente de Redes da Prodemge, Evandro Araú-
que a infraestrutura de telecomunicações chegue ao jo, “que permite à administração pública estadual
Estado de Minas Gerais inteiro, o governo abre ca- um melhor aproveitamento de seus recursos”. O
minho para que as operadoras atendam também às decreto também formalizou a obrigatoriedade de
demandas locais de rede da iniciativa privada, pro- todas as secretarias de Estado, órgãos e entidades
piciando mais desenvolvimento para os municípios. dependentes de recursos do Tesouro Estadual se in-
E esse é o principal objetivo estratégico da Rede. tegrarem à Rede IP Multisserviços, para garantir o
A Rede IP Multisserviços foi instituída por desempenho e a disponibilidade dos serviços e sis-
meio do decreto estadual 45.006/2009, que trouxe temas que são utilizados em meio digital.

12 Fonte
Fonte
Dezembro de 2012
Outra característica é que as operadoras A Rede IP está em torno de 21,18% e o Brasil, em
vencedoras da licitação fornecem os acessos com 20%”, ressalta Evandro.
roteadores próprios. A Prodemge é a responsável Hoje, a Rede IP interconecta mais de 500 cen-
pelo planejamento, implantação e operação do trais telefônicas IP localizadas nas várias unidades
modelo tecnológico de rede, o que permite a inte- do governo pelo Estado. Essas unidades, incluindo
roperabilidade entre as infraestruturas centrais de
rede (backbone) das diferentes operadoras e garan-
te a integração dos acessos que compõem a Rede
IP Multisserviços. Para possibilitar essa interope-
rabilidade, a Companhia arquitetou um núcleo de
rede baseado na tecnologia Multiprotocol Label
Switch (MPLS).
Atualmente, a Rede conta com mais de 2.900
linhas ativas, número que deve chegar a 5.000 em
um ano e meio – para efeito de comparação, a anti-
ga rede do Estado contava com pouco mais de mil
linhas. A cobertura já chega a mais de 620 cidades,
abrangendo áreas urbanas e rurais. A maior con-
centração de velocidade na Rede IP está entre 384 Perfil da distribuição dos acessos por velocidade na Rede IP
Kbps e 512 Kbps (54,49%), enquanto que no Bra-
sil ela aparece nas velocidades entre 512 Kbps e 2
Mbps (51%). “Mas é interessante notar que, quando
se soma os percentuais de acessos com velocidade
entre 512 Kbps e 2 Mbps na Rede IP e no Brasil,
há certa similaridade nos números. O Brasil possui
51% da sua rede nesse entorno, enquanto a Rede
IP possui 40,1%. A mesma observação se constata
para os acessos que estão entre 2 Mbps e 34 Mbps.

Perfil da distribuição dos acessos no Brasil

a Cidade Administrativa Presidente Tancredo Ne-


ves (nova sede do governo estadual, inaugurada em
2010), podem fazer ligações telefônicas intrago-
verno a custo zero por meio da tecnologia de voz
sobre IP (VoIP) – estima-se que a economia gerada
chegue a 40%.
Fonte: Portal da Rede IP Multisserviços – acesso em outubro de 2012 O sistema de videoconferência também está
Mapa de cobertura da Rede IP no Estado de Minas – reduzindo custos de viagens e hospedagens, tendo
624 municípios em vista que reuniões, encontros e capacitações po-

Dezembro de 2012
Fonte
Fonte 13
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

dem acontecer remotamente.


Atualmente, três secretarias
(Educação, Saúde e Ciência,
Tecnologia e Ensino Supe-
rior), a Cidade Administrati-
va, a Fundação Hospitalar do
Estado de Minas Gerais e o
Instituto de Previdência dos
Servidores do Estado de Mi-
nas Gerais fazem parte desse
sistema, que poderá receber
novos integrantes quando
um registro de preços para
aquisição de end points for
lançado. Como a Rede já
disponibiliza o MCU (equi-
pamento central para dis-
ponibilização do serviço de
vídeo conferência), órgãos e secretarias não preci- informação que trafega na Rede IP Multisserviços,
sarão adquiri-lo. a Prodemge estruturou um sistema de segurança
Trabalhando na administração de toda essa integrado, redundante e com alta capacidade de
infraestrutura, existe um centro de gerência cha- processamento de dados, utilizando soluções de-
mado de Network Operation Center (NOC). Nele, senvolvidas internamente na empresa e soluções de
equipes da Prodemge e das operadoras Oi, Embra- mercado. Esse sistema é composto por roteadores
tel, Auriga e CTBC trabalham continuamente, 24 de alta capacidade, soluções de Firewall e Intru-
horas por dia, sete dias por semana, para fazer o mo- sion Prevention System (IPS) com capacidade de
nitoramento pró-ativo da rede. Mais de 2.800 ocor- through-put de rede acima de 10 Gbps. “A equipe
rências por mês são tratadas, o que exige uma forte da Prodemge conseguiu desenvolver uma ferramen-
atuação entre as equipes da Prodemge e das opera- ta que é capaz de inspecionar, analisar e mitigar ata-
doras para cumprir os níveis de serviços acordados. ques internos e externos de rede, a exemplo do syn
“Essa atuação mais próxima é benéfica e diminui o flood e ataques de domain name server (DNS). Tra-
tempo de resposta a qualquer incidente ou problema ta-se do Synistro, que hoje compõe o nosso parque
verificado nos acessos da rede”, conta Evandro. de soluções de segurança de redes e bloqueia mais
Outra frente de atuação é o Portal da Rede de 20 milhões de tentativas de ataques por semana”,
Governo, sistema desenvolvido especificamente informa Evandro. Outra característica da segurança
para atender à Rede e aos seus clientes. Com o obje- é a segmentação lógica entre as redes dos órgãos por
tivo de dar mais agilidade e eficiência na prestação meio de tecnologia VPN/MPLS. Qualquer comuni-
dos serviços de rede, ele gerencia e controla todo o cação que se faça necessária entre redes locais de
processo do serviço, desde a solicitação do acesso órgãos distintos deve, obrigatoriamente, ser autori-
pelo órgão, sua instalação, monitoração e acompa- zada e inspecionada pelo sistema de Firewall. Toda
nhamento de desempenho, o registro de incidentes, essa infraestrutura de rede está hospedada no data
a qualidade, o contrato e o faturamento. center da Prodemge que segue os padrões de quali-
Buscando garantir a integridade de toda a dade EIA/TIA 942, Tier 3 e ABNTNBR 15247.

14 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Centro de Operações de
Segurança
A Companhia está trabalhando, desde o co-

Júlia Magalhães
meço de 2012, na estruturação do Security Opera-
tions Center ou centro de operações de segurança
(SOC na sigla em inglês), que vai concentrar todas
as ações operacionais de segurança, sempre tendo
em vista os negócios da empresa. “A Prodemge é o
núcleo central de conectividade da Rede IP Multis-
serviços. Por isso, a atuação do SOC, que é relacio-
nada ao core da Rede, vai beneficiar indiretamente
as secretarias e órgãos ligados a ela”, explica o su-
perintendente de Planejamento e Monitoramento da
Prodemge, Flávio Chagas.
De acordo com a RSA, a divisão de seguran-
ça da EMC Corporation, um centro de operações
de segurança “monitora continuamente o ambiente
de segurança de uma empresa, responde a ameaças
imediatas e vulnerabilidades em longo prazo, e pro- Flávio Lima Chagas
porciona aconselhamento e orientação sobre ques-
tões de segurança tanto para o gerenciamento sê- rá extrair inteligência dessa informação”, conta
nior, quanto para as unidades de negócios”. A partir Flávio.
desse conceito, foi definido que o objetivo inicial do Os centros de operações de segurança são
SOC da Prodemge será monitorar, detectar, analisar uma tendência em unir as atividades de segurança
e tratar os incidentes de segurança que afetam a dis- dos ativos das empresas sob responsabilidade de di-
ponibilidade da infraestrutura da rede. Para isso, o versas áreas. “Essa disciplina é relativamente nova
Centro foi concebido para desempenhar cinco fun- no mercado brasileiro, por isso não há uma receita
ções: monitoramento, registro, operação, tratamen- pronta. Cada instituição está estudando e descobrin-
to e gestão de qualidade. do o melhor jeito para implantar o seu SOC, que
Após elaborar esse modelo funcional, o pode ter diferentes focos de atuação, como fraudes,
grupo responsável pela estruturação do SOC está vazamento de informações, infraestrutura de rede,
trabalhando no levantamento dos procedimentos, servidores ou aplicações”, analisa Flávio. O supe-
processos e tecnologias já existentes na Compa- rintendente cita como exemplo as experiências do
nhia para, em seguida, definir a forma de trabalho Banco do Brasil, do Serviço Federal de Processa-
do Centro. Esse trabalho inclui ainda a identifi- mento de Dados (Serpro) e da Telefônica. Internacio-
cação de quais serão as integrações necessárias nalmente, Estados Unidos e Inglaterra são os países
entre processos e onde estão as informações que onde essa cultura está mais sedimentada: “Os rela-
o Centro precisará para atuar. “Concentrando e tos mais antigos de iniciativas como essa são de dez
fazendo a correlação dos dados, o SOC consegui- anos atrás”, conclui.

Dezembro de 2012
Fonte
Fonte 15
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Ataques à estrutura de rede

“O ataque hacker às páginas da Presidência fato do ataque ter origens diversas, o trabalho de
da República, Portal Brasil e da Receita na ma- mitigá-lo se torna ainda mais complexo. Normal-
drugada desta quarta-feira foi o maior já sofrido mente, máquinas “zumbis” são utilizadas para fa-
pela rede de computadores do governo brasileiro. zer o ataque – o que, inclusive, está se tornando
De acordo com o Serviço Federal de Processa- um negócio, com pessoas na internet vendendo
mento de Dados (Serpro), o ataque – que não cau- ou alugando máquinas e servidores para fazer
sou danos às informações disponíveis nas páginas esse ‘serviço’.
– partiu de servidores localizados na Itália. Para Outro tipo de ataque é o defacement (ter-
derrubar os sites, os hackers utilizaram sistemas mo em inglês que significa modificar ou danifi-
que faziam múltiplas tentativas de acesso ao mes- car a superfície ou aparência de algum objeto),
mo tempo, técnica batizada de ‘negação de ser- que modifica a página inicial de um sítio na in-
viço’ e conhecida pelas iniciais em inglês DDoS ternet – o autor do ataque geralmente coloca
(Distributed Denial of Service). O objetivo dessa uma mensagem ou imagem de cunho político.
ação é tornar o serviço indisponível. A ação foi Um exemplo desse tipo de ataque foi o sofrido
reivindicada pelo grupo LulzSecBrazil, que teria pelo sítio do Instituto Brasileiro de Geografia e
ligações com o LulzSec, responsável por ataques Estatística, em 24 de junho de 2011. Nesse dia,
recentes a empresas de videogame como Sony e a página foi alterada por uma imagem de um
Nintendo, às redes de televisão americanas Fox e olho com as cores da bandeira do Brasil e uma
PBS e a órgãos governamentais americanos como mensagem explicando a ação. “Entendam tais
a CIA (agência de inteligência americana) e o FBI ataques como forma de protesto de um grupo
(polícia federal), além do serviço público de saú- nacionalista que deseja fazer do Brasil um país
de britânico, o NHS.” melhor. Tenha orgulho de ser brasileiro, ame
Essa notícia foi divulgada pelo portal G1 o país, só assim poderemos evoluir!”
em junho de 2011 e é apenas um exemplo dos Também está crescendo o ataque que atin-
vários ataques a sites do governo brasileiro con- ge o servidor DNS (Domain Name System), res-
duzidos por hackers neste ano. Segundo o gerente ponsável por converter o endereço digitado pelo
de Redes da Prodemge, Rafael Freitas, esse tipo usuário para o endereço IP. Nesse caso, ao tentar
de ação, que atinge a infraestrutura da rede, está acessar um site, a pessoa é redirecionada a um
crescendo. “Hoje o foco são os ataques que atin- site falso, que pode conter vírus ou roubar infor-
gem a ‘raiz’ da rede, derrubam um site ou param mações do seu computador. Normalmente, o usu-
a rede; sem que haja necessariamente roubo ou ário tem dificuldade em reconhecer esse tipo de
vazamento de informações”, explica. ataque.
O DoS (Denial of Service, ou negação de “Estamos enfrentando uma mudança de pa-
serviço), por exemplo, consiste na perda de de- radigma. Antes, a principal preocupação da segu-
sempenho proposital de serviços ou sistemas, im- rança era com identidade e acesso: aquela pessoa
possibilitando o uso pelas pessoas que os aces- está tentando acessar algo a que ela tem acesso?
sam. Apesar de ser fácil de detectar, é difícil de Hoje, os incidentes relacionados com ataques dis-
ser sanado, já que geralmente utiliza outras téc- tribuídos, que derrubam e indisponibilizam sites
nicas para esconder a origem real do ataque. Sua cresceram muito. As equipes que trabalham com
variante é o DDoS, técnica utilizada no ataque ao segurança estão se mexendo para enfrentar essa
sítio da Presidência da República em 2011. Pelo nova realidade”, conta Flávio Chagas.

16 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Hacker e cracker são diferentes

Embora muitas vezes sejam usados como sinônimos, hacker e cracker são diferentes e é bom
não confundir.
Hacker é a pessoa que utiliza seu conhecimento para testar os recursos de segurança de
uma empresa. Ele também, muitas vezes, é o responsável por encontrar vulnerabilidades de sistemas
e softwares. Há um movimento de hackers – conhecido como hacktivismo – que realizam ataques a
sites como forma de protesto. Além de derrubarem esses sites, eles podem mudar sua página principal,
deixando mensagens.
Os crackers são indivíduos que utilizam seu conhecimento para beneficio próprio. Eles invadem
computadores e roubam informações confidenciais, por exemplo, para aplicar golpes na internet. “São
os responsáveis pela maioria dos crimes virtuais divulgados que envolvem perdas financeiras ou de
informações para a empresa invadida”, explica o superintendente de Redes da Prodemge, Evandro Araújo.

Entrevista com Edison Fontes


Mestre em Tecnologia, professor e consultor em segurança
da informação. É autor de cinco livros sobre proteção da
informação na organização, sendo o mais recente Políticas
e Normas para a Segurança da Informação.

Há diferença no modo como os setores pú-


blico e privado tratam a segurança da informa-
ção? Quais os principais erros que eles cometem
nessa área?

Edison Fontes: Os segmentos com mais le-


gislação sobre a proteção da informação são os que
melhor possuem a segurança da informação. Exem-
plo, as instituições financeiras, sejam instituições
públicas ou instituições privadas. Bancos públicos
e bancos privados no Brasil, hoje, possuem uma ex-
celente proteção de informação.
As demais organizações vão levando. E, nes-
se caso, entendo que o maior erro que as organiza-
ções cometem é o fato de que as ameaças e os riscos
que afetam a informação e podem causar impactos
Divulgação

financeiros, de imagem ou operacional, não são va-

Dezembro de 2012
Fonte
Fonte 17
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

lidados pelos acionistas (donos). Os acionistas são Edison Fontes: O Cobit trata de segurança
aqueles que têm o maior interesse na continuida- assim como o Itil, mas com enfoque complementar.
de da organização e com certeza tomarão medidas O Cobit tem como objetivo a governança e a gestão
mais adequadas à segurança da informação. da TI. A Itil se preocupa com a entrega de serviços
pela TI. Então, ambos consideram a segurança da
Quais os passos necessários para uma orga- informação de uma maneira complementar. A Nor-
nização construir sua política de segurança da in- ma ISO/IEC 27.002/2005 trata especificamente a
formação? segurança da informação. Seu objetivo é prover um
grande roteiro de itens que devem ser considerados
Edison Fontes: Primeiramente, a organiza- pela organização que deseja proteger adequadamen-
ção deve saber o seu grau de maturidade em segu- te a suas informações.
rança da informação. Depois, precisa priorizar suas
ações nesse segmento. Nesse momento (provavel- Você acredita que a adoção do Cobit e da Itil
mente) ficará claro que a organização deve priorizar pelas organizações, tanto públicas quanto privadas,
a definição e implantação das suas políticas e nor- está incentivando a adoção de políticas de seguran-
mas para a segurança da informação. A partir daí, ça da informação? Ou o movimento é contrário?
a organização deve ter um recurso dedicado para
o projeto de políticas e normas, seja para criação, Edison Fontes: O uso do Cobit e da Itil in-
seja para melhoria. É necessário apoiar a constru- centiva as organizações a terem seus processos de
ção dos regulamentos em uma arquitetura. No meu segurança da informação, principalmente o Cobit,
recente livro, Políticas e Normas para a Segurança que considera a segurança como um fator da gover-
da Informação, eu defino uma arquitetura, indico nança ou na gestão de TI. A Itil também colabora
mais detalhadamente os passos para a construção muito quando ela exige gestão de mudanças, gestão
de políticas e, para exemplificar, apresento trinta de problemas, gestão de incidentes e similares. A
exemplos de políticas. O projeto de elaboração de existência dessas frentes facilita o processo de se-
políticas deve ser encarado como um projeto como gurança da informação.
outro qualquer.
Existe um fator crítico de sucesso: a direção Qual a melhor forma de alinhar a segu-
da organização precisa participar e definir a prote- rança da informação com a segurança do negó-
ção que se deseja. Sempro digo que “toda organiza- cio de uma empresa e a segurança do negócio de
ção tem a segurança que define”. Outros fatores de seus clientes?
sucesso são: existência de um profissional responsá-
vel (interno ou externo) pelo processo de segurança Edison Fontes: Defendo que a área de segu-
da informação, existência de cultura profissional na rança da informação deva obrigatoriamente ter um
organização, definição de políticas e normas, treina- plano de ação para os próximos três anos. Esse pla-
mento e conscientização dos usuários, e agradável no deve ser validado com a alta direção ou com um
clima organizacional. comitê executivo. É bom lembrar que a segurança
da informação é um processo organizacional que
Como a segurança da informação se relaciona tem por objetivo garantir que a organização alcan-
com as boas práticas de governança de TI, traduzidas çará os seus objetivos de negócio no que depende
pelos Objetivos de Controle de Informação e Tecno- da informação e dos recursos da informação. A se-
logia Relacionada (Cobit) ou pela Biblioteca de In- gurança só existe porque o negócio existe primeiro
fraestrutura para a Tecnologia da Informação (Itil)? e precisa ser protegido.

18 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Consumerização é tendência
“O dispositivo móvel vai revolucionar o

Divulgação
modo como se lida com a segurança da rede”, afir-
ma o gerente de Redes da Prodemge, Rafael Frei-
tas. O desafio é resultado do aumento do número
desses equipamentos que podem acessar a internet
a qualquer momento de qualquer lugar com acesso
à rede. Dados da E.life mostram que a quantidade
de usuários que usaram celulares e/ou smartphones
para navegar na internet subiu de 44,8% em 2011
para 56,2% em 2012. Via tablet, o acesso passou de
5,6% para 11,5%. Segundo o ministro das Comu-
nicações, Paulo Bernardo, o ano de 2011 registrou
mais de 40 milhões de novos assinantes de um pla-
no de acesso móvel à internet.
Nesse cenário, um movimento crescente nas
organizações é o Bring Your Own Device (BYOD),
ou traga seu próprio dispositivo, em tradução livre. Rafael Freitas
As empresas estão liberando os empregados a leva-
rem seus smartphones, tablets ou notebooks para o A mobilidade exige do dispositivo que ele
ambiente corporativo, utilizando-os para trabalhar. seja de fácil uso e pequeno. Pode-se dizer que ele
Mesmo as empresas que ainda não aderiram é um minicomputador que possui os mesmos recur-
ao BYOD se deparam com funcionários utilizando sos que um PC, mas, por causa do tamanho, sem o
seus equipamentos pessoais na rede corporativa, mesmo poder de processamento ou capacidade de
durante o horário de trabalho. Pesquisa realizada memória. “Os mecanismos e ferramentas de segu-
pela empresa Accenture com mais de quatro mil rança para um smartphone, por exemplo, não são
funcionários em 16 países mostra que quase 25% tão eficazes quanto os da máquina de uma estação
deles usam frequentemente seus dispositivos pes- de trabalho”, explica Rafael.
soais no ambiente de trabalho para cumprir suas ta- Outro desafio é o controle: como identificar
refas. Há também aqueles que acessam aplicações quem está acessando a rede, o que esse usuário
não permitidas pela política de segurança para fa- está fazendo e como? Que tipo de informação está
zer realizar seu trabalho: quase 50% já fizeram isso sendo recebida ou enviada? “Esse é um problema
pelo menos uma vez. A pesquisa também mostrou que atinge também os desktops, mas que foi poten-
que esses números crescem significativamente no cializado nos dispositivos móveis, que permitem à
Brasil, China, Índia e México – os quatro países pessoa ter a informação na palma da mão”, analisa
emergentes com maior crescimento que participa- Rafael. Para enfrentar essa nova realidade, existem
ram do questionário. soluções técnicas como a VPN, a NAC e a Sandbox.
Isso está trazendo uma nova demanda à área A tecnologia VPN (Virtual Private Network)
de TI: como tratar a segurança da informação e dos cria um canal criptografado entre o dispositivo e a
dados corporativos? infraestrutura da rede corporativa. Ela já é utilizada

Dezembro de 2012
Fonte
Fonte 19
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

em estações de trabalho e pode ser adaptada para comando, controle e supervisão do trabalho alheio”.
os dispositivos móveis. A NAC (Network Access Essa mudança na Consolidação das Leis Tra-
Control) também é uma solução antiga que pode ser balhistas equipara legalmente o trabalho realizado
adaptada para ser utilizada em smartphones, tablets no ambiente físico da empresa e o que acontece re-
e PDAs. Segundo Rafael, ela autentica o usuário, motamente, independentemente de quem pertença
identifica de onde é o acesso e permite o controle o dispositivo. Por isso, Patrícia afirma que a falta
por perfil, além de verificar a saúde do dispositivo. de normas e controles pode gerar, principalmente,
A terceira solução é um aplicativo que usa o concei- questionamentos sobre hora extra: “É comum que
to de sandbox, virtualizando uma porção do sistema pessoas que tenham acesso a dispositivos móveis
do dispositivo móvel. acabem fazendo uso deles a qualquer horário e dia
Segundo Rafael, essas opções são técnicas

Divulgação
que devem ser estudadas e estruturadas para a reali-
dade da empresa. Além disso, é importante lembrar
que toda ação operacional de segurança da infor-
mação deve estar alinhada com os normativos e a
política de segurança da organização.

Questões trabalhistas

Além da segurança, as empresas devem ficar


atentas às questões trabalhistas que podem surgir
com o uso de dispositivos móveis pelos emprega-
dos. Sobreaviso e sobrejornada são os principais
riscos, segundo a advogada Patrícia Peck Pinheiro,
especialista em direito digital. “A sociedade digital
trouxe um novo modelo de trabalho, em que a em-
presa não detém mais o monopólio da ferramenta
de trabalho. Isso significa que a maioria das pessoas
consegue realizar atividades tendo um celular e uma
conexão de internet. Logo, o maior risco da mobi-
lidade, no aspecto trabalhista, é a discussão sobre
sobreaviso e sobrejornada”, analisa.
Isso demanda das empresas que elas estabe-
Patrícia Peck
leçam regras claras sobre esse assunto, assim como
tenham controle sobre o uso desses equipamentos. da semana, mesmo sem que isso tenha sido solicita-
De acordo com a lei 12.551/2011, “não se distingue do”. E esses questionamentos acabam por aumentar
entre o trabalho realizado no estabelecimento do o custo financeiro da empresa.
empregador, o executado no domicílio do emprega- Para se proteger desses riscos, a advogada
do e o realizado a distância, desde que estejam ca- tem três recomendações: “A primeira medida é ter
racterizados os pressupostos da relação de emprego. a regra clara – normas, políticas, contratos. Depois,
Os meios telemáticos e informatizados de comando, tem que realizar campanhas educativas sobre o uso
controle e supervisão se equiparam, para fins de su- ético, seguro, saudável e legal das ferramentas tec-
bordinação jurídica, aos meios pessoais e diretos de nológicas. Por último, é importante monitorar”.

20 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Boas práticas de segurança para o usuário de um dispositivo móvel


Instale um programa antivírus antes de instalar qualquer tipo de aplicação e mantenha-o sempre atualizado.
Mantenha o sistema operacional e as aplicações instaladas sempre com a versão mais recente e com todas as
atualizações.
Evite modificar o sistema, o que pode tornar o aparelho mais vulnerável e sem proteções do fabricante.
Instale apenas aplicativos (apps) confiáveis. Pesquise na internet antes de instalar e verifique as avaliações dos
usuários. Aplicativos de redes sociais, principalmente os baseados em geolocalização, podem comprometer a
sua privacidade.
Tenha cuidado ao usar redes Wi-Fi públicas. Procure usar conexão segura sempre que a comunicação envolver
dados confidenciais.
Desligue o Bluetooth (ou outras interfaces de comunicação, como infravermelho e wi-fi) quando não estiver
usando. Também é importante escolher bem a senha utilizada no Bluetooth e mudá-la com frequência; e confi-
gurar a conexão para que seu dispositivo não seja identificado por outros dispositivos.
Bloqueie a tela com uma senha. Se possível, configure-o para aceitar senhas complexas.
Mantenha as informações sensíveis em formato criptografado.
Faça backups periódicos dos dados gravados. Há aplicativos que criam cópias de segurança automaticamente
do smartphone para o computador ou para algum servidor na internet.
Instale um app de controle a distância que você possa usar, por exemplo, para apagar seus dados, caso o apa-
relho seja roubado.
Ao se desfazer do dispositivo móvel, apague todas as informações nele contidas e restaure as opções de fábrica.

Fonte: Cartilha de Segurança para Internet, do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

Segurança dos dados


pessoais e privacidade
O crescimento da internet não aumentou a Ameaças nas redes sociais também são co-
preocupação e o cuidado dos usuários com suas se- muns: 40% revelam terem sido vítimas nesse tipo
nhas e dados pessoais. Os criminosos se aproveitam de ferramenta e 23% já tiveram seu perfil invadin-
disso e enviam, por exemplo, e-mails maliciosos, do, mostra o relatório. E a tendência é que os ata-
que pedem ao usuário para alterar sua senha, muitas ques virtuais passem a surgir nas redes sociais e nos
vezes alegando falha de segurança. O estudo Nor- celulares. Segundo a empresa de segurança NetQin,
ton Cybercrime Report, divulgado anualmente pela o número de vírus para celulares aumentou 155%
empresa de segurança Symantec, apontou que 28 em 2011. Somente no primeiro semestre de 2012,
milhões de brasileiros foram vítimas de fraudes na 13 milhões de smartphones foram invadidos.
internet, o que representa mais de 34% dos inter- Essa situação aponta para outro problema,
nautas no país. Os prejuízos chegaram a R$ 15,9 que também está crescendo junto com a populariza-
bilhões nos últimos 12 meses – uma média de R$ ção das redes sociais: a vastidão de informações que
562 por brasileiro. as pessoas postam e compartilham nas redes sociais,

Dezembro de 2012
Fonte
Fonte 21
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

como fotos da viagem de férias, o vídeo do nasci- pação com a privacidade parece diminuir à medida
mento do filho, um comentário sobre o último filme que elas expõem todo tipo de informação sobre sua
a que assistiu. vida para que amigos e amigos de amigos possam
Elas fazem parte de um novo tipo de usuário ver, curtir, compartilhar, comentar... Os usuários se
da rede, que surgiu com a evolução da web: gente esquecem de que dificilmente se elimina alguma in-
que produz e compartilha seu próprio conteúdo. E formação que está na rede.
elas são muitas. A empresa de pesquisa eMarketer Além disso, o que é feito com essas informa-
afirmou que 2012 deve terminar com cerca de um ções? No primeiro semestre de 2012, a Google uni-
quinto da população mundial cadastrado em alguma ficou a política de privacidade de mais de 60 de seus
rede social. produtos, o que permite à empresa cruzar informa-
Outra evolução tecnológica permite que elas ções pessoais dos usuários e entregar a eles resul-
permaneçam on-line cada vez mais tempo: os dispo- tados personalizados. “Coletamos informações para
sitivos móveis. Esses aparelhos permitem que a pes- fornecer serviços melhores a todos nossos usuários
soa esteja presente no mundo virtual praticamente – desde descobrir coisas básicas, como o idioma
em qualquer lugar, a qualquer tempo. E, com isso, que você fala, até coisas mais complexas, como os
mais e mais informações são despejadas no mundo anúncios que você achará mais úteis ou as pessoas
virtual. on-line que são mais importantes para você”, afir-
A falta de cuidado para lidar com a sua segu- ma a empresa em sua política de privacidade (você
rança no mundo virtual se estende para o conteúdo pode ver o conteúdo completo em http://www.goo-
daquilo que é colocado nas redes sociais. A preocu- gle.com.br/intl/pt-BR/policies/privacy/).

Boas práticas de segurança para o usuário de rede social


Considere que você está em um sua rede, maior será o número de de quando chegar.
local público, que tudo que você pessoas com acesso às suas infor- Proteja o seu perfil: seja cui-
divulga pode ser lido ou acessado mações. dadoso ao usar e elaborar as suas
por qualquer pessoa, tanto agora Não acredite em tudo que você senhas; habilite, quando disponí-
como futuramente. lê. Nunca repasse mensagens que vel, as notificações de login; use
Pense bem antes de divulgar possam gerar pânico ou afetar ou- sempre a opção de logout para não
algo, pois não há possibilidade de tras pessoas, sem antes verificar a esquecer a sessão aberta; denuncie
arrependimento. Após uma infor- veracidade da informação. casos de abusos.
mação ou imagem se propagar, Seja cuidadoso ao se associar Proteja sua vida profissio-
dificilmente ela poderá ser total- a comunidades e grupos, pois por nal: antes de divulgar uma infor-
mente excluída. meio deles muitas vezes é possí- mação, procure avaliar se, de algu-
Use as opções de privacidade vel deduzir informações pessoais, ma forma, ela pode atrapalhar um
oferecidas pelos sites e procure ser como hábitos, rotina e classe so- processo seletivo que você venha a
o mais restritivo possível. cial. participar; verifique se sua empresa
Mantenha seu perfil e seus da- Seja cuidadoso ao fornecer a possui um código de conduta e pro-
dos privados, permitindo o acesso sua localização: observe o fundo cure estar ciente dele; evite divul-
somente a pessoas ou grupos espe- de imagens; não divulgue planos gar detalhes sobre o seu trabalho;
cíficos. de viagens e nem por quanto tempo preserve a imagem da sua empre-
Procure restringir quem pode ficará ausente da sua residência; sa e, indiretamente, você mesmo;
acessar seu endereço de e-mail. procure se registrar (fazer che- proteja seu emprego e use redes so-
Seja seletivo ao aceitar seus ck-in) em locais movimentados ciais ou círculos distintos para fins
contatos, pois quanto maior for a e quando sair do local, ao invés específicos.

Fonte: Cartilha de Segurança para Internet, do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

22 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

A medida provocou reações pelo mundo: os para que essas empresas direcionem suas ações de
ministérios do Interior e Comunicações e da Eco- marketing. Além disso, uma equipe interna de pes-
nomia, Comércio e Indústria do Japão notificaram quisadores estuda os dados armazenados nos ser-
a empresa de que as novas políticas devem res- vidores do Facebook e produz conhecimento sobre
peitar as leis internas; a Comission Nationale de padrões de comportamento, comunicação e intera-
L’Informatique et des Libertés (autoridade france- ção entre usuários.
sa de proteção de dados), escolhida para liderar a Em entrevista à publicação Tecnhology Re-
posição das autoridades europeias de proteção de view, o coordenador dessa equipe, Cameron Mar-
dados nesse tema, escreveu ao CEO da Google so- low, afirmou que a pesquisa tem o objetivo de saber
licitando a suspensão da implementação da nova quais são as regras da vida social on-line e entender
política unificada de privacidade; o Transatlantic o que acontece no Facebook para adaptar a plata-
Consumer Dialogue, em nome de mais de 50 enti- forma e oferecer às pessoas as experiências que
dades não governamentais de proteção à privacida- elas desejam. Discurso similar ao da Google, mas
de e do consumidor, fez o mesmo. que pode não convencer usuários que veem seus
A Google não é a única empresa que enfrenta dados pessoais sendo explorados por essas empre-
questionamentos sobre o modo como lida com as sas sem regras claras e públicas. Em um mundo
informações e a privacidade de seus usuários. Junto cada vez mais conectado, no qual cerca de 20% da
com Amazon, Apple, Microsoft, Research In Mo- população faz parte de alguma rede social (segundo
tion (fabricante do BlackBerry) e Hewlett-Packard, dados da empresa eMarketer), esse é um assunto
ela assinou um acordo com o estado da Califórnia polêmico que está sendo discutido por governos,
(EUA), no começo de 2012, para informar com empresas e sociedade civil.
mais clareza quais dados pessoais são coletados por
aplicativos para smartphones e tablets. Regulamentação
O acordo parece ter surtido algum efeito. A
organização Future of Privacy Forum (FPF) divul- A privacidade e a proteção de dados pessoais
gou em julho de 2012 uma pesquisa que revelou o na internet ainda não são regulamentadas no Bra-
aumento no número de aplicativos para dispositi- sil. Até o fechamento desta edição, o que existe são
vos móveis desenvolvidos com políticas de privaci- anteprojetos de lei, que foram construídos com a
dade para seus usuários. Os números mostram que participação da sociedade, mas vêm trilhando len-
os aplicativos grátis disponibilizados na plataforma tamente o caminho para se tornarem leis.
iOS com algum tipo de política de privacidade che- O anteprojeto de lei nº 5.403/2011, conheci-
garam a 84% em junho de 2012; valor que foi de do como Marco Civil da Internet, estabelece direi-
64% para os aplicativos pagos. Na plataforma An- tos e responsabilidades dos internautas, provedores
droid, a percentagem foi de 76% para aplicativos de conteúdo e poder público no Brasil. Sobre a pri-
grátis e 48% para os aplicativos pagos. vacidade, ele propõe que o usuário possa solicitar a
Outra grande empresa que está no centro das exclusão definitiva dos seus dados de registros dos
discussões sobre privacidade é o Facebook. A rede sites, garante o direito à inviolabilidade da intimi-
social criada por Mark Zuckerberg fatura em cima dade e da vida privada, além de estabelecer que o
das informações de mais de um bilhão de usuários sigilo das comunicações pela internet só pode ser
(no Brasil, são 36 milhões), vendendo espaço de quebrado mediante ordem judicial.
anúncio publicitário a empresas interessadas. Se- O texto está parado na Comissão Especial da
gundo o jornal O Estado de S. Paulo, informações Câmara dos Deputados, onde deve ser votado – até
como e-mail, número de telefone e hábitos de na- o fechamento desta edição, três sessões de votação
vegação em outros sites da web estão disponíveis já foram canceladas (nas duas primeiras, por falta

Dezembro de 2012
Fonte
Fonte 23
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

de quórum; na terceira, por orientação do Executi- não poderão ser responsabilizados civilmente por
vo, que temia a “desfiguração” do texto). Depois, causa de publicação de internautas nem retirar da
seguirá para votação na própria Câmara ou em ou- rede conteúdo que considerarem ofensivo.
tra Comissão e só então entra na pauta do Senado, Outro ponto do Marco Civil é a neutralidade
que também deve aprová-lo antes de ir para pro- da rede. O texto garante que a qualidade do acesso
mulgação (ou veto) presidencial. Por isso, não há à internet tem que ser igual para todos, sem discri-
previsão de quando o Marco Civil entrará em vigor minação: “O responsável pela transmissão, comu-
no país. tação ou roteamento tem o dever de tratar de forma
O Ministério da Justiça é responsável, junto isonômica quaisquer pacotes de dados, conteúdo,
com a Fundação Getúlio Vargas, pelo texto inicial serviço, terminal ou aplicativo, sendo vedado es-
de outro anteprojeto de lei que está sendo discutido tabelecer qualquer discriminação ou degradação
no país e tem relação direta com o Marco Civil. do tráfego que não decorra de requisitos técnicos
Já chamado de Lei de Proteção de Dados Pessoais, destinados a preservar a qualidade contratual do
tem como objetivo estabelecer um marco regulató- serviço” (artigo 12).
rio sobre o assunto, assegurando ao cidadão o con- O assunto está causando polêmica. As em-
trole e a titularidade sobre suas informações pes- presas de telecomunicações argumentam que a
soais. O anteprojeto foi baseado em diversas leis nova regra vai exigir altos investimentos para mo-
internacionais em vigência, como, por exemplo, a dernizar a transmissão de dados e defendem um
Diretiva Europeia de Proteção de Dados Pessoais modelo que priorize o tráfego de dados dos sites
e a Lei de Proteção de Dados canadense. Assim que pagarem pelo acesso mais rápido. O governo é
como o Marco Civil, a consulta pública aconteceu contra. Outra discussão é sobre quem regularia as
pela internet, em um blog da plataforma Culturadi- exceções da neutralidade prevista em lei. O texto
gital. O debate terminou em abril de 2011, mas o do anteprojeto estabelece o Comitê Gestor da In-
projeto ainda não foi enviado ao Congresso. ternet, composto por representantes do governo, do
setor privado e da sociedade civil. Mas o governo
Marco Civil – a constituição da e as empresas de telecomunicações preferem que
internet a Agência Nacional de Telecomunicações (Anatel)
seja a responsável por essa regulação.
A importância do Marco Civil da Internet se O texto inicial do anteprojeto foi elaborado
estende para além da questão da privacidade. Seu pela Secretaria de Assuntos Legislativos do Minis-
objetivo principal é garantir direitos, observando os tério da Justiça, em parceria com o CTS, e recebeu
princípios de liberdade de expressão, privacidade colaborações através de um portal desenvolvido es-
do indivíduo, respeito aos direitos humanos e pre- pecialmente para incentivar as contribuições e pro-
servação da dinâmica da internet como espaço de mover o debate entre usuários, academia, iniciativa
colaboração. Por isso, é conhecido como a cons- privada, parlamentares e representantes do governo.
tituição da internet. “Faz sentido. Seu objetivo é Foram mais de duas mil contribuições diretas, que
traduzir os princípios constitucionais para a rede”, dão ao Marco Civil o título de primeira legislação
afirma o professor do Centro de Tecnologia e So- elaborada colaborativamente no país. Segundo Ro-
ciedade (CTS) da Escola de Direito da Fundação naldo, ele está sendo considerado um dos textos mais
Getúlio Vargas, Ronaldo Lemos. avançados do mundo e recebeu menções positivas
Se aprovado, prevalecerá na rede o direito à da ONU e do Parlamento Europeu. “Se aprovado,
opinião. Conteúdo considerado infringente (como, o país terá uma legislação abrangente e avançada,
por exemplo, calúnia ou difamação) só deverá ser que protege as características mais importantes da
retirado após decisão judicial. Provedores também internet e os direitos dos usuários”, conclui.

24 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Entrevista com Ronaldo Lemos


sobre o Marco Civil da Internet

Divulgação
Ronaldo Lemos é advogado, coordenador do
Centro de Tecnologia e Sociedade (CTS) da
Escola de Direito da Fundação Getúlio Vargas
e professor visitante na Universidade de
Oxford. Referência quando se fala em internet
no Brasil, é fundador do projeto Overmundo e
diretor do Creative Commons no Brasil, licença
internacional para produtos com direitos autorais
abertos. Foi nomeado em 2012 como membro
do Conselho Nacional de Combate à Pirataria,
coordenado pelo Ministério da Justiça, e do
Conselho Nacional de Comunicação. Escreveu o
livro Direito, Tecnologia e Cultura.

Qual o cenário do debate sobre regula- sito de regular a internet. Quais serão as mudan-
mentação da rede no Brasil? ças que a nova lei vai causar, quando aprovada?

Ronaldo Lemos: O Brasil está atrasado na Ronaldo Lemos: O Marco Civil vem sendo
regulamentação da rede. Já se passaram mais de chamado de “A Constituição da Internet”. Faz senti-
15 anos desde que o acesso comercial à internet no do. Seu objetivo é traduzir os princípios constitucio-
Brasil começou a se disseminar e desde então ainda nais para a rede. Seu principal efeito será estabelecer
não estabelecemos um marco legal para o uso da uma moldura legal para as decisões judiciais sobre a
rede no país. Essa ausência de lei, em vez de as- internet no Brasil, bem como consolidar princípios
segurar liberdade no uso da rede, está gerando dis- importantes, como a privacidade, a neutralidade da
torções. Na ausência de lei, as decisões dos juízes rede e os contornos da liberdade de expressão.
estão sendo contraditórias. Há juízes que decidem
em um sentido e outros em sentido exatamente con- Quais os principais avanços que o texto
trário. Com isso, há uma incerteza jurídica. Isso é atual do Marco Civil, se aprovado, vai trazer
ruim para a inovação e para o desenvolvimento de para usuários da internet?
novos serviços baseados na internet no país.
Ronaldo Lemos: O avanço é significativo. O
O Marco Civil da Internet, anteprojeto de usuário da rede hoje é, ao mesmo tempo, consumi-
lei em fase de votação na Câmara, tem o propó- dor e produtor de conteúdo. O Marco Civil reforça

Dezembro de 2012
Fonte
Fonte 25
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

essa posição e garante que usuários que produzem Desde que o anteprojeto foi enviado ao
conteúdos não sejam responsabilizados com base Congresso, aconteceram alterações relevantes no
em critérios pouco claros. Além disso, ele assegura texto? Quais as principais críticas que ele sofre?
a privacidade dos usuários, por exemplo, o direito
de exigir a remoção dos seus dados de um determi- Ronaldo Lemos: A principal alteração intro-
nado serviço da rede quando decidir parar de uti- duzida foi com relação à neutralidade da rede. O
lizá-lo. E mais importante: assegura a neutralidade projeto original estabelecia a regra da neutralidade
da rede, que garante que a qualidade do serviço de e outorgava à Anatel a responsabilidade de regular
acesso à internet seja igual para todos, evitando, por a questão. Na versão mais recente, foi incluída uma
exemplo, que serviços como Skype ou o acesso a necessidade de consulta ao Comitê Gestor da Inter-
vídeos na internet possam ser bloqueados pelos for- net. Isso vem desagradando as teles, que gostariam
necedores de acesso. de continuar lidando com o mesmo ente regulatório
ao qual estão vinculadas, qual seja, a Anatel.
Comente sobre o direito de liberdade de ex-
pressão que o Marco Civil garante aos usuários. Qual é o estatuto do Marco Civil em rela-
ção a outras leis?
Ronaldo Lemos: O Marco Civil traduz na
prática os princípios constitucionais sobre liberda- Ronaldo Lemos: O Marco Civil vem sendo
de de expressão. Ele diz que alguém só pode ser considerado um dos textos mais avançados do mun-
responsabilizado se for acionado judicionalmente do com relação às questões que regula. Foi mencio-
e descumprir a ordem judicial. Isso estabelece um nado positivamente na ONU, no Parlamento Euro-
controle prévio pelo judiciário de quaisquer medi- peu e em vários fóruns internacionais. Vale lembrar
das que possam ser aplicadas pelo uso da rede. Vale que o Brasil está chegando tarde à regulação da
lembrar que a situação de incerteza hoje gera inú- rede. Países como o Chile já adotaram sua regra so-
meros problemas. Por exemplo, quando um juiz em bre neutralidade da rede desde 2010. No entanto,
São Paulo mandou tirar do ar todo o YouTube por a vantagem é que se o Marco Civil for aprovado,
conta de um vídeo envolvendo a modelo Daniela o país terá uma legislação abrangente e avançada,
Cicarelli. Com o Marco Civil essas decisões extre- que protege as características mais importantes da
madas são evitadas. internet e os direitos dos usuários.

A privacidade no Marco Civil da Internet


“O usuário de Internet tem ção dos seus dados pessoais; (...) para o pleno exercício do direito
direito à inviolabilidade e ao si- à não divulgação ou uso de seus de acesso à internet.”
gilo de suas comunicações, salvo registros de conexão e registros “O exercício do direito à
por ordem judicial, nas hipóteses de acesso a serviços de internet, privacidade e à liberdade de ex-
e na forma que a lei estabelecer salvo mediante seu consentimen- pressão autoriza aos usuários de
para fins de investigação crimi- to expresso ou em decorrência de internet a livre opção por me-
nal ou instrução processual pe- determinação judicial.” (artigo didas de segurança direciona-
nal; (...) a informações claras 7º, capítulo II) das a salvaguardar a proteção
e completas constantes dos con- “A garantia do direito à pri- de dados pessoais e o sigilo
tratos de prestação de serviços, vacidade e à liberdade de expres- das comunicações.” (artigo 8º,
estabelecendo o regime de prote- são nas comunicações é condição capítulo II)

26 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Legado informacional
Organizações que utilizam a gestão documen- Entretanto, mesmo o suporte digital apresen-
tal para lidar com o seu legado informacional têm ta algumas fragilidades, que devem ser motivo de
duas vertentes de atuação: uma é a digitalização, atenção dos dirigentes. “Tecnologias podem se tor-
que converte o acervo dos documentos em formato nar obsoletas e mídias ainda são frágeis. Entretan-
analógico para a mídia digital; a segunda é a não to, a evolução tecnológica caminha para formatos
geração de novos documentos em papel, criando-os permanentes e padronizados, que facilitam o acesso
diretamente no formato digital – caminho escolhido e uso de arquivos em diferentes equipamentos e ver-
pelo governo mineiro e que está sendo implantado sões de softwares”, explica.
através do projeto Governo sem Papel (leia mais na Usuários também devem ter cuidado com a
página 27). quantidade e a qualidade da informação produzida
Aliando essas duas ações com a utilização de no mundo digital. Da mesma maneira que se gera
ferramentas de gestão de conteúdo (ECM, sigla para lixo no mundo analógico, é possível gerar lixo di-
Enterprise Content Management), adaptadas segun- gital. E-mails, por exemplo, são um novo tipo de
do as especificidades de cada acervo e as necessi- documento, que não existia na sociedade do papel.
dades da organização, ganha-se em produtividade “O que fazer com a quantidade de e-mails gerada
e, principalmente, segurança. Sistemas de gestão atualmente? Devemos guardar? Jogar tudo fora?”,
garantem a acessibilidade, facilitando a busca e a questiona Nelson. Ele faz ainda um alerta: “Temos
tramitação de documentos, e a descentralização, ao que pensar a produção, a gestão e o descarte de do-
permitir que pessoas em diferentes locais e estações cumentos digitais, para não trocar um problema que
de trabalho acessem o documento. Essa tecnologia temos com o suporte papel por outro maior ainda.”
também garante o controle de acesso, o versiona-
mento de documentos e acompanha o ciclo de vida Adoção gradual
deles (que tem três fases: corrente, intermediária e
permanente). A flexibilidade na indexação também Não existem números oficiais sobre a quan-
possibilita a recuperação da informação de diversas tidade de papel guardada em acervos – para se ter
formas. uma ideia da ordem de grandeza que envolve essa
Há também que se destacar outra forma de situação, as estimativas são de que o governo mi-
segurança, obtida pela hospedagem desses sistemas neiro produza anualmente 20 milhões de novas
em um data center. “Esse tipo de ambiente é uma páginas. Cada organização, seja ela pública ou pri-
instalação profissional que trabalha com proteção vada, tem um tipo de acervo, com suas peculiari-
física, controle de acesso, segurança da rede, redun- dades, e cuida dele seguindo suas próprias regras.
dância e níveis de serviço, o que garante a integrida- Ao se deparar com esse volume de documentos, é
de dos dados e do legado informacional, e a dispo- possível encontrar problemas como espaço inade-
nibilidade das informações em qualquer momento”, quado e pouco seguro para guardar grande quan-
detalha o gerente de Conteúdo Digital da Prodem- tidade de papéis; número de funcionários insufi-
ge, Nelson Spangler. A capacidade do data center cientes e, às vezes, mal preparados para lidar com
é outro fator importante, pois aplicações de ECM o acervo; desconhecimento sobre o que de fato
demandam grande volume de armazenamento. está guardado.

Dezembro de 2012
Fonte
Fonte 27
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Esse cenário prejudica iniciativas de digitali- exemplo, são eliminados em cinco dias, só res-
zação, que ainda são incipientes e pontuais no Bra- tando a sua forma eletrônica. Há que se destacar
sil. São três as principais estratégias adotadas pe- também os órgãos certificadores de certificação
las organizações: a digitalização de todo o acervo, digital”.
assim como da documentação corrente; a cessão Iniciativas como a lei 12.682, promulgada
da produção analógica de documentos e, posterior- em 9 de julho de 2012 e que trata da elaboração
mente, a digitalização do acervo – o que está sendo e do arquivamento de documentos em meios ele-
feito no projeto Governo sem Papel; e a digitaliza- tromagnéticos, contribuem para a incorporação da
ção do acervo sob demanda. digitalização. “Ela fortalece a certificação digital
Segundo o bibliotecário e analista de Gestão e o documento eletrônico”, elogia Sândalo. A lei
Documental da Prodem- federal estabelece que
ge, Sândalo Salgado, um o “processo de digitali-
dos principais proble- zação deverá ser reali-
mas enfrentados é o alto zado de forma a manter
custo necessário para se a integridade, a autenti-
preparar os documentos cidade e, se necessário,
que serão convertidos em a confidencialidade do
formato digital. Como documento digital, com
cada acervo é diferente e o emprego de certificado
muitas vezes não há pa- digital emitido no âmbi-
dronização nos tipos de to da Infraestrutura de
documentos guardados, Chaves Públicas Brasi-
o tempo necessário para leira (ICP-Brasil)”. Ain-
organizar todo o material da segundo o texto, “os
é outro fator que desesti- meios de armazenamento
mula a conversão. dos documentos digitais
Dirigentes também deverão protegê-los de
paralisam processos de acesso, uso, alteração,
digitalização quando é reprodução e destruição
necessário reduzir o or- não autorizados”.
çamento. “Projetos de di- A ressalva ao texto
gitalização ainda não são final da lei é que o des-
prioritários e por isso, em Divulgação
carte de documentos ori-
situação de crise financeira mundial e contenção de ginais em papel e que foram digitalizados, antes
despesas, eles sofrem cortes ou são paralisados”, deles cumprirem seu ciclo de vida, não é permiti-
conta Sândalo. do: “Os registros públicos originais, ainda que di-
O analista explica que a adesão ao formato gitalizados, deverão ser preservados de acordo com
digital é um processo longo e cita exemplos positi- o disposto na legislação pertinente”, estabelece o
vos de organizações que já adotaram a nova cultu- artigo 6º. Na prática, isso significa que documentos
ra: “Os tribunais estaduais e federais já trabalham impressos e digitalizados ainda não tem o mesmo
com processos eletrônicos, através do sistema valor no país. Para Sândalo, “essa falta de clareza
Processo Judicial Eletrônico. Os bancos também prejudica a adesão de órgãos públicos ao processo
aderiram à automatização. Cheques em papel, por de conversão de documentos para a mídia digital”.

28 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Governo sem Papel


Desde 1º de setembro de 2012, as secretarias

Divulgação
de Estado de Fazeda (SEF) e de Planejamento e
Gestão (Seplag) de Minas Gerais não mais impri-
mem os documentos gerados durante a execução
orçamentária e financeira (empenho, liquidação e
ordem de pagamento). A medida vai ser ampliada
para todos os órgãos do governo mineiro a partir de
1º de janeiro de 2013 e deve gerar uma economia
de mais de R$ 200 mil por ano aos cofres públicos.
A ação faz parte do projeto Governo sem
Papel, que busca diminuir a geração de papel nos
processos administrativos do Estado, tornando-os
eletrônicos. Além da redução de custos, essa nova
forma de trabalho está liberando a atuação de servi- Equipe que trabalha no projeto Governo sem Papel: Amanda
Dias, Milla Fernandes e Robson Campos
dores nas atividades-fim do órgão e trazendo mais
segurança, pois os documentos são gerados e arma-
Divulgação

zenados em sistemas. “O governo de Minas Gerais


está empenhado em desburocratizar seus procedi-
mentos internos, buscando uma maior eficiência da
máquina pública, que reflita em benefícios na pres-
tação do serviço. Para que a gente possa realmente
gastar mais com o cidadão e menos com o gover-
no”, explica Milla Fernandes, gestora do projeto na
Subsecretaria de Gestão da Estratégia Governamen-
tal da Seplag.
O projeto teve início com a execução orça-
mentária e financeira, porque esses documentos já
eram gerados eletronicamente e recebiam assina-
tura digital no Sistema Integrado de Administração Robson Campos em capacitação para auditores do Tribunal de
Contas do Estado, quando eles aprenderam a consultar docu-
Financeira de Minas Gerais (Siafi-MG) desde 2007. mentos de execução orçamentária e financeira no Siafi-MG
Mesmo assim, eram impressos para auditoria do Tri-
bunal de Contas do Estado de Minas Gerais (TCE- “O TCE-MG foi um grande parceiro. Ele
MG). Para mudar essa cultura, a Seplag buscou um também entende que precisa fazer um uso racio-
entendimento conjunto com o Tribunal, que publicou nal e sustentável dos recursos e lançou um projeto
uma diretriz interna orientando os auditores a não para evitar a geração de papel, o Controle sem Pa-
exigir impressão: a auditoria pode ser feita digital- pel”, conta Milla. Outro resultado dessa parceria
mente, desde que os documentos tenham sido produ- foi uma capacitação para todos os auditores do Tri-
zidos de forma eletrônica e assinados digitalmente. bunal, com o apoio da equipe do Siafi-MG. Mais

Dezembro de 2012
Fonte
Fonte 29
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

de cem auditores aprenderam o passo-a-passo de

Divulgação
como consultar os documentos da execução orça-
mentária e financeira no Sistema e um tutorial foi
desenvolvido especificamente para esse fim.
Com a determinação de não imprimir, am-
parada por uma deliberação da Câmara de Coor-
denação Geral, Planejamento, Gestão e Finanças,
o governo vai conseguir economizar 3,8 milhões
de folhas por ano. Se forem consideradas apenas 3
folhas por processo, chega-se ao valor de R$ 200
mil por ano. “Mas tem processos com centenas de
folhas”, observa Robson Campos, coordenador de
projetos da Subsecretaria de Gestão da Estratégia
Documentos serão gerados e armazenados em sistemas,
Governamental da Seplag. eliminando a necessidade de imprimir milhares de papéis.
Mas o benefício não se refere somente ao
montante que se está deixando de imprimir e os va- em um data center protegido segundo normas in-
lores gastos com essa ação. Há também custos asso- ternacionais. Além disso, eles diminuem a tramita-
ciados, como o tempo. O antigo procedimento exi- ção física do processo em papel, possibilitam um
gia do operador responsável pelo empenho bancário maior controle e evitam substituições indevidas e
e pela liquidação que imprimisse, pegasse as folhas, perdas de folhas. Esses sistemas também fornecem
as furasse, anexasse no processo, carimbasse, rubri- ao TCE-MG aquilo que ele precisa: informação se-
casse... Atividades que, somadas, tomavam tempo gura e disponível a qualquer momento.
de trabalho que não precisa mais acontecer. Milla conta a próxima etapa do projeto: “A
A auditoria também será beneficiada, porque partir desse piloto, com a execução orçamentária
vai acontecer via sistema, já que o documento ori- e financeira e os atos de aposentadoria, queremos
ginal está dentro dele. Isso permitirá que o auditor evoluir para outros documentos, identificando opor-
cruze informações – o que ele não conseguia fazer tunidades de inclusão de assinatura digital e gera-
no processo em papel. ção em sistemas, e, em parceira com o Tribunal de
Os atos de aposentadoria – que em 2011 fo- Contas, parar de exigir sua impressão. A tendência é
ram 8.652, impressos e assinados manualmente – evoluir para processos maiores e complexos”.
são o segundo tipo de documentos que não mais O processo de compras, por exemplo, no qual
será impresso, dentro do projeto Governo sem Pa- a execução orçamentária e financeira está incluída,
pel. Para concretizar isso, a Companhia de Tecnolo- começa com a solicitação de compra por uma uni-
gia da Informação de Minas Gerais (Prodemge) de- dade demandante. A partir daí, o processo é instruí-
senvolveu um workflow que permite que o ato seja do com justificativa, propostas comerciais, registro
gerado eletronicamente, receba a assinatura digital de preços; em seguida, acontece o registro no Portal
da secretária de Planejamento e Gestão e faça sua de Compras do Estado da documentação do proces-
tramitação via sistema – incluindo a publicação pela so licitatório, edital, contrato assinado, documenta-
Casa Civil e depois a auditoria do TCE-MG. ção do fornecedor e notas fiscais. Segundo Milla,
Uma das principais conquistas do projeto Go- é uma geração de documentos enorme. Imprimi-se
verno sem Papel é a segurança. Sistemas eletrônicos tudo que é considerado interessante ou relevante, o
são mais protegidos do que arquivos físicos e seus que acaba por tornar um processo de compra um
bancos de dados estão em servidores localizados calhamaço de papel.

30 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

O objetivo da Subsecretaria de Gestão da um desafio enorme. Mas significa redução de cus-


Estratégia Governamental é organizar todo esse tos, otimização de trabalho, mais produtividade
processo eletronicamente. Por isso, está levan- pro servidor e pro governo. E sobra mais dinhei-
tando quais são os documentos que precisam ro para investir em áreas como saúde, educação,
estar no processo de compra, em qual ordem e transporte”.
formato de arquivo eletrônico. Em paralelo a esse
mapeamento, será implantada a assinatura digi- Programa Estruturador
tal. “Dessa maneira, será possível ter um sistema
inteligente, com uma única opção de consulta, o O projeto Governo sem Papel faz parte do
que vai facilitar o trabalho do servidor ou do au- Programa Estruturador Descomplicar, do governo
ditor. No futuro, eu vou entrar no sistema, colocar de Minas, que desde 2007 vem implantando ações
o número do processo e conseguirei ver todos os de simplificação de procedimentos da administra-
documentos pertinentes ao processo, desde o iní- ção pública, facilitando as relações do Estado com
cio até a execução”, detalha Milla. E conclui: “É os cidadãos, as empresas e o próprio Estado.

Certificação Digital
Uma assinatura eletrônica que garante a au- dos titulares de certificados. O piloto já está funcio-
toria, a autenticidade, a privacidade, a integridade e nando em São Paulo e no Rio de Janeiro; na Bahia
o não repúdio de um documento eletrônico, dando está funcionando a primeira AR totalmente digital”,
validade jurídica a ele ou a qualquer outro processo conta a gerente de Operações de AR da Prodemge,
ou transação que aconteça no mundo digital. Essa é Jacira Xavier.
a característica de um certificado digital, tecnologia O uso da certificação digital está consolidado
baseada em criptografia assimétrica que imprime nos setores público e privado. Empresas, governos e
segurança e confiabilidade às informações que tra- órgãos públicos aderiram à tecnologia por causa dos
fegam na rede. seus benefícios, como desburocratização e simpli-
No Brasil, a medida provisória 2.200-2/2001 ficação de processos, redução de custos, economia
implantou o sistema nacional de certificação digi- de papel, validade jurídica de transações virtuais,
tal e estabeleceu a Infraestrutura de Chaves Públi- redução de fraudes e maior transparência. Os dois
cas Brasileira (ICP-Brasil). O Instituto Nacional de grandes alavancadores desse processo foram a Re-
Tecnologia da Informação (ITI) é a primeira auto- ceita Federal, que oferece diversos serviços a pes-
ridade da cadeia de certificação e é responsável por soas físicas e jurídicas através da sua Central Virtual
auditar o sistema, além de cuidar da constante me- de Atendimento ao Contribuinte (e-CAC); e a Caixa
lhoria das suas normas e requisitos. Em 2012, por Econômica Federal, cujo programa Conectividade
exemplo, entrou em vigor a segunda versão da ICP- ICP permite às empresas enviar e acessar os dados
-Brasil, que aumentou os níveis de segurança e o do FGTS.
algoritmo das chaves criptográficas de usuários para Outras iniciativas importantes, enumera Jaci-
2.048 bits. “A próxima evolução é a implantação de ra, são o Sped (escrituração das empresas enviadas
biometria nas autoridades de registro (AR), para ga- ao fisco por meio de arquivos eletrônicos assinados
rantir maior segurança no processo de identificação com a certificado digital), a Nota Fiscal Eletrônica

Dezembro de 2012
Fonte
Fonte 31
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

de Serviços (em Belo Horizonte, por exemplo, des- sinados e tramitados digitalmente via workflow e
de 2009 é possível gerar a nota de serviço no site certificação digital); Governo sem Papel; e PCnet
da Prefeitura ou através de aplicativo próprio) e o (solução web para gestão eletrônica e integração das
sistema judiciário (regulamentou o processo eletrô- informações da Secretaria de Estado de Defesa So-
nico e está implantando iniciativas de simplificação cial de Minas Gerais).
e redução de custos processuais). Na administração Segundo Jacira, a massificação da certifica-
pública mineira, destacam-se projetos implantados ção digital para pessoas físicas deve acontecer com a
tais como: Empenho Eletrônico do Siafi-MG (assi- implantação do Registro de Identidade Civil (RIC),
natura em lote dos empenhos pelos ordenadores de a nova carteira de identidade, que trará os dados do
despesa do governo); Geicom (transferência eletrô- cidadão (inclusive os biométricos) e sua identidade
nica de recursos da Secretaria de Estado de Saúde digital em um cartão com chip. “Esse cartão, que
de Minas Gerais a municípios e entidades utilizando terá um número único no país inteiro, será a identi-
certificação digital); os atos de aposentadoria (as- dade eletrônica e a assinatura eletrônica da pessoa”,
Gabriel Sales

explica Jacira. De acordo com o governo federal, a Para ela, o modelo da infraestrutura de chaves pú-
substituição do RG atual pelo novo documento será blicas brasileira é outro fator de sucesso. Por esta-
feita de forma gradual, ao longo de nove anos (ini- belecer padrões e requisitos, a ICP-Brasil facilita
ciados em 2011) e possibilitará a disponibilização a interoperabilidade das aplicações que utilizam
de inúmeros serviços para o cidadão. a certificação digital”, conta Jacira. Além disso, a
“Nos últimos 11 anos, vários desafios foram capilaridade das autoridades de registro (ARs) no
superados para consolidar a tecnologia de certifi- país contribui para a adesão ao certificado. A AR
cação digital: a dificuldade das pessoas em utilizar trabalha como interface entre o usuário e a Auto-
a tecnologia; a mudança de cultura para diminuir a ridade Certificadora. São mais de mil no território
impressão de papel; a substituição do login e senha brasileiro. A estrutura conta ainda com dez autori-
para a certificação; a desconfiança jurídica, venci- dades certificadoras de 1° nível e 33 autoridades
da pelo amparo legal da ICP-Brasil”, conta Jacira. certificadoras de 2° nível.

32 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

ENTREVISTA
Renato
Renato
Martini
Martini Diretor-presidente do ITI

A implantação da ICP-Brasil é um sucesso.


Inúmeras entidades, em especial as públicas, adota-
ram-na como ferramenta exclusiva de tecnologia. O
sistema financeiro brasileiro com a compensação de
cheques por imagem, a Receita Federal com a nota
fiscal eletrônica e portal e-CAC e o Conectividade
Social ICP, canal de comunicação entre as empre-
Divulgação

sas que recolhem o FGTS e a Caixa Econômica Fe-


deral, são exemplo nítidos de como a certificação
ICP-Brasil está presente na sociedade, convergindo
Após 11 anos, desde que foi editada a Me- em serviços ao cidadão e otimizando resultados nas
dida Provisória 2.200, como você avalia a im- gestões dessas entidades.
plantação da infraestrutura de chave pública
brasileira e da certificação digital no país? Quais benefícios a certificação digital trou-
xe para a administração pública e o cidadão?
Renato Martini: São exatos 11 anos exito-
sos de operação do sistema nacional de certificação Renato Martini: O certificado digital ICP-
digital da Infraestrutura de Chaves Públicas Brasi- Brasil não é apenas um documento eletrônico de
leira (ICP-Brasil), que nos remetem para o grande segurança. Ele é também um documento que con-
desafio de disponibilizar ao cidadão não apenas o fere validade jurídica a qualquer manifestação ele-
documento eletrônico, mas verdadeiros balcões on- trônica assinada digitalmente e tramitada pela in-
-line repletos de serviços que facilitam sua vida e ternet. Assim, seus benefícios para a administração
a desburocratizam a partir do uso dos certificados pública incluem a celeridade do trâmite processual,
digitais ICP-Brasil. a extensa economia de papel, de energia elétrica e

Dezembro de 2012
Fonte
Fonte 33
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

ENTREVISTA
de outros insumos. Incluem-se também benefícios Renato Martini: A confiança e a transparên-
relacionados à disponibilidade dos arquivos, uma cia conquistadas ao longo dos anos de operação do
vez que eles estão digitalizados e podem ser acessa- Sistema Nacional de Certificação Digital no padrão
dos a qualquer momento com o certificado digital. da Infraestrutura de Chaves Públicas Brasileira são
O cidadão, que ainda não dispõe de muitas aplica- fatores determinantes para o êxito da certificação
ções para o acesso a serviços, é beneficiado com a digital no país. Temos uma infraestrutura operada
otimização dessas gestões do serviço público. Um pelo Estado, com dez autoridades certificadoras de
processo judicial eletrônico, por exemplo, é julgado 1° nível e que é utilizada pela sociedade civil em
em muito menos tempo do que o em papel. aplicações bancárias, fiscais, trabalhistas e outras
mais. Significa dizer que esse criptossistema civil
Como você avalia a adoção da certificação de uso da sociedade está pronto para ser a platafor-
digital pelo cidadão comum? Pode-se considerar ma de governo eletrônico na prestação de serviços,
que ela já está popularizada? Por quê? na concessão de benefícios sociais e na fiscalização
do Estado como um todo.
Renato Martini: Em 2012, a Receita Federal
do Brasil tomou a decisão de exigir dos contribuin- Como a certificação digital contribui para
tes que tiveram renda superior a R$ 10 milhões que a segurança da informação em um mundo hiper-
seus impostos de renda fossem declarados com a conectado como o atual, onde quase todas as in-
utilização do certificado digital ICP-Brasil. A Recei- formações estão em rede?
ta oferece vantagens para o contribuinte que possui
certificação digital. O Centro Virtual de Atendimen- Renato Martini: Na prática, o certificado
to da Receita Federal (e-CAC) é prático e seguro. digital funciona como uma carteira de identidade
Qualquer procedimento pode ser acompanhado virtual que permite a identificação segura do au-
pelo contribuinte. A Receita, quando recebe qual- tor de uma mensagem ou transação feita nos meios
quer demanda assinada com um certificado digital virtuais, como a rede mundial de computadores –
ICP-Brasil, tem certeza de que o contribuinte envia internet. Tecnicamente, o certificado é um docu-
e recebe dados de maneira identificada. Esse é um mento eletrônico que, por meio de procedimentos
exemplo de como a tecnologia poderá estar aplicada lógicos e matemáticos, asseguraram a integridade
à vida prática das pessoas em um futuro não muito das informações e a autoria das transações.
distante. A tecnologia está popularizada porque ela Esse documento eletrônico é gerado e as-
converge em serviços extremamente importantes no sinado por uma terceira parte confiável, ou seja,
Brasil e alcança, diretamente, o cidadão brasileiro. uma Autoridade Certificadora que, seguindo regras
estabelecidas pelo Comitê Gestor da ICP-Brasil,
Você já afirmou em entrevista que a infra- associa uma entidade (pessoa, processo, servidor)
estrutura de chave pública brasileira é um crip- a um par de chaves criptográficas. Os certificados
tossistema civil de uso da sociedade, daí a im- contêm os dados de seu titular conforme detalha-
portância da confiança e da transparência. Fale do na Política de Segurança de cada Autoridade
mais sobre isso. Certificadora.

34 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

ENTREVISTA
O que se está fazendo para que a tecnologia daquela cédula de identidade é quem ele diz ser. O
da certificação digital acompanhe as mudanças e aproveitamento das consultas é de 97%.
a evolução de fraudes e ameaças virtuais? Como Atualmente, para a emissão do certificado di-
se dá a participação do Executivo e da sociedade gital ICP-Brasil, o solicitante tem que ir à AR por ele
civil nesse processo? escolhida para confirmar os dados informados durante
a solicitação pela internet, devendo apresentar docu-
Renato Martini: Essa pergunta é muito per- mentos pessoais, como a cédula de identidade, por
tinente. A certificação digital ICP-Brasil é regrada exemplo. A ideia é que a AR Biométrica, além de ve-
pela medida provisória 2.200-2 que institui a ICP- rificar se os dados informados conferem com os que
-Brasil e o seu colegiado misto, o Comitê Gestor. o requerente apresenta, realize a consulta aos dados
Misto porque é composto por membros do gover- biométricos do requerente que estão disponíveis no
no e da sociedade civil que regularmente realizam banco de dados do Instituto de Identificação.
reuniões para tratar dos assuntos de interesse dessa
infraestrutura. Esse comitê permanente é cioso às Quais os próximos passos e desafios da certi-
mudanças tecnológicas e também às mudanças ju- ficação digital?
rídicas ocorridas no Brasil. As discussões ocorridas
nessas reuniões sempre são pautadas pela otimi- Renato Martini: Quando falamos de uma infra-
zação tecnológica da ICP-Brasil, pelo combate às estrutura regida por normas e padrões tecnológicos in-
práticas fraudulentas e pelas possibilidades de ino- ternacionais associada à legislação brasileira, os desa-
vações. fios sempre serão enormes. Não temos dúvidas de que
Uma das inovações é o projeto piloto de AR o certificado digital ICP-Brasil deva estar nas mãos
Biométrica, já implantado em Brasília. Funciona das pessoas e nosso intuito é o de massificar, ao lado
assim: o postulante é convidado a identificar-se da sociedade civil organizada, a utilização da certifi-
mediante seus dados biométricos. Em seguida, ele cação ICP-Brasil. Sem dúvidas, nosso maior desafio é
apresenta seus documentos pessoais e suas impres- o de promover a inclusão digital brasileira através de
sões digitais são confrontadas com a base de dados nossa tecnologia ICP, de modo que os grandes servi-
do Instituto de Identificação da capital da Repúbli- ços que hoje são realizados presencialmente possam,
ca. Em segundos, é possível atestar que o portador segura e legalmente, ser acessados pela internet.

O Instituto Nacional de Tecnologia da Informação (ITI), criado em 2001, é a autarquia federal responsável por manter a
Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), seguindo as regras estabelecidas pelo Comitê Gestor da ICP-Brasil. No
sistema nacional de certificação digital da ICP-Brasil, o ITI é a Autoridade Certificadora Raiz (AC-Raiz). É ele quem garante a au-
tenticidade, a integridade e a validade jurídica de documentos eletrônicos, aplicações que utilizem certificados digitais ICP-Brasil,
bem como a realização de transações eletrônicas seguras. Compete também ao ITI garantir a compatibilidade da ICP-Brasil e
promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança.

O ITI também atua na área de P&D, trabalhando para estimular e articular projetos de pesquisa científica e de desenvolvimento
tecnológico voltados à ampliação da cidadania digital. De acordo com o site da autarquia, “sua principal linha de ação é a popu-
larização da certificação digital ICP-Brasil e a inclusão digital, atuando sobre questões como sistemas criptográficos, hardware
compatíveis com padrões abertos e universais, convergência digital de mídias, desmaterialização de processos, entre outras”.

Dezembro de 2012
Fonte
Fonte 35
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

A Lei de Acesso a Informações


e a segurança da informação
No dia 16 de maio de 2012, entrou em vigor garantam a segurança da informação e o seu pleno
no Brasil a lei nº 12.527, que regulamenta o direito cumprimento. “Essa gestão é um desafio e também
constitucional de acesso dos cidadãos às informa- uma oportunidade que a nova regra proporciona aos
ções públicas e vale para os três poderes, Executivo, órgãos e entidades públicos”, diz. Para Marcelo, a
Legislativo e Judiciário, e todos os níveis de gover- (re)avaliação das informações classificadas como
no, União, estados, Distrito Federal e municípios. O ultrassecretas e secretas no prazo de dois anos, esta-
texto ficou conhecido como Lei de Acesso a Infor- belecidos pela Lei, é outro desafio, que vai deman-
mações e estabelece os requisitos mínimos para a dar esforço do Estado, devido ao grande volume de
divulgação dessas informações e os procedimentos informações produzidas – muitas, inclusive, que
para facilitar e agilizar o seu acesso. O princípio da não são de interesse público.
Lei é: o acesso e a publicidade são a regra e o sigilo, Além disso, agentes públicos precisarão de
a exceção. treinamento sobre segurança da informação e como
Apesar do que possa parecer à primeira vis- cumprir o que a Lei determina, já que ela os torna
ta, a segurança da informação e a Lei de Acesso a corresponsáveis pela perda de alguns dos princípios
Informações estão em um “acordo de interesses”, da segurança da informação, como integridade, dis-
nas palavras do assessor da Secretaria de Estado de ponibilidade e confidencialidade. O artigo 32 consi-
Planejamento e Gestão de Minas Gerais, Marcelo dera como condutas ilícitas “utilizar indevidamente,
Veloso. Segundo ele, princípios de segurança defi- bem como subtrair, destruir, inutilizar, desfigurar,
nidos pela norma ISO 27.002, como preservação da alterar ou ocultar, total ou parcialmente, informa-
integridade, autenticidade, confidencialidade e dis- ção que se encontre sob sua guarda ou a que tenha
ponibilidade, estão presentes também na Lei, que acesso ou conhecimento”; e “divulgar ou permitir a
determina a responsabilidade dos órgãos e

Divulgação
entidades do poder público de proteger a
informação, “garantindo-se sua disponibi-
lidade, autenticidade e integridade”; e ain-
da prevê a existência de informação sigi-
losa (“aquela submetida temporariamente
à restrição de acesso público, em razão de
sua imprescindibilidade para a segurança
da sociedade e do Estado”). Esse, explica
Marcelo, é o conceito que a Lei usa para o
termo confidencialidade.
O assessor acredita que a Lei for-
talecerá a necessidade de implementar
Marcelo Veloso ministrou palestra sobre segurança da informação e Lei de
políticas, procedimentos e normas que Acesso a Informações no Secop 2012.

36 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

divulgação ou acessar ou permitir o acesso indevido possa ser processado automaticamente; livre de
à informação sigilosa ou informação pessoal”. controle por alguma entidade ou organização e não
Marcelo cita ainda o que ele considera um submetido a copyrights, patentes, marcas registra-
desafio e a maior oportunidade trazida pela Lei: o das ou regulações de segredo industrial. Seguindo
estabelecimento de sistemas de gestão da seguran- essas características, os formatos e recursos mais
ça da informação. “A administração pública ainda é usados para disponibilizar um dado aberto são CSV,
muito carente desse tipo de sistema estabelecido e XML, RDF, JSON. Além disso, eles devem ser pu-
formalizado, atuando de forma efetiva para garantir blicados em sítios na internet.
os princípios da segurança da informação”, conclui. Quando um dado é realmente aberto, ele pro-
picia a interoperabilidade. Isso significa que pessoas
Transparência e dados abertos e organizações podem fazer diferentes conjuntos de
dados “conversarem”, construindo sistemas, produ-
O acesso à informação pública, segundo de- tos e serviços. Além de aplicações desenvolvidas
termina a Lei, pode acontecer de duas formas: so- colaborativamente, os dados abertos governamen-
licitação direta do cidadão ao órgão ou publicação tais aumentam a transparência e a maior participa-
de dados e informações na internet (chamada de ção política do cidadão, trazendo melhorias para a
transparência ativa). Segundo consta no texto, os sociedade e para o governo. Na opinião do gerente
sítios utilizados para disponibilizar os dados devem do Escritório Brasil do Consórcio World Wide Web
permitir o acesso “de forma objetiva, transparente, (W3C), Vagner Diniz, os benefícios mais relevantes
clara e em linguagem de fácil compreensão”; além do uso de dados abertos são aqueles resultantes da
disso, deve “possibilitar a gravação de relatórios possibilidade de reutilização dos dados disponíveis
em diversos formatos eletrônicos, inclusive abertos para produção de novos serviços ou de geração de
e não proprietários; (...) o acesso automatizado por outras visões, que não as governamentais, sobre o
sistemas externos em formatos abertos, estruturados mesmo conjunto de dados.
e legíveis por máquina; (...) e garantir a autenticida- Ele cita também outros “subprodutos” da
de e a integridade das informações disponíveis para utilização de dados abertos: “Melhoria da inclusão
acesso.” digital, porque formatos abertos são mais fáceis de
Essa ideia, contida no texto da Lei de Aces- ser reconhecidos por dispositivos especiais de na-
so a Informações, é a dos dados abertos governa- vegação na web para pessoas com deficiência; o in-
mentais. Segundo a organização sem fins lucrativos tercâmbio de base de dados entre órgãos da mesma
Open Knowledge Foundation (Fundação do Conhe- administração sem burocracia, e a fácil integração
cimento Aberto, em tradução livre), um dado é con- com dispositivos móveis como celular”.
siderado aberto quando qualquer pessoa pode livre- O importante é não confundir dados abertos
mente usá-lo, reutilizá-lo e redistribui-lo, estando com a abertura indiscriminada das bases de dados
sujeito, no máximo, à exigência de creditar a sua utilizadas na gestão pública, o que poderia apresen-
autoria e compartilhar pela mesma licença. tar riscos à segurança e ameaça à privacidade exigi-
Outros princípios também definem um dado da por determinados tipos de dados. Essa situação é
aberto: disponibilização de todo dado que não for considerada pela Lei de Acesso a Informações: da
considerado sigiloso, para a maior quantidade pos- mesma forma que fala da publicidade, ela afirma
sível de pessoas, sem necessidade de cadastramento que cabe ao órgão público proteger as informações
ou identificação; apresentação atualizada do dado consideradas sigilosas – dados pessoais e aquelas
tal como ele foi gerado ou coletado e de modo que imprescindíveis à segurança da sociedade ou do

Dezembro de 2012
Fonte
Fonte 37
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Estado – contra perda, alteração indevida, aces- versas instâncias do setor público aos dados e in-
so, transmissão e divulgação não autorizados. São formações produzidas ou custodiadas pelo poder
exemplos de informações sigilosas assuntos secre- executivo federal”. Segundo o Portal Brasileiro de
tos do Estado, temas que possam colocar em risco a Dados Abertos (http://dados.gov.br), que centraliza
segurança nacional ou que comprometam atividades a busca e o acesso dos dados e informações públicas
de investigação policial, dados de casos que corram disponibilizados pelos diversos órgãos, a Inda de-
em segredo de justiça e informações pessoais dos termina os “padrões, tecnologias, procedimentos e
agentes públicos ou privados. mecanismos de controle necessários para atender às
“A Lei de Acesso à Informação é bem cla- condições de disseminação e compartilhamento de
ra quanto aos procedimentos necessários para se dados e informações públicas no modelo de dados
classificar informações públicas como sigilosas. abertos”.
Essa classificação não pode ser arbitrária e dis- Vagner Diniz cita ainda outras iniciativas
cricionária”, explica Vagner. Além disso, quando brasileiras do uso de dados abertos: “Os governos
o sigilo for a causa de uma negação ao acesso a do Estado de Pernambuco (http://dados.pe.gov.br)
determinada informação, ele deve ser justificado. e do Estado do Rio Grande do Sul (http://www.
Mesmo assim, a orientação da Controladoria-Ge- acessoainformacao.rs.gov.br/) também saíram na
ral da União – última instância recursiva no nível frente com os seus portais de dados abertos. Muito
federal para casos de negativas – é que o acesso interessante e pioneiro é o trabalho do Tribunal de
à informação seja liberado, cobrindo-se as partes Contas dos Municípios do Estado do Ceará (http://
que afetam a privacidade ou a segurança. “Dados www.tcm.ce.gov.br)”. Em Minas Gerais, há ainda o
abertos não são incompatíveis com privacidade e trabalho que está sendo realizado pela Assembleia
sigilo”, afirma Vagner. Legislativa de Minas Gerais (http://dadosabertos.
A Lei também determina prazos para a res- almg.gov.br/ws/ajuda/sobre).
trição ao acesso das informações sigilosas. Se elas No mundo, os países pioneiros no tema de
forem consideradas reservadas, o prazo é de cinco dados abertos são o Reino Unido (http://data.gov.
anos; se secretas, de 15 anos; e se ultrassecretas, o uk/) e os Estados Unidos (http://www.data.gov/).
limite é 25 anos. A classificação deve levar em conta Eles já avançaram muito no assunto e, segundo
o interesse público da informação, utilizando o “cri- Vagner, publicam seus dados em formato aberto de
tério menos restritivo possível”. maneira consistente, rápida e sustentável. Ele desta-
ca ainda as iniciativas da Austrália (http://data.gov.
Compromisso federal au/), Nova Zelândia (http://data.govt.nz/), Finlândia
(http://www.julkinendata.fi/) e de algumas regiões
O governo aberto é um compromisso do go- da Espanha. Para os governos interessados em pu-
verno federal brasileiro, que, em setembro de 2011, blicar seus dados abertos, Vagner dá um recado:
firmou a Open Government Partnership (OGP), ou “Antes de dar o primeiro passo, é da maior impor-
Parceria para Governo Aberto, com África do Sul, tância se ter a firme convicção de que publicar da-
EUA, Filipinas, Indonésia, México, Noruega e Rei- dos abertos é um ato de respeito ao cidadão, pelo di-
no Unido. Na mesma data, foi publicado o decre- reito que ele tem de ter acesso às informações. Mais
to que instituiu a Infraestrutura Nacional de Dados do que uma atitude volitiva de transparência, é uma
Abertos (Inda). ato de garantia de direitos. Da convicção germina-
A Inda é a política nacional de dados aber- se a vontade política da abertura dos dados, sem
tos, criada para “garantir e facilitar o acesso pelos a qual nenhum passo será consistente, sustentável
cidadãos, pela sociedade e, em especial, pelas di- e permanente”.

38 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Os primeiros meses da Lei de Acesso a Informações

O governo federal faz um balanço positivo dos nível de resposta é bastante satisfatório”. Ele espera
primeiros meses de vigência da Lei de Acesso a In- que essa situação chegue também ao nível da gestão
formações. Nesse período, quase 90% dos pedidos municipal: “Ainda temos um caminho a trilhar. Com-
recebidos pela Controladoria-Geral da União – órgão preender o significado e importância da Lei, prepa-
que centraliza o acompanhamento dessas demandas rar-se para o atendimento ao cidadão e organizar as
por meio do Sistema Eletrônico do Serviço de Infor- informações para que elas se tornem disponíveis são
mações ao Cidadão (e-SIC) – foram respondidos. O desafios que ainda se colocam para governos e so-
Sistema também indica que o tempo médio de respos- ciedade.”
ta dos órgãos é de dez dias, sendo que a Lei prevê 20 Para a subcontroladora da Informação Institucio-
dias. Os cinco órgãos que receberam o maior número nal e da Transparência de Minas Gerais, Margareth
de solicitações são: Superintendência de Seguros Pri- Travessoni, implantar a Lei de Acesso a Informa-
vados, 3.124 (11%); INSS, ções está sendo desafiador
2.048 (7,2%); Banco Cen- e instigante: “O governo
tral, 1.201 (4,2%); Caixa mineiro já tinha uma po-
Econômica Federal, 1.050 lítica de transparência. O
(3,7%); e Empresa Brasi- que fizemos foi melhorar
leira de Correios e Telégra- a estrutura já existente e
fos, 923 (3,21%). Os dados prepará-la para o aumento
são do dia 28 de agosto de da demanda. Também nos
2012. preocupamos com a qua-
No governo mineiro, lificação dos servidores e,
as secretarias estaduais de para isso, realizamos ca-
Saúde, Educação e Plane- pacitações para servidores
jamento e Gestão foram antes e depois da Lei entrar
Margareth Travessoni
as que mais receberam em vigor”. A Controlado-
demandas por informações (cerca de 800 no total, ria-Geral do Estado está concluindo o levantamento
desde a implantação da Lei – dados de outubro de de todas as informações produzidas pelo governo e
2012). Segundo a Controladoria-Geral do Estado, se prepara para conduzir sua classificação em 2013,
após o crescimento registrado nos primeiros meses determinando quais deverão receber o título de re-
de vigor da Lei, a média de pedidos semanais rece- servada, secreta e ultrassecreta, seguindo os critérios
bidos através dos canais disponibilizados (Unidades estabelecidos pela Lei.
de Atendimento Integrado, LigMinas e Portal da Margareth ressalta o valor do controle social que a
Transparência) está estabilizada. O acesso ao Portal nova legislação permite ao cidadão. Para ela, a socie-
(sítio por onde é feita também a transparência ativa) é dade fica mais atenta e se conscientiza para a cultura
grande e fatos como a divulgação de salários aumen- da transparência na administração pública. “A Lei,
ta ainda mais a procura por esse canal. inclusive, foi tema de uma das propostas finais da 1ª
Para Vagner Diniz, os números são animadores e Conferência Nacional sobre Transparência e Contro-
mostram como alguns governos têm respondido bem le Social, realizada em Brasília em maio de 2012. Os
às demandas de acesso a informações. “A população delegados entenderam que ela deve ser aplicada com
e as organizações, particularmente a mídia, têm testa- severidade, rigor e eficácia como forma de combater
do e experimentado se a Lei veio de fato para ficar. O a corrupção e melhorar a gestão pública”, conta.

Dezembro de 2012
Fonte
Fonte 39
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Como obter uma informação pública

“Todos são iguais perante a lei, sem distinção de qual- A solicitação de informação na esfera federal
quer natureza, garantindo-se aos brasileiros e aos es- pode ser feita pelo Serviço de Informações
trangeiros residentes no país a inviolabilidade do di- ao Cidadão (SIC) do órgão ou através do site
reito à vida, à liberdade, à igualdade, à segurança e à
http://www.acessoainformacao.gov.br. Em Mi-
propriedade, nos termos seguintes: XXXIII - todos têm
nas Gerais, nas Unidades de Atendimento In-
direito a receber dos órgãos públicos informações de
tegrado (UAIs), pelo LigMinas (telefone 155)
seu interesse particular, ou de interesse coletivo ou ge-
ral, que serão prestadas no prazo da lei, sob pena de
e através do Portal da Transparência (http://
responsabilidade, ressalvadas aquelas cujo sigilo seja www.transparencia.mg.gov.br).
imprescindível à segurança da sociedade e do Estado”.
(artigo 5º da Constituição Federal). Não é preciso justificar o pedido.

Todas as informações produzidas ou custo- O órgão público tem um prazo de 20 dias para
diadas pelo poder público e não classificadas fornecer os dados solicitados, prorrogável por
como sigilosas são consideradas públicas. mais 10 dias.

Glossário
Bot – tipo de código malicio- ser usada em ataques de negação Cracker – pessoa que tem
so que, além de incluir funciona- de serviço, esquemas de fraude, conhecimento em informática e
lidades de worms, dispõe de me- envio de spam etc. a utiliza para quebrar sistemas
canismos de comunicação com o Cavalo-de-Troia – programa de segurança, de forma ilegal ou
invasor que permitem que ele seja malicioso que finge ser benigno. sem ética, para furtar informações
controlado remotamente. É capaz Além das funções para as quais sigilosas, em proveito próprio ou
de se propagar automaticamen- foi aparentemente projetado, de outro.
te, explorando vulnerabilidades também executa outras funções, BYOD – sigla para Bring
existentes em programas instala- normalmente maliciosas e sem o Your Own Device. Movimento
dos em computadores. conhecimento do usuário. no qual as empresas liberam os
Botnet – rede formada por Consumerização – uso de empregados a levar seus disposi-
centenas ou milhares de com- dispositivos móveis pessoais no tivos móveis pessoais para o am-
putadores infectados com bots. ambiente de trabalho. biente corporativo, utilizando-os
Permite potencializar as ações Core – núcleo de processa- para trabalhar.
danosas executadas pelos bots e mento do processador. DDoS – sigla para Distributed

40 Fonte
Fonte
Dezembro de 2012
Dossiê Dossiê Dossiê Dossiê Dossiê Dossiê

Denial-of-Service, que significa mudá-la, exibir propagandas em Preaker – pessoa que burla
negação de serviço distribuído. janelas novas, instalar barras de os meios de comunicação telefô-
É um tipo de ataque que realiza ferramentas e impedir o acesso nica para uso próprio, sem o pa-
múltiplos acessos simultâneos a determinados sites (páginas gamento devido, e instala escutas
a um site, excedendo os limites de empresas de antivírus, por para facilitar o acesso externo,
do servidor. Pode causar o trava- exemplo). Os navegadores atu- visando ao ataque a sistemas.
mento total do sistema. ais contam com mais recursos de Rootkit – programa malicio-
Defacement – ataque que segurança, limitando considera- so que pode ser utilizado para
modifica a página de um sítio na velmente a ação desse tipo de várias finalidades. O que torna
internet. praga digital. um rootkit ameaçador é a ca-
DoS – sigla para Denial-of- IPS – sigla em inglês para Sis- pacidade para dificultar sua de-
Service, que significa negação de tema de Prevenção de Intrusos. É tecção por antivírus ou outros
serviço. É um tipo de ataque que visto como uma extensão do fi- softwares de segurança, pois
tornar os recursos de um sistema rewall, pois possibilita decisões consegue se “camuflar” no siste-
indisponíveis para seus usuários. de acesso baseadas no conteúdo ma. Para isso, desenvolvedores
Firewall – dispositivo de uma da aplicação. de rootkits podem fazer uso de
rede de computadores, cujo obje- Keylogger – pequeno aplica- várias técnicas avançadas, como
tivo é aplicar uma política de se- tivo que pode vir embutido em infiltrar o malware em proces-
gurança a um determinado ponto vírus, spywares ou softwares de sos ativos na memória. O rootkit
da rede. procedência duvidosa. Sua fun- também é de difícil remoção.
Flame – programa mais de- ção é capturar tudo o que é di- Pela sua complexidade de de-
vastador que captura dados, alte- gitado pelo usuário. É uma das senvolvimento, não é muito nu-
ra configurações de computado- formas utilizadas para a captura meroso.
res remotamente, liga microfones de senhas. SOC – sigla em inglês para
para gravar conversas, faz cap- Lammer – pessoa que possui Centro de Operações de Segu-
turas de tela e registra trocas de algum conhecimento de informá- rança.
mensagens sem ser percebido tica e quer se tornar um hacker. Spyware – programa mali-
pelo usuário da máquina. Iniciante, invade e perturba os cioso que espiona, coleta e rouba
Guru – pessoa considerada o sites. informações pessoais do usuário
mestre dos hackers, tem grande Malware – do inglês mali- e as envia pela internet.
domínio sobre diversos tipos de cious software. Nome usado de Vírus – programa ou código
sistemas. forma genérica para se referir a que se dissemina por outras má-
Hijacker – programa ou códigos ou programas malicio- quinas e provoca efeito prejudi-
script que “sequestra” navega- sos. cial no computador.
dores de internet. As principais Oracker – pessoa que acha Worm – tipo de vírus mais in-
vítimas eram as versões mais que sabe, mas não sabe. É con- teligente que os demais. Pode se
antigas do Internet Explorer. siderado um “hacker de araque”. espalhar rapidamente para outros
Um hijacker pode, por exem- Phishing – tentativa de enga- computadores – pela internet ou
plo, alterar a página inicial do nar o usuário para obter suas in- por meio de uma rede local – de
browser e impedir o usuário de formações pessoais e financeiras. maneira automática.

Dezembro de 2012
Fonte
Fonte 41
Em uma guerra
totalmente científica,
contam-se cérebros
e não ogivas

Divulgação
Marcelo Bezerra*

I
nformações confidenciais roubadas dos compu- terminado e criados ou patrocinados por países ou
tadores de engenheiros nucleares por um vírus. organizações para fins de ataque ou defesa, como
Centrífugas nucleares inoperantes ou seriamen- parte de uma operação militar em uma guerra defla-
te afetadas, também por um vírus, este especialmen- grada ou fria.
te desenvolvido para tal. Um avião robô desviado Sua origem vem do próprio desenvolvimen-
pelo inimigo após sua comunicação com a base ser to tecnológico da sociedade. Sistemas computacio-
interceptada. Essas poderiam ser cenas de um rotei- nais existem hoje na maioria dos equipamentos que
ro de cinema. Mas, como sabemos, aconteceram de usamos em nosso dia a dia. A nova geração de TVs
verdade e são os exemplos mais recentes do que se (smart TVs) são na realidade computadores, apenas
convencionou chamar de guerra cibernética. Ape- diferentes fisicamente. Quase tudo o que faz parte
sar das opiniões contrárias, não se pode negar que a de nossa vida leva hoje circuitos eletrônicos e são
guerra cibernética já é uma realidade, como atestam programáveis. Os serviços que usamos, como ban-
os vários centros de defesa cibernética estruturados cos e hospitais, funcionam com base em redes de
em vários países, entre eles o Brasil. computadores, assim como as maiores indústrias do
Mas não podemos imaginá-la como nos fil- planeta. Nos Estados Unidos, toda a rede de distri-
mes e é bastante improvável que no futuro ocorra buição de energia está também informatizada. Por
uma guerra puramente cibernética. Assim como ou- definição, todos os sistema e redes de computadores
tras modalidades de guerra, como a química, a bio- possuem brechas de segurança que podem ser ex-
lógica e a nuclear, ela se insere dentro de um cenário ploradas e, assim, temos o ambiente ideal para um
estratégico maior. A mais famosa definição foi dada ataque direcionado. Em um mundo estruturado so-
por um conselheiro do governo dos Estados Unidos, bre a tecnologia da informação, é óbvio que nações
Richard A. Clarke, autor de um best-seller sobre o busquem meios de atacar seus inimigos também
tema (Cyber War), publicado em 2010. Ele define nessa área.
guerra cibernética como as ações patrocinadas por Da mesma forma, as organizações militares
um Estado nacional para penetrar em redes ou com- usam pesadamente sistemas informatizados, seja
putadores de outras nações com objetivo de causar para comunicações, controle de posicionamento
dano ou sabotagem. Trata-se, portanto, da expansão de unidades ou como o coração de mísseis e outras
dos ataques digitais de hackers e do crime digital a armas. Hoje, aviões não tripulados são equipamen-
que já estamos acostumados, porém com alvo de- tos comuns em vários países e em breve o serão no

42 Fonte
Fonte
Dezembro de 2012
Brasil, onde há ao menos seis diferentes projetos de gem o adversário que possui maior quantidade de
empresas brasileiras, associadas ou não a estran- armas e maior poder de destruição. Na guerra ci-
geiros. Um vídeo disponibilizado no You Tube em bernética, não há quantidade de armas e, como já
setembro de 2012 mostrava os testes de um robô comentado, seu potencial de destruição depende do
“mais rápido que o campeão olímpico Usain Bolt”. seu alvo. Um arsenal cibernético é também diferen-
De acordo com a notícia, era um projeto militar para te, pois é composto de técnicas e conhecimento. As
perseguição de inimigos. E uma das maneiras de se técnicas são as vulnerabilidades existentes em sis-
combater a guerra tecnológica é com tecnologia, temas e os programas de invasão capazes de explo-
como bem mostrado pelo Irã ao interceptar o avião rá-las. Quanto mais desconhecidas, mais valor têm
robô norte-americano. essas vulnerabilidades, chamadas de
Quando conversamos sobre “EM UM MUNDO dia zero. Os programas são geral-
guerra, é necessário falar das armas, estruturado sobre a mente porções de códigos de progra-
e elas, nesse caso, são bem diferen- tecnologia da infor- mação intercambiáveis que podem
tes das tradicionais e das químicas, ser usados em diferentes situações
biológicas e nucleares. A tecnologia
mação, é óbvio que para explorar vulnerabilidades. Há
empregada na guerra cibernética pos- nações busquem também programas específicos para
sui características únicas e até quebra meios de atacar seus evadir sistemas de defesa digital,
alguns paradigmas. Diferente das ar- inimigos também como firewalls. Essas diferentes
mas tradicionais, uma arma cibernéti- porções de código são então combi-
nessa área.”
ca não possui potencial destrutivo. O nadas em kits de ataque, sistemas de
seu impacto irá depender do sistema invasão complexos como o Stuxnet,
atacado e não dela propriamente. Imaginem um pro- que atacou as centrífugas nucleares iranianas. Para
grama de ataque capaz de invadir um computador tudo isso, vulnerabilidades dia zero, programas e
permitindo que esse seja controlado remotamente. kits, há a necessidade do conhecimento de especia-
Qual o efeito? Se for o de nossas casas, iremos per- listas e gênios da computação, os hackers. Esse pa-
der algumas centenas de fotos. Mas e se for o com- trimônio intelectual é a base do “estoque” da guerra
putador que controla a operação de uma indústria? cibernética. Sem ele não há ataque nem defesa. Em
E se for uma central nuclear? O efeito de um ataque uma guerra totalmente científica, contam-se cére-
cibernético é também desconhecido até que ele ocor- bros e não ogivas.
ra, e mesmo assim é possível que a vítima consiga
acobertar parte dos impactos. Desse ponto de vista,
parece uma arma pouco eficaz, no entanto aí temos
o que faz dela algo tão atrativo. Ela é totalmente fria. *Marcelo Bezerra
Não há explosões ou mortes aparentes. Não há cenas Especialista em segurança de TI com ênfase na
emotivas ou soldados mortos. Ela é invisível e pode proteção de redes, área em que atua há mais de
penetrar em bunkers totalmente a prova de ataques, 15 anos. Gerente de Pré-Vendas da
até mesmo nucleares, em um simples pen drive de Crossbeam Systems para a América Latina. Atuou
um funcionário desatencioso. E, muito importante, como diretor técnico da IBM Internet
pode ser facilmente negada. Dificilmente uma nação Security Systems também para a América Latina.
poderá retaliar baseada unicamente em um ataque a É colunista da revista RTI e palestrante
seus sistemas de computador, já que ataques bem- internacional com apresentações realizadas na
feitos dificilmente são rastreáveis. Como retaliar se Argentina, Chile, Colômbia e México, além de
não há certeza absoluta? alguns dos principais eventos de segurança no
Armas cibernéticas também não são estocá- Brasil. Mantém também o blog Segurança Digital
veis. Em uma guerra tradicional, leva clara vanta- (segdigital.blogspot.com.br).

Dezembro de 2012
Fonte
Fonte 43
Gestão da Segurança
de Dados:
um processo de gestão
de dados do framework
DAMA-DMBok®

Divulgação
Fernanda Farinelli*

P
arece um clichê, mas quando o assunto é ativos dados e sua missão e objetivos são atender
informação vêm à tona as considerações de e exceder às necessidades de informação de todos
Drucker (1993) a respeito de essa ser um dos os interessados da empresa em termos de disponi-
maiores produtores de riqueza da sociedade atual. bilidade, segurança e qualidade. É uma responsa-
Em conformidade com Davenport (1998), ele deba- bilidade tanto da tecnologia da informação de uma
te que informação são dados dotados de relevância empresa quanto de seus clientes internos e externos
e propósito, selecionados e agrupados seguindo um e envolve desde a alta direção, que utiliza dados na
critério lógico para alcançar um objetivo. Os dados geração de informações estratégicas, até profissio-
representam um conjunto de fatos distintos sobre nais de nível operacional, que muitas vezes são res-
eventos do mundo. Enfim, Tom Peters (2001), ci- ponsáveis pela coleta e produção dos dados.
tado por DMBok (2009, p. 1), contribui para essa O DMBok estabelece um consenso para os
análise, afirmando que “as organizações que não processos de gestão de dados, identificando os prin-
entenderem a enorme importância da gestão de da- cípios que a orientam e apresentando uma visão das
dos e informações como ativos tangíveis na nova práticas aceitas, métodos e técnicas que podem ser
economia não sobreviverão”. adotados por uma empresa que deseja gerenciar seus
Ao reconhecer seus dados como recurso va- dados, além de servir aos leitores como fonte para
lioso, as organizações também reconhecem que es- um maior entendimento da gestão de dados. O guia
ses ativos devem ser gerenciados. Segundo o DM- está estruturado em dez grupos de interesses descri-
Bok (2009), o dado, como qualquer outro ativo, tos por processos e suas atividades: governança de
possui um ciclo de vida, em que é criado ou adquiri- dados; gestão da arquitetura de dados; desenvolvi-
do, armazenado, utilizado e destruído. Dessa forma, mento de dados; gestão de operações com dados;
realizar a gestão de dados é, na verdade, gerenciar gestão da segurança de dados; gestão de dados mes-
o ciclo de vida dos dados. A Data Management As- tre; gestão de data warehousing & business intelli-
sociation (Dama) é a principal organização mundial gence; gestão de conteúdo e documentação; gestão
que trata do assunto gestão de dados e propôs o Da- de meta-dados; e gestão da qualidade de dados.
ma-DMBok (Guide to the Data Management Body O foco principal deste artigo é apresentar o
of Knowledge) para ser referência a essa função. processo de Gestão da Segurança de Dados (GSD),
Conforme o DMBok (2009), gestão de dados que é “o planejamento, desenvolvimento e execu-
visa a controlar e a alavancar eficazmente o uso dos ção de políticas e procedimentos de segurança para

44 Fonte
Fonte
Dezembro de 2012
proporcionar a devida autenticação, autorização, Uma organização pode optar por terceirizar
acesso e auditoria nos ativos de dados e informa- uma série de funções de TI, inclusive a de execu-
ções” (DMBOK, 2009, p. 151). ção da segurança, mas não a sua a responsabilidade
O objetivo desse processo é proteger os ati- pelo processo de Gestão da Segurança dos Dados.
vos de informação da organização em conformida- Nesse caso, torna-se necessário o estabelecimento
de com os requisitos de acesso e alteração dos ativos de contratos que tratem questões como responsa-
de dados previstos pelo negócio, e as necessidades bilidades e expectativas de cada papel dentro do
de privacidade e confidencialidade das partes inte- processo, acordos de nível de serviço, direitos de
ressadas e impostas pelos órgãos regulatórios. En- autoria, obrigações contratuais, relatórios de acom-
tendem-se como requisitos de segurança de dados panhamento.
a autenticação de usuários, controles de autorização Dessa discussão, percebe-se que o processo
e acesso, e auditoria (DMBOK, 2009, p. 151-152). de Gestão da Segurança dos Dados proposto pelo
Para atingir tais objetivos, o DMBok (2009) framework Dama-DMBok pode resolver parte dos
sugere nove atividades e uma lista de produtos pro- problemas relacionados à segurança, atribuindo
duzidos por essas atividades, destacadas no Quadro papéis e sugerindo o estabelecimento de políticas,
1. Em complemento, o framework recomenda os padrões, regras e procedimentos para garantir a se-
papéis envolvidos no processo de GSD, seja como gurança das informações organizacionais. Ele esta-
fornecedor, consumidor de dados ou participan- belece um modelo de referência para a Gestão de
te das atividades, e também cita um conjunto de Dados e, assim como outros corpos de conhecimen-
ferramentas que podem apoiar a execução desse tos, deve ser cuidadosamente analisado e adaptado
processo. para a realidade da empresa, tendo-se o cuidado de
estabelecer uma proposição de gestão de dados que
Quadro 1 caiba nos recursos e se ajuste aos aspectos culturais
Atividades da GSD e seus produtos e de negócios da empresa.

Referências

DAVENPORT, Thomas H. Ecologia da informação: Por que só


a tecnologia não basta para o sucesso na era da informa-
ção. 2. ed. São Paulo: Futura, 1998.
DMBOK. Mark et al. The DAMA Guide to The Data Manage-
ment Body of Knowledge: DAMA-DMBOK Guide. 1. ed.
Estados Unidos: Technics Publications, 2009.
DRUCKER, Peter. Sociedade pós-capitalista. São Paulo: Pio-
neira, 1993.

*Fernanda Farinelli
Mestre em Administração de Empresas pela Fun-
dação Pedro Leopoldo. Especialista em banco de
dados pelo Centro Universitário Belo Horizonte
(UNI-BH). Bacharel em Ciência da Computação
pela Pontifícia Universidade Católica de Minas Ge-
rais (PUC Minas). Analista de TIC na Prodemge.
Professora do Fundação Pedro Leopoldo e da pós-
-graduação da PUC Minas. Colaboradora da Dama
(Data Management Association) Capítulo Brasil.

Dezembro de 2012
Fonte
Fonte 45
Lei de Acesso em
Minas Gerais

Divulgação
A
Plínio Salgado*
Lei de Acesso à Informação (lei n. de Comunicação, antes da entrada em vigor da Lei.
12.527/2011) exigiu, para a sua con- Foram feitas melhorias nos canais de atendimento
cretização no Estado de Minas Gerais, em funcionamento no dia 15/5/2012: Unidades de
investimentos em recursos tecnológicos e humanos, Atendimento Integrado e LigMinas (155). O Portal
além da conscientização dos servidores quanto à sua de Transparência do Estado de Minas Gerais recebeu
importância e aplicação em sua atividade diária. atualizações e novas ferramentas. O acesso de visi-
Para assegurar o direito de acesso à informação tantes únicos ao Portal, em maio, registrou aumento
às pessoas naturais e jurídicas, foi preciso modificar de 140% em relação ao mesmo mês do ano anterior
algumas rotinas para adequá-las à Lei e torná-las pro- e, em relação a abril de 2012, o número de visitantes
cedimentos objetivos e ágeis, em linguagem de fácil únicos aumentou em 100%.
compreensão. Foi realizado um trabalho de levantamento das
O principal desafio trazido pela Lei de Acesso à informações produzidas por todos os órgãos e enti-
Informação foi estabelecer o respeito à publicidade dades do Poder Executivo, como um primeiro pas-
como preceito geral, sendo o sigilo a exceção. Tam- so na organização da política de gestão de informa-
bém, foi preciso reforçar a divulgação de informação ções. Para isso, foram incluídos quatro relatórios no
de interesse público, independentemente de solici- Acordo de Resultados 2012, instrumento que pontua
tação, para tanto, atualizaram-se os meios de comu- aqueles que cumprem as obrigações determinadas e
nicação oferecidos pela tecnologia da informação. refletem no pagamento da gratificação anual.
Com a promoção da cultura de transparência na Ad- Em nosso entendimento, o Governo de Minas
ministração Pública, procurou-se incentivar o contro- Gerais cumpre o seu papel e espera que a sociedade
le social da Administração Pública. use sua capacidade de desenvolver os mecanismos
O Governador do Estado de Minas Gerais edi- para utilizar as informações, fazendo delas uso legíti-
tou o Decreto Estadual n. 45.969, publicado em mo, contribuindo assim com o poder público no apri-
24/05/2012. O Decreto regulamentou as diretrizes moramento do processo de transparência, no controle
da Lei n. 12.527/2011, no âmbito do Poder Executi- social e na aplicação adequada dos recursos públicos.
vo estadual. Dois artigos se destacam: o art. 37, que Como parceiros da estratégia governamental, a po-
fixa a competência da Controladoria-Geral do Estado pulação, antes considerada apenas destinatária das
para orientar a organização das informações do Esta- políticas públicas implementadas pelo Estado, passa
do, e o art. 51, que estabelece a obrigação dos órgãos agora a ocupar também a posição de protagonista na
e entidades de ajustarem a sua política de gestão de priorização das estratégias governamentais em todos
informações. os níveis.
Foram realizadas reuniões preparatórias com
auditores setoriais e seccionais, com os gestores dos *Plínio Salgado
sítios eletrônicos institucionais e com os assessores Controlador-Geral do Estado de Minas Gerais

46 Fonte
Fonte
Dezembro de 2012
Benchmarking
A necessidade de se implantar uma política de segurança da in-
formação para garantir a proteção das informações e a continuidade
do negócio já é um conceito consolidado entre dirigentes de organiza-
ções, assim como a definição de normas e sua aplicação no seu dia a
dia. Para garantir o sucesso dessa ação, o envolvimento dos usuários
– todo profissional da empresa, incluindo os cargos de direção – é peça
essencial. “O usuário é o elemento no processo da segurança da infor-
mação que vai cristalizar, operacionalizar e fazer acontecer a seguran-
ça da informação. Ele tem um papel fundamental”, afirma o professor
e consultor em segurança da informação Edison Fontes.

Nesta edição, conheça o trabalho de comunicação de duas em-


presas, Companhia Energética de Minas Gerais (Cemig) e Companhia
de Tecnologia da Informação do Estado de Minas Gerais (Prodemge),
para educar e conscientizar empregados sobre suas políticas de segu-
rança da informação.

Dezembro de 2012
Fonte
Fonte 47
Campanha de segurança
da informação da Cemig
“Contamos com você”. É com esse lema que participação do empregado são fundamentais para
a Companhia Energética de Minas Gerais (Cemig) alcançar o sucesso e as metas da segurança da in-
vem trabalhando desde 2001 para mostrar aos em- formação. O resultado é que a Cemig, em 2011, su-
pregados sua importância dentro do processo de se- perou a meta acordada para o índice de Segurança
gurança da informação (SI). A frase está presente na da Informação em seu Balanced Score Card (BSC)
logomarca da SI (um círculo verde, com as inscri- – metodologia de medição e gestão de desempenho.
ções “Segurança da informação”, “contamos com
você” e “Cemig”), usada desde 2005 – e uma das Processo de comunicação
poucas que ainda são utilizadas na empresa após a
consultoria contratada para estudar o valor da Cemig. A Cemig formalizou, em 2005, seu proces-
“Essa logomarca é utilizada em todas as so de comunicação e educação em segurança da
produções da Adminis- informação, que tem o
tração da Segurança da objetivo de disseminar
Informação (ASI), ga- o conhecimento desse
rantindo, assim, a ime- tema entre os emprega-
diata associação por dos, terceirizados e for-
parte dos empregados da necedores. Segundo Ar-
comunicação com a se- lindo, esse processo traz
gurança da informação. benefícios como a me-
E a frase ‘contamos com lhoria no resultado do
você’ é muito importan- componente “pessoas”
te, por traduzir de forma que participa do cálculo
direta, a mensagem que do índice de segurança
desejamos passar para da informação; melhoria
os empregados. Nosso na adoção dos procedi-
intuito é o de que cada mentos de segurança da
pessoa que entre na Ce- informação; redução de
mig, que participe de um incidentes de seguran-
de nossos treinamentos, ça da informação e uso
que tenha acesso a al- adequado dos recursos
gum veículo utilizado por nossa comunicação, seja de informática, o que diminui custos, reduz o risco
sensibilizada pela importância do tema e que venha e erro humano e a possibilidade de vazamento de
fazer parte do nosso batalhão da segurança da in- informações estratégicas da empresa.
formação”, explica o coordenador da ASI, Arlindo Duas campanhas são produzidas pela ASI
Edson Porto Nunes. anualmente, pois, segundo Arlindo, essa é a perio-
O que se busca atingir com as campanhas de dicidade mínima para que o conhecimento repassa-
segurança da informação na empresa é a adesão e do não se perca. Os temas são definidos a partir dos
a compreensão dos empregados, fazendo com que resultados de uma pesquisa respondida anualmente
eles entendam e também adotem os procedimentos pelos empregados. “Junto com a área de recursos
de SI. Para isso, além da logomarca, a ASI frisa em humanos, selecionamos uma amostra representati-
todo trabalho de conscientização que a postura e a va dos empregados que participarão do processo.

48 Fonte
Fonte
Dezembro de 2012
Os dados obtidos nela são compilados e analisados intuito de que o empregado entenda as razões pelas
para, então, estabelecermos quais temas serão tra- quais as medidas estão sendo adotadas.
tados pelas campanhas no próximo ano”, explica. Linguagem direta e clara, deixando de lado
A pesquisa também permite à ASI determinar se há aquele caráter sisudo de uma comunicação corpo-
necessidade da campanha (que inclui também trei- rativa, é outro fator importante para o processo. “O
namentos) ser direcionada para alguma cidade, área nosso estilo e a nossa forma de comunicar com a
da empresa ou pessoa específica, dependendo do ní- empresa são tão característicos que, há alguns anos,
vel do risco apresentado. fizemos uma campanha sem a nossa marca, como
Mudanças na política de segurança da infor- uma brincadeira, e, mesmo assim, as pessoas reco-
mação da Cemig também podem demandar uma nheceram que era nosso trabalho”, conta Arlindo.
campanha de comunicação: “Se houver alguma Os novos empregados que a Cemig vem contratan-
alteração legal, tec- do também exigi-
nológica ou organi- ram da ASI uma
zacional, que mude nova forma de
substancialmente comunicar. Eles
os critérios e pro- são mais jovens e,
cedimentos que de- com isso, cartuns,
vam ser adotados, treinamentos inte-
ela também pode rativos, textos cur-
ser uma demanda”. tos (ou nenhuma
Ainda segundo Ar- leitura) e filmes
lindo, a identifica- passaram a ser uti-
ção de incidentes lizados.
de segurança da O funda-
informação, fora mental, afirma Ar-
da normalidade da lindo, é fazer um
Guia do Usuário e cartilha para filho dos empregados
empresa, exige um trabalho contínuo,
trabalho de comunicação rápido e específico. que esteja alinhado com o público que se quer atin-
Nesses casos, a ASI utiliza o informativo digi- gir. Além de utilizar filmes, cartazes, peças teatrais,
tal “Radar” para que os empregados tenham co- cartilhas, palestras, artigos, jogos, comunicados,
nhecimento do problema, dos procedimentos charges, desenhos animados e a intranet da Cemig,
que devem adotar quando necessário e das ações a ASI busca aproveitar qualquer outro veículo ou
que estão sendo tomadas visando ao retorno da nor- espaço disponibilizados pela área de comunicação
malidade. da empresa.
Outra fonte de informação é o site da segu-
rança da informação, acessado a partir da página
principal da intranet da Cemig. “Para mostrar o
apoio da alta gerência da Cemig, temos no site, o
pronunciamento do diretor da Diretoria de Gestão
Empresarial sobre a importância da adoção da segu-
rança da informação como forma de auxiliar a em-
presa na realização de sua missão e no alcance de
sua visão” enumera Arlindo. Ele diz ainda que tudo
que a ASI faz é sempre muito bem explicado, com o
Peças gráficas de campanha

Dezembro de 2012
Fonte
Fonte 49
Cartazes utilizados em campanha sobre senha segura

A ASI recebe muitas sugestões de emprega- em guerra cibernética foram convidados a palestrar
dos sobre temas e assuntos de segurança da infor- em um evento no auditório da empresa, transmitido
mação que podem ser tratados pela área, o que, para para todo o Estado. Na ocasião, também foi mostra-
Arlindo, é um dos retornos mais importantes, pois do como a guerra cibernética poderá atingir a Ce-
comprova o comprometimento do empregado e o mig, como a empresa está se preparando e quais os
sucesso do processo de comunicação. “As pessoas próximos passos a serem tomados.
são conscientizadas na empresa, levam este conhe- Para chamar a atenção, o convite e a divulga-
cimento para casa, para a família, amigos e, como ção desse evento tinha que causar impacto. Arlindo
cidadãos, vão mudando o seu comportamento e pas- conta como foi: “Na manhã do evento, simulamos
sam a ser agentes de mudança comportamental da um ataque a todas as instalações e máquinas da Ce-
sociedade. Até chegar ao nível de terem um posicio- mig, com exceção das áreas de controle de energia,
namento, um questionamento ou sugerirem ações a de tecnologia da informação e a diretoria. Todos os
partir de qualquer assunto que a ASI divulgue. Isso computadores receberam uma mensagem de alerta,
é muito bacana e gratificante”. as luzes foram apagadas e, para evitarmos pânico,
o sistema de comunicação avisou que se tratava
Nova realidade de uma simulação de ataque de guerra ciberné-
tica e convidou a todos para o evento. Claro que,
A Cemig está implantando uma estrutura de com isso, o interesse de todos aumentou considera-
automação da distribuição de energia, que a torna velmente”.
sujeita a novas ameaças, inclusive das guerras ci-
Divulgação

bernéticas. “Qualquer novidade tecnológica im-


pacta na política de segurança da informação e, a
partir daí, você tem que trabalhar a conscientização
dos empregados”. Por isso, a preocupação da ASI
em preparar e alertar os empregados para este novo
cenário e os riscos causados por ele; o que levou
o assunto a ser tema de campanha de SI em 2011.
Nesse ano, no Dia Internacional da Segurança da
informação, autoridades do governo federal, repre-
Equipe: Giovani Davi Silva, William Resende Gonçalves,
sentantes do Exército e da Marinha e especialistas Telma Elisa da Silva e Arlindo Edson Porto Nunes

50 Fonte
Fonte
Dezembro de 2012
Campanha de segurança
da informação da Prodemge
A implantação do sistema de controle de aces- Após dois anos de trabalho, marcados pela
so físico marcou o lançamento da primeira campa- reestruturação da área de Segurança da Informação
nha de segurança da informação na Prodemge. Para (SI) e revisão dos instrumentos normativos, teve
isso, um evento foi realizado no pátio da empresa, início uma nova etapa da comunicação sobre segu-
em 2006, e contou com a entrega de novos crachás rança da informação da Prodemge. Sua principal
aos empregados, além de uma cartilha de seguran- característica: uma mascote criada para ser a porta-
ça da informação que continha os principais pontos voz da SI. “Ele foi pensado para ter um perfil agra-
que garantem a segurança da informação e instru- dável, sem se mostrar como inimigo ou um cão de
ções sobre senha e confidencialidade. Durante a so- guarda”, conta a gerente de Segurança da Informa-
lenidade, o então presidente da Prodemge, Maurício ção da Prodemge, Carine Carvalho. Uma pesquisa
Dias Costa, também assinou as principais normas conceitual revelou que o suricato tinha o perfil mais
relacionadas ao tema. adequado à mascote:
“A identidade esse animal anda em
visual e o slogan dessa bando, faz revezamen-
campanha, ‘Adote essa to para tomar conta da
ideia, foram elaborados toca e emite sinais so-
por uma consultoria ex- noros de alerta.
terna contratada para Lívia lembra
elaborar um plano cor- que, buscando envol-
porativo de segurança ver os empregados na
para a Prodemge e as nova etapa da campa-
secretarias de Fazenda e nha, foi realizado um
de Planejamento e Ges- concurso para esco-
tão”, explica a analista lher o nome da mas-
de comunicação da Pro- cote. “Zé Loso foi o
demge, Lívia Mafra. Segundo ela, as peças gráficas vencedor e o empregado que o sugeriu ganhou uma
que apoiaram a implantação do projeto de seguran- assinatura de revista”, conta. A partir desse mo-
ça da Prodemge foram adaptadas para a realidade da mento, o Zé Loso esteve e está presente em todas
empresa pela área de comunicação da Companhia. as ações e peças de comunicação da segurança da
Com a equipe de SI, a área também foi responsável informação na Prodemge. Na avaliação de Carine,
pela criação de um hotsite na intranet, em que eram a utilização da mascote tem se mostrado positiva,
divulgadas as notícias de interesse dos empregados. propiciando o reconhecimento imediato das pessoas
Outra ação para atingir e conscientizar a comuni- do assunto de SI e, por isso, é usada até hoje.
dade Prodemge foram palestras ministradas por O tema dessa segunda etapa, e que durou
especialistas da área. Eles trataram de temas como até 2012, foi “Segurança da Informação: seja parte
segurança da informação, política de segurança, se- dela”. O objetivo era ser um convite às pessoas para
gurança física e continuidade, segurança no dia a participar do projeto, alertando para a importância
dia, pessoas, classificação da informação e ameaças. que elas têm no processo. Lívia ressalta o dia do

Dezembro de 2012
Fonte
Fonte 51
lançamento da campanha: “A empresa recebeu uma Cibernéticos do Ministério Público do Estado de
decoração diferente e personalizada. Havia cartazes Minas Geras, Vanessa Fusco, falou sobre os limi-
nos quadros de aviso, banner, faixa, cartazes e lem- tes e as possibilidades de enfrentamento dos crimes
bretes sobre hábitos seguros nas estações de traba- cibernéticos no Brasil; e os outros dias foram de-
lho. Os empregados receberam um e-mail especial dicados ao debate do assunto por parte de diversos
sobre o lançamento, que também apresentava o Zé especialistas.
Loso. Também distribuímos um porta-crachá retrá- O evento Um Dia na Prodemge foi uma su-
til e fizemos um quizz premiado sobre segurança da gestão de uma empregada da Prodemge, durante
informação”. outro evento, denominado Bate Papo com a GIS
Durante os quatro anos de duração dessa se- – um espaço no qual os empregados podiam ti-
gunda etapa, diversas atividades foram elaboradas rar dúvidas e dar sugestões à equipe de segurança
constantemente para envolver os empregados e in- da informação da Prodemge. Nas férias de julho
formar sobre as normas e instruções relacionadas 2009, 90 filhos de empregados visitaram a sede da
ao projeto de SI. Além delas, duas ações especiais empresa (então localizada no bairro de Lourdes,
foram programadas: a Semana de Segurança da In- em Belo Horizonte); assistiram a uma palestra so-
formação e o Um Dia na Prodemge. bre navegação segura na internet; praticaram gi-
A primeira aconteceu em novembro de 2009. nástica laboral (assim como os pais o fazem perio-
De acordo com Lívia, na abertura, a coordenado- dicamente); e conheceram o Palácio da Liberdade
ra da Promotoria Estadual de Combate aos Crimes (antiga sede do governo mineiro). “O sucesso foi

Peças gráficas da primeira campanha

Cartazes da segunda campanha

52 Fonte
Fonte
Dezembro de 2012
tanto que planejamos uma nova tarde, com mais 70 já têm uma maior consciência e maturidade do que
crianças”, relembra Lívia. deve ser feito para proteger as informações corpora-
tivas e dos riscos envolvidos. Por isso, o objetivo é
Terceira campanha promover uma reflexão coletiva sobre a importância
e os cuidados com a informação e relembrar diretri-
No segundo semestre de 2012, teve início a zes e normativos.
terceira campanha de segurança da informação da Nesse sentido, a campanha foi estruturada em
Prodemge. Após um período de adaptação ao novo cima de três pilares da segurança da informação:
cenário vivido pela empresa (em junho de 2010, a confidencialidade, integridade e disponibilidade.
sede foi transferida para a Cidade Administrativa Serão abordados temas como classificação da in-
Tancredo Neves, nova sede do governo mineiro), as formação, descarte de documentos e mídias, acesso
equipes de segurança da informação e de comuni- lógico, senhas, redes sociais, malware e backup.
cação elaboraram uma campanha que tem um novo “A comunicação é importante, pois temos
tema “Segurança da Informação: a gente cuida”. que constantemente lembrar as regras, os riscos e os
Lívia explica que, após seis anos, os empregados fatores envolvidos com a segurança da informação.
Para além das campanhas, a newsletter tem surti-
do efeito nesse sentido. Os assuntos são definidos a
partir da necessidade do dia a dia e surgem também
de perguntas dos empregados, mudanças nas nor-
mas, legislação”, conclui Carine.

3ª campanha

Cartazes da terceira campanha

Dezembro de 2012
Fonte
Fonte 53
O usuário faz
a diferença em segurança
da informação

Divulgação
Edison Fontes*

S
egurança da informação é um processo orga- seja que o usuário se comporte em relação ao uso
nizacional que tem como objetivo garantir a da informação. O usuário precisa saber suas respon-
realização do negócio no que depende da in- sabilidades, o que é permitido, o que é proibido, o
formação e dos recursos de informação. Um recurso que fazer em situações de exceção e a quem recorrer
de informação é qualquer elemento que armazene, quando não souber o que fazer diante de uma deter-
transmita, reproduza ou apresente uma informação. minada situação.
Pode ser um computador ou uma simples folha de
papel. b) A alta direção precisa cumprir as políticas
Em um processo de segurança da informação, e normas
são desenvolvidos regulamentos, elaborados contro-
les de acesso físico e lógico, criados planos de conti- Os regulamentos de segurança da informação
nuidade, realizadas análises de riscos e implantadas são obrigatórios para todos. Caso existam situações
outras ações que estruturam esse processo. É um tra- diferentes, elas devem ser descritas nas políticas e
balho de grandes proporções e de uma variedade de normas. Transparência, seriedade e exemplo da alta
ações. administração são fundamentais para o sucesso da
Nesse conjunto de ações, existe um elemento segurança da informação.
que faz a diferença entre o sucesso e o insucesso da
proteção da informação: o usuário! Isto é: você. c) Abordagem profissional para a segurança
A pessoa humana é fator crítico de sucesso. da informação
Melhor dizendo, a pessoa humana é o fator decisivo
para o sucesso. Mas, para que isso aconteça, o que O usuário precisa ser ensinado, treinado e con-
é necessário? Podemos elencar algumas característi- tinuamente lembrado que o processo de segurança
cas que precisam ser consideradas para que o usuário da informação exige um comportamento profissional
faça a diferença. para todos. As regras são definidas para a proteção da
informação da organização. Não existe nada pessoal
a) A organização precisa definir políticas contra qualquer usuário. Caso um usuário não ne-
e normas cessite de um determinado acesso a uma informação
para o desempenho das suas funções na organização,
É necessário que regulamentos de segurança ele não deve ter esse acesso. O usuário precisa enten-
da informação existam e sejam explicitados para os der que a organização não está perdendo a confiança
usuários. A organização precisa dizer como ela de- nele. A organização está agindo profissionalmente.

54 Fonte
Fonte
Dezembro de 2012
d) A segurança da informação vai impactar as informações da organização. Sem nenhuma má-fé,
atividades do usuário o usuário pode compartilhar informações da organi-
zação que são confidenciais e deveriam ficar restri-
Existe uma relação inversamente proporcio- tas internamente.
nal: segurança e facilidade de uso. Quanto mais
segurança, menos facilidade de uso. Quanto mais h) A segurança da informação pessoal do
facilidade de uso, menos segurança. É um fato! A usuário
organização precisa ser transparente com esse fato e
dizer para o usuário que algumas vezes a facilidade A organização tem responsabilidade em tra-
de uso vai ser impactada, porque o tipo de negócio tar com responsabilidade e sigilo os dados dos seus
da organização exige uma proteção rígida para a in- usuários. Mas, muitas vezes, o próprio usuário não
formação. tem esse cuidado. O usuário compartilha suas infor-
mações pessoais no mundo virtual. Na maioria das
e) Clima organizacional envolve a segurança vezes, disponibiliza muitas informações suas nas
redes sociais. Essa é uma decisão do usuário, mas
Um bom clima organizacional é bom para a ele precisa estar atento que os amigos dos amigos, e
organização como um todo. A segurança será be- os amigos dos amigos dos amigos tomarão conhe-
neficiada se a organização possuir um bom clima cimento dos comentários do usuário. Sejam comen-
organizacional. Quem trabalhou tários de que está em tal aeroporto,
ou trabalha em organizações com que está no curso de inglês, que
“TRANSPARÊNCIA,
um clima organizacional agradável odeia o seu chefe ou que não queria
sabe muito bem que camaradagem, seriedade e exemplo da estar trabalhando naquela segunda-
transparência e trabalhos em grupo alta administração são -feira. Principalmente se depois
podem conviver com hierarquia, ele mudar de ideia ou ficar cons-
regras e responsabilidades. Esse fundamentais para o trangido diante do chefe.
conjunto contribui para o sucesso sucesso da segurança Muitas vezes é dito que a
da organização. pessoa humana é o elo mais fraco
da informação.” da corrente de segurança da infor-
f) O usuário pode discordar mação. Entendo que se a organiza-
das regras, mas tem que segui-las ção tiver uma atitude profissional
e honesta no processo de segurança da informação,
Quando uma organização explicita suas re- a pessoa humana também será o elo mais forte na
gras e explica o porquê delas, facilita o entendimen- corrente da proteção da informação.
to pelos usuários. Isso não quer dizer que os usu- Para que isso aconteça, o usuário precisa es-
ários vão concordar com tudo, mas eles precisam tar comprometido com a organização. Algumas pes-
entender tudo. Com essa abordagem, os usuários soas querem apenas estar envolvidas. Não dá! Estar
vão ter uma atitude profissional em seguir as regras. comprometido é mais do que estar envolvido. Não
Ou, se essa diferença for muito grande, o usuário sabe a diferença? Quando comemos ovos com ba-
vai buscar outra organização em que ele se sinta con no café da manhã, a galinha está envolvida, mas
adequado. o porquinho está comprometido.
Boa segurança para todos!
g) Mundo virtual
*Edison Fontes
O mundo virtual cada vez mais faz parte da
Mestre em Tecnologia, certificado CISM, CISA,
vida das pessoas. O mundo virtual e o mundo físico CRISC (Isaca-USA), professor e consultor em
compõem o ambiente de vida do usuário. A organi- segurança da informação. É autor de cinco livros
zação precisa definir para o usuário como, ele sendo sobre proteção da informação na organização.
um colaborador, deve se comportar em relação às edison@pobox.com.

Dezembro de 2012
Fonte
Fonte 55
Arquitetura
empresarial
e segurança de
informação: uma
profícua sinergia

Divulgação
Marcello Bax*

1. Introdução o alinhamento entre tecnologia e negócios em uma


organização. Esse contexto pode servir também
Além de comentar aqui a respeito do desafio para se projetar e implementar controles de segu-
enfrentado pelas empresas e órgãos públicos no es- rança de informação eficazes e que abarcam toda
forço para lidar com seu legado informacional de a organização. Assim, existem metodologias de AE
forma segura, pretende-se argumentar sobre como que incluem o domínio segurança de forma integra-
um processo de elaboração de uma Arquitetura Em- da, permitindo análises que ultrapassam perspec-
presarial (AE) pode apoiar tal esforço. tivas pontuais no nível de sistemas de informação
Com efeito, as ameaças à segurança dos negó- isolados e promovem, assim, uma visão de segu-
cios de um órgão público e seu ambiente operacional rança e privacidade de toda a empresa. A partir de
de tecnologia podem advir das mais variadas fontes. uma visão global da organização, tais metodologias
Isso inclui ataques de hackers, uso inadequado de no- guiam a implantação de controles de privacidade
vas tecnologias, manutenção precária dos sistemas, que vão assegurar a confidencialidade, integridade
funcionários descontentes, desastres naturais, e até e disponibilidade de dados e informações. Essas
mesmo erros não intencionais, entre outros. metodologias são conhecidas como Arquiteturas de
Como o uso das Tecnologias de Informação Segurança de Informação Empresarial (ASIE) e são
e Comunicação (TIC) continua a acelerar, as agên- explicadas mais adiante no texto.
cias governamentais estão cada vez mais expostas
a ameaças diárias quanto à confidencialidade, in- 2. Arquitetura empresarial e segurança de infor-
tegridade e disponibilidade das informações que mação
gerenciam. Por isso, elas investem uma quantidade
crescente de recursos em soluções de segurança e A gestão apoiada pela elaboração da Arquite-
privacidade de dados e informações a fim de cum- tura Empresarial (AE) ou Corporativa (uma prática
prirem sua missão e atenderem as exigências legais emergente) fornece um contexto interessante para o
de proteção de informações em face de ameaças desenvolvimento de controles de segurança e priva-
cada vez mais sofisticadas. cidade. A AE estabelece o quadro geral, corporati-
A Arquitetura Empresarial (AE) é uma disci- vo, das relações entre estratégia, negócio e tecnolo-
plina emergente que fornece um contexto ao mesmo gia nas organizações. Nesse contexto, a estrutura de
tempo amplo e expressivo sobre como se estrutura segurança pode ser considerada uma subarquitetura

56 Fonte
Fonte
Dezembro de 2012
que permeia todos os níveis da AE e inclui, nesta tura se relaciona de forma mais ampla às práticas de
última, camadas que contêm requisitos de seguran- segurança do negócio e não apenas à tecnologia, na
ça e privacidade. As camadas de tal subarquitetura medida em que aborda informação, negócios, pro-
podem englobar, por exemplo: governança da segu- dutos e processos também.
rança da informação; operações de segurança, se-
gurança pessoal; segurança da informação/fluxo de 4. ASIE como proposta de solução integrada e
dados; segurança de sistemas, segurança de infraes- global
trutura e até a segurança física.
É importante, entretanto, destacar o fato de Como dissemos acima, ao considerar o aspec-
que controles de segurança e privacidade totalmente to “segurança” de forma incorporada à AE, a ASIE
à prova de falhas não existem. Isso porque os compo- fornece uma visão ampla e integrada, bem superior
nentes da AE e soluções de segurança são concebidos àquela caracterizada por configurações localizadas
e geridos por membros da organização ou agentes em silos de sistemas e redes específicos. Trata-se de
contratados, e o acesso privilegiado é uma ameaça uma proposta de solução empresarial que incorpora
que não pode ser completamente superada, devido a informações de negócios, sistemas de informação
relações de confiança e privilégios e tecnologia e adiciona o domínio
inerentes. “A ARQUITETURA “Segurança”. Alguns artefatos adi-
Contudo, com base no pa- Empresarial fornece cionais se agregam então à AE, tais
norama amplo fornecido pela AE, um contexto amplo e como roadmaps de negócios, requi-
uma agência governamental pode
expressivo sobre como sitos legais, roadmaps de tecnologia,
alcançar uma solução bem-ajustada tendências da indústria, análises de
aos riscos que corre efetivamente, se estrutura o alinha- riscos etc.
nem excessiva nem frouxa demais. mento entre tecnologia Como metas, a ASIE buscará
Como vimos, tal solução permite e negócios em uma dar coerência, estrutura e coesão à
uma abordagem completa das ame- organização.” organização, e permitir o alinhamen-
aças internas e requisitos de segu- to do negócio com a tecnologia, sem
rança da informação englobando a descuidar da segurança. Trata-se de
organização como um todo. Uma solução desse tipo um processo de modelagem que fornece abstração de
é geralmente denominada de Arquitetura de Segu- modo que fatores complicadores, como de tecnologia
rança de Informação Empresarial (ASIE). e software, sejam removidos e recolocados em dife-
rentes níveis de detalhes somente quando necessário.
3. Arquitetura de segurança de informação Além disso, uma das metas mais importantes talvez
empresarial seja a de estabelecer uma “linguagem” comum para
o tratamento da segurança da informação dentro da
Arquitetura de Segurança de Informação Em- organização.
presarial (ASIE) é uma parte da AE que tem foco na
segurança da informação como um todo. Trata-se 5. Ferramentas e guias conceituais: frameworks
de aplicar um método abrangente e rigoroso para
descrever a estrutura e o comportamento atual e/ou A prática de ASIE envolve o uso de algum
futuro dos processos de segurança de uma organiza- framework que fornece os elementos conceituais
ção e seus sistemas de informação de modo que eles necessários à elaboração de uma série de arquitetu-
se alinhem com os objetivos estratégicos centrais da ras de referência: arquitetura “atual”, “intermediá-
organização que são dados pela alta direção. ria” e “alvo”, bem como de sua aplicação para nego-
Embora muitas vezes associadas à área de ciar e alinhar os projetos de mudança preconizados
tecnologia (de segurança da informação), a arquite- pelas partes interessadas no negócio (stakeholders).

Dezembro de 2012
Fonte
Fonte 57
Tais frameworks definem conceitos que ser- necessários, tais como: onde (em que mercado) e
vem para descrever em detalhes a organização, os de que forma ela opera o seu negócio. O processo
papéis dos atores, as entidades e os relacionamentos então segue em cascata para baixo, com vistas a do-
que existem ou devem existir para executar um con- cumentar as competências essenciais dos atores, os
junto de processos de negócios. Eles fornecem uma processos de negócios e como a organização intera-
taxonomia rigorosa e formal (uma ontologia) que ge com ela mesma e com as partes externas, como
identifica claramente que processos uma empresa clientes, fornecedores e governo.
executa, e relacionam que informações detalhadas Tendo documentado a estratégia da organiza-
sobre como esses processos são executados de for- ção e sua estrutura, o processo de arquitetura, então,
ma segura. flui para dentro dos componentes de tecnologia de
O produto final é um conjunto de artefatos informação, tais como: (1) organogramas, ativida-
(diagramas) que descrevem, em diferentes graus des e fluxos de processo de como a organização
de detalhe, exatamente o que e como a organização opera; (2) fornecedores de hardware, software e
opera e quais controles de segurança já existem ou serviços; (3) inventários de aplicações, softwares e
são necessários. Esses artefatos são muitas vezes modelos; (4) interfaces entre aplicações: eventos e
gráficos, como diagramas visuais, fluxos de dados; (5) intranet, extra-
mas não são meros desenhos ilus- “O OBJETIVO DE net, internet, comércio eletrônico,
trativos, pois podem ter sua valida- criar uma arquitetura na links EDI com as partes, dentro e
de verificada por software. organização é garan- fora da organização; (6) classifica-
Dadas essas descrições, ções de dados, bancos de dados e
cujos níveis de detalhe irão variar
tir que a estratégia de modelos de suporte de dados; (7)
de acordo com o ponto de vista de negócios e tecnologias hardware, plataformas de hospeda-
cada um dos stakeholders com que estejam alinhadas gem: servidores, componentes de
se busca comunicar, “decisores” rede e dispositivos de segurança e
também com as
podem melhor fundar suas deci- onde eles são mantidos; (8) redes
sões sobre onde investir recursos, preocupações de SI” locais e metropolitanas, diagramas
onde realinhar objetivos organiza- de conexão à internet etc.
cionais e processos e que políticas Sempre que possível, todos
e procedimentos apoiarão a missão ou as funções de os itens acima devem ser explicitamente relacio-
negócios da organização. nados com a estratégia da organização, objetivos
No framework utilizado como guia conceitual e operações. A ASIE irá documentar o estado atu-
de elaboração da arquitetura, junto com os modelos al dos componentes técnicos de segurança listados
e diagramas sugeridos, vai também um conjunto de acima, bem como um estado futuro “desejado”, ide-
melhores práticas que visam a garantir a adaptabili- al (Arquitetura de Referência), e, finalmente, um es-
dade, escalabilidade e gerenciamento dos modelos tado futuro “alvo”, que é o resultado da negociação
criados. Essas melhores práticas não são exclusivas dos compromissos entre o cenário possível versus
da ASIE, mas são essenciais para o seu sucesso. Elas o cenário ideal. Essencialmente, o resultado é um
envolvem princípios como a componentização, a co- conjunto de modelos relacionados, e normalmente
municação assíncrona entre os componentes princi- mantido por software especializado, disponível no
pais, identificadores e assim por diante. mercado.
Vale notar que tal mapeamento exaustivo da
6. Metodologia ASIE pode sobrepor outras iniciativas já em an-
damento na organização, como o mapeamento de
A implementação da ASIE começa por docu- metadados, ou com o conceito Itil do Banco de
mentar a estratégia da organização e outros detalhes Dados do Gerenciamento de Configuração, além

58 Fonte
Fonte
Dezembro de 2012
de outras. Assim, quando esse for o caso, manter a a rastreabilidade dos aspectos de segurança, desde a
consistência das informações pode ser um desafio estratégia de negócio até a camada de infraestrutura
significativo. de tecnologia subjacente.
Um projeto de ASIE bem-conduzido ajuda
7. Resultados e manutenção do esforço de arqui- a responder a perguntas importantes, tais como:
tetura (1) Qual é a postura de risco de segurança da in-
formação da organização?; (2) Está a arquitetura
Um resultado intermediário de um processo atual agregando valor à segurança da organização?;
de arquitetura é um inventário da estratégia de se- (3) Como uma ASIE pode ser modificada para que
gurança do negócio que se compõe de elementos acrescente mais valor à organização?; (4) Com base
como: os processos de segurança da empresa, orga- no que se sabe sobre o que a organização quer rea-
nogramas, interfaces entre sistemas e topologias de lizar no futuro, a atual arquitetura de segurança será
rede e as relações explícitas entre eles. Os inventá- um apoio ou está-se assumindo riscos exagerados?;
rios e os diagramas são ferramentas que apoiam a​​ (5) Que riscos são esses?
tomada de decisão. Mas eles por si só não bastam, Assim, a prática da ASIE permite uma abor-
pois é ainda preciso manter o processo vivo e em dagem completa das ameaças internas e requisitos
constante revisão. A organização deve elaborar e de segurança da informação, englobando a organi-
implementar um processo que garanta o movimento zação como um todo.
contínuo do estado atual para o estado futuro pla-
nejado. No curso desse processo, busca-se preen-
cher as lacunas existentes entre a estratégia atual
da organização e a segurança de TI para apoiá-la. É
importante também para determinar as atualizações
necessárias e substituições que devem ser feitas na
arquitetura de segurança de TI com base na idade,
viabilidade e desempenho de hardware e software, *Marcello Peixoto Bax
problemas de capacidade conhecidos ou previstos e Doutor em Informática pela Universidade de Mon-
outras questões. tpellier II, França. Possui diploma de
Regularmente, o estado atual e futuro são Estudos Aprofundados (DEA) em Matemática
redefinidos para ilustrar e explicar a evolução da e Computação e diploma de Estudos
arquitetura, tais como: mudanças na estratégia or- Especializados (DESS) em Informática pela
ganizacional e em fatores externos como evolução Université d’Aix Marseille II, França. Bacharel em
na tecnologia, alterações em clientes/fornecedores/ Ciência da Computação pela Pontifícia
governo, além de alterações internas e externas que Universidade Católica de Minas Gerais (PUC-
ameaçam a organização ao longo do tempo. Minas). Atualmente é professor associado da
Escola de Ciência de Informação da Universidade
8. Considerações finais Federal de Minas Gerais (UFMG).
Tem experiência nas áreas de Ciência da
A literatura especializada revela que a práti- Informação e da Computação, com ênfase em
ca da ASIE está se tornando comum, sobretudo em Sistemas de Informação, atuando principalmente
instituições governamentais e financeiras ao redor nos temas: gestão de conhecimento e informação
do globo. O objetivo de criar uma arquitetura na or- com uso de tecnologias semânticas; sistemas de
ganização é garantir que a estratégia de negócios e informação em saúde; inteligência artificial
tecnologias estejam alinhadas também com as pre- (ontologias) e filosofia da informação; bibliotecas
ocupações de segurança da informação. Ela permite digitais e gestão de conteúdo.

Dezembro de 2012
Fonte
Fonte 59
Login e senha
x Autenticação
do usuário com
Certificado Digital

Júlia Magalhães
Luiz Morato Júnior*

Q
uase todo dia, a imprensa especializada tenham mecanismos que impeçam ações do tipo
em Tecnologia de Informação e “força bruta”.
Comunicação (TIC) divulga notícias sobre Entretanto, o problema maior em questão é o
quebra de segurança de sistemas e aplicações, fato dessa senha trafegar muitas vezes de forma não
de hackers e crackers que se apoderaram de criptografada – e ser armazenada nos servidores de
cadastros de usuários e senhas, listas de e-mails bancos de dados do mesmo modo.
ou CPFs para uso ilícito e acesso indevido. Para que todas essas fragilidades sejam supe-
Quando você faz um cadastro na internet, é radas ou diminuídas, a tecnologia da certificação di-
comum que lhe seja solicitado o CPF, um e-mail gital se apresenta como provedora de soluções que
ou os dois. Um deles será utilizado como o código garantem:
de usuário. Portanto, é muito fácil se passar por al-
guém quando se utiliza tais dados como códigos de a) autenticidade: as partes envolvidas na tran-
usuário. sação podem se identificar mutuamente;
Depois, vem a questão da senha. Alguns apli- b) privacidade: somente as partes designadas
cativos não dão um tratamento apropriado à senha têm acesso às informações da transação;
informada e confirmada pelo usuário. Permitem o c) integridade: as informações das transações
cadastramento de qualquer sequência de números entre as partes são protegidas contra adulterações;
simples, como “1234”. É verdade que outros aplica- d) não repúdio: as partes não podem negar
tivos possuem algoritmos de análise dos caracteres os atos por elas praticados com relação à transação;
digitados, exigem ao menos um caractere especial, e) validade jurídica: o uso de certificação di-
letras, números etc. Mas boa parte dos usuários, por gital confere às transações eletrônicas a mesma va-
comodidade ou para não esquecer suas senhas, ape- lidade jurídica de transações em papel.
la para data de nascimento, sequências simples de
números, placa de carro e outros elementos de fácil O governo brasileiro institucionalizou a cer-
memorização. Ocorre que tal expediente também tificação digital como tecnologia para autenticar e
facilita as coisas para crackers e hackers, os quais já identificar os usuários com quem suas aplicações
possuem diversos artifícios eficientes para quebrar estão interagindo. A Receita Federal e a Caixa Eco-
senhas. nômica Federal forçaram, no bom sentido, a mas-
Nesse caso, é importante que as aplicações sificação da certificação digital para as pessoas ju-

60 Fonte
Fonte
Dezembro de 2012
rídicas. Quem faz declarações de imposto de renda Tabela 1
há mais de 20 anos, como eu, notou a diferença em Fatores que viabilizam autenticação e identificação segura
termos de agilidade e segurança.
No âmbito do governo de Minas Gerais, a
autenticação de usuários através de certificação di-
gital é utilizada, por exemplo, pelo Departamento
Estadual de Trânsito de Minas Gerais (Detran-MG)
desde 2006! Mais recentemente, a Secretaria de Es- Fonte: Elaborado pelo autor.
tado de Saúde (SES) implantou o Geicom, sistema
de prestação de contas de prefeituras para os recur- Pode-se concluir, portanto, que o uso da cer-
sos disponibilizados pela SES. Prefeitos, secretários tificação digital como modalidade para autenticação
municipais de saúde e coordenadores da SES se au- e identificação de usuários apresenta muitas vanta-
tenticam com seus certificados digitais. gens quando comparado com a utilização de login
Mas, afinal, por que e como essa modalidade e senha. Tanto analistas de requisitos e arquitetos
de autenticação consegue ser tão vantajosa? de soluções, quanto executivos de negócio devem
Primeiramente, um pouco de teoria e con- ter consciência dessas vantagens, de modo a sem-
ceitos. O certificado digital é um documento de pre considerar prioritariamente o uso do certificado
identidade, um passaporte para realizar transações digital, como fator de segurança e garantia de au-
eletrônicas, visto que uma Autoridade Certificado- tenticidade, integridade, privacidade, não repúdio e
ra garante a identidade do seu titular. Ele fica ar- validade jurídica.
mazenado em dispositivos criptográficos, que po- Após a autenticação e identificação do usu-
dem ser cartão criptográfico, smart card, token ou ário, vem a parte da autorização de acesso e per-
arquivo, no caso dos certificados do tipo A1. Além fis. Interessante dizer que há sites, como o Portal
dos dados de identificação do titular do certifica- e-CAC do governo federal, que dá acesso a vários
do, são armazenadas as chaves pública e privada serviços se você tem certificação digital e lhe ofere-
e a senha individual que dá acesso a esses dados. ce um rol bastante reduzido de serviços se você não
Todos esses dados são armazenados e trafegados possui. Mas isso já é tema para outro artigo.
de forma criptográfica, aumentando ainda mais
a segurança.
*Luiz Morato Jr.
Portanto, quando um sistema ou aplicação
Analista de Sistemas da Prodemge, especialista
está perguntando “Quem é você?”, o certificado di-
em Gestão em TI pela UFMG (Universidade Fe-
gital vai garantir as características de autenticidade,
deral de Minas Gerais), gerente de Operações da
integridade e não repúdio. No caso de login e senha,
Autoridade Certificadora Prodemge.
o sistema não tem essas garantias.
Outra grande vantagem é que a senha não
trafega na internet. Ela permanece no dispositivo Referências
e não em servidores. Esses dispositivos, inclusive,
WIKIPÉDIA. Autenticação de usuários. Disponível em: <http://
possuem mecanismos de destruição da identidade e pt.wikipedia.org/wiki/Autentica%C3%A7%C3%A3o>.
da senha, caso sofram uma tentativa de invasão. Acesso em: 9 set. 2012.
Na Engenharia de Software, os fatores que ITI. Press release de 30/8/2012. Certificação digital ver-
sus login e senha: como funcionam e quais os cuida-
viabilizam uma autenticação e uma identificação dos. Disponível em: <http://www.iti.gov.br/twiki/bin/
segura de determinado sistema são “O que sou?”, view/Noticias/PressRelease2012Aug30_231146>. Aces-
“O que tenho?” e “O que sei?”. A Tabela 1 abaixo so em: 3 set. 2012.
PRODEMGE. Apresentação institucional sobre Certificação
mostra a diferença desses fatores entre as modalida-
Digital. Arquivo em Power Point baixado da Intranet em
des de autenticação: 30 ago. 2012.

Dezembro de 2012
Fonte
Fonte 61
Política de segurança,
uma ferramenta
eficaz para a segurança
da informação
de uma organização

Divulgação
Ricardo Cruz*

A
Governança Corporativa ganhou força preocupadas com as exigências de mercado, com a
nos últimos anos devido à necessidade necessidade de gerir os riscos, de forma a identifi-
de transparência das organizações pe- car falhas antes que essas aconteçam, devem imple-
rante autoridades reguladoras e legislativas. Essa mentar em seus processos treinamentos e capacita-
necessidade tem aumentado a importância da im- ção de todos os colaboradores nas diretrizes de sua
plementação de gestão da segurança da informação, Política de Segurança, de forma a inserir na cultura
gestão de riscos, gestão de crises e outras mais, que, empresarial a importância de se preocupar com a
sem o apoio da alta gestão e de uma política de se- informação.
gurança forte, não alcançam a eficiência e a eficácia Ao inserir a segurança da informação na cul-
necessárias para apoiar a estratégia da organização. tura empresarial, apoiada na Política de Segurança,
Para entendermos em que a Política de Se- a organização consegue utilizar dessa ferramenta
gurança da Informação pode apoiar a estratégia da como diferencial competitivo perante o mercado,
organização, é preciso explanar sobre estratégia. posicionando-se entre os principais provedores de
Embora tenha muitos conceitos, gosto, particular- segurança da informação para seus clientes, tra-
mente, do conceito de Porter, que assim a define: zendo confiança e disponibilidade para os serviços
“[...] conceito firmemente integrado, claramente co- prestados, e agregando valor aos processos do negó-
erente e altamente deliberado, que coloca a empresa cio, independentemente de área de atuação: tecnolo-
em posição de obter vantagem competitiva”. gia, saúde, governo etc.
A Política de Segurança é uma ferramenta
eficaz para que a organização alcance a segurança
da informação, desde que seja vista como tal, não
somente para adequação a exigências de mercado,
*Ricardo Cruz
e sim como item essencial para a estratégia organi-
Bacharel em Gestão Empresarial pelo UNI-BH
zacional, sendo contribuição importante para que a
e pós-graduando em Gestão da Segurança
organização tenha um diferencial competitivo.
da Tecnologia da Informação. Certificado ISO
As equipes de Governança, Risco e Com-
27.002, ISO 20.000, Itil, Cobit e Microsoft.
pliance (GRC), comuns nas organizações que estão
Coordenador de GRC na Montreal.

62 Fonte
Fonte
Dezembro de 2012
A segurança da informação discutida em artigos
inéditos que abordam a disponibilidade de serviços de
rede, computação em nuvem, privacidade, segurança
cibernética na América Latina, gestão e informação
documental e legado informacional.

Dezembro de 2012
Fonte
Fonte 63
Legado informacional:
um desafio dos órgãos públicos
Divulgação

Vanessa Fusco Nogueira Simões


Especialista em Ciências Penais pela Universidade Gama Filho, Rio de Janeiro. Doutora
em Direito pela Universitat de Barcelona, Espanha. Coordenadora da Promotoria
Estadual de Combate aos Crimes Cibernéticos do MPMG. Representante do MPMG
no Grupo Persecução Penal da Estratégia Nacional de Segurança Pública (Enasp).

RESUMO
O incremento da eficiência e da efetividade do setor público aliado ao crescimento da responsabilização dos gestores
e dos órgãos ante as demandas sociais e a redução do gasto público com custeio foram importantes mudanças trazidas
neste século. A administração pública cada vez mais investe nas Tecnologias de Informação e Comunicação (TICs) e
essa modernização trouxe inegáveis benefícios, mas também possibilitou o incremento de condutas ilícitas através das
redes ou sistema informatizados da administração pública. A ausência de regulamentação de formas de acesso aos dados
que estão nos servidores e que são necessários à investigação criminal é um tema que merece reflexão, bem como a
conservação e fornecimento de logs na iniciativa privada.

1. Introdução utilização dos recursos informacio- mandas da sociedade, forçados que


nais no serviço público, tanto quan- são pela acirrada competitividade
Um dos maiores desafios da ad- to surgem situações não previstas e na economia global. Nessa reforma
ministração pública atual é justamen- até impensadas nos regulamentos se criam novas instituições e se de-
te como manejar, guardar e proteger existentes. finem novas práticas, objetivando
a enormidade de informações que Segundo Bresser Pereira (1998), transformar os burocratas clássicos
circulam diariamente em seus ser- esse processo de reforma administra- em gestores públicos focados na re-
vidores de correios eletrônicos, ex- tiva e modernização do Estado é uma construção da capacidade do Estado,
postas em suas homepages ou arma- tarefa de grande importância e os no ponto de vista fiscal e de legitimi-
zenadas em seus servidores. Sobre governos no mundo e, em especial, dade democrática.
a questão do armazenamento, outra na América Latina e no Brasil, têm Paralelamente à necessidade de
pergunta vem logo a seguir: pode a dedicado bastante atenção nas duas modernização e movido pelos con-
administração pública utilizar-se da últimas décadas do século XX.1 ceitos de transparência, eficiência no
cloud computing para guardar seus A modernização dos mecanis- atendimento e acessibilidade, o Esta-
dados? mos de gestão pública é um objetivo do brasileiro viu-se impelido a inves-
Primeiramente é preciso ressal- que vem sendo buscado pelas insti- tir cada dia mais nas chamadas TICs.
tar que, apesar dos órgãos públicos, tuições neste século XXI. Através Compilando vários conceitos
de maneira geral, já estarem infor- da reforma da gestão pública, os sobre as TIC, Alexandre Mendes
matizados há bastante tempo, não Estados nacionais procuram tornar resumiu:
raramente ainda nos deparamos com seus estados mais eficientes e mais “TIC é um conjunto de recur-
a total ausência de regulamento de voltados para o atendimento das de- sos tecnológicos que, se estive-

1 BRESSER-PEREIRA, Luiz Carlos. Reforma da nova gestão pública: agora na agenda da América Latina. Revista do Serviço Público. Brasília: Fun-
dação Escola Nacional de Administração Pública, jan./mar. 2002.

64 Fonte
Fonte
Dezembro de 2012
rem integrados entre si, podem 3. Na integração com parceiros e nunciáveis e não patrimoniais.
proporcionar a automação e/ou fornecedores.”3 Aplicam-se aos dados pessoais,
a comunicação de vários tipos O conjunto das TICs tem acenado assim, as normas constitucionais
de processos existentes nos ne- com a perspectiva de facilitar a criação que protegem o direito à privacida-
gócios, no ensino e na pesquisa de redes de informações e ambientes de, em especial os incisos X, XII
científica, na área bancária e fi- de interação governo/governo, gover- e XIV do art. 5º da Constituição
nanceira etc. Ou seja, são tecno- no/fornecedores e governo/socieda- Federal.
logias usadas para reunir, distri- de, constituindo o que chamamos de Recentemente, em 18 de no-
buir e compartilhar informações, governo eletrônico. O maior objetivo vembro de 2011, foi editada a lei
como exemplo: sites da Web, das estratégias de governo eletrônico nº 12.527/2011, regulamentando o
equipamentos de informática é acelerar processos, facilitar a pres- acesso à informação, que estabelece
(hardware e software), telefo- tação de serviços e garantir a transpa- “os procedimentos a serem obser-
nia, quiosques de informação e rência da coisa pública para todos os vados pela União, Estados, Distri-
balcões de serviços automatiza- cidadãos. to Federal e Municípios, com o fim
dos.”2 Nesse sentido, a fim de que se de garantir o acesso a informações
Como uma verdadeira política possam prestar bons serviços à co- previsto no inciso XXXIII do art.
pública, surgiu o Governo Eletrôni- munidade, seja pela via do ciberes- 5o, no inciso II do § 3º do art. 37 e
co, sinalizando com a possibilidade paço ou pela via presencial, é neces- no § 2º do art. 216 da Constituição
de serem adotadas plataformas aber- sário, antes de tudo, planejar-se no Federal”.
tas e softwares livres, que por princí- sentido de implantar um processo Referiremos-nos a seguir sobre
pio, privilegiam o caráter público do de modernização com efetividade, a questão da quebra da privacidade
conhecimento, facilitando o compar- ou seja, uma modernização elabora- de dados, ou seja, quando é neces-
tilhamento de informações, reduzin- da sobre uma política integrada de sária a preservação e informação de
do ou impedindo a duplicação de es- desenvolvimento das instituições do dados – aqueles que são armazena-
forços e gerando mais conhecimento. Estado, não necessariamente restrita dos pelos provedores – quando esses
Como parte dessa política pública, os apenas ao período de um governo servirem de um meio de prova na
governos federal e estadual brasileiro O desenvolvimento das TIC no investigação criminal, a serem forne-
lançaram portais, basicamente com âmbito governamental trouxe vanta- cidos por provedores “empresa pri-
os seguintes objetivos: gens e desafios. Vantagens com uma vada”, diante da prática de um crime
“O desenvolvimento de progra- maior aproximação do governo da pela rede mundial de computadores.
mas de Governo Eletrônico tem sociedade em geral, mais capilarida- E, finalmente, iremos abordar a nos-
como princípio a utilização das de, monitoramento de aplicação de sa percepção sobre a necessidade
modernas tecnologias de infor- recursos públicos e democratização de disciplina da guarda de logs no
mação e comunicação (TICs) da informação através de programas, serviço público.
para democratizar o acesso à in- como por exemplo, o de inclusão di-
formação, ampliar discussões e gital. Mas os desafios também estão 2. Crimes cibernéticos e pro-
dinamizar a prestação de serviços presentes: segurança da informação, dução de prova
públicos com foco na eficiência modificação constante nas tecnolo-
e efetividade das funções gover- gias, privacidade versus interesse São puníveis no Brasil aqueles
namentais. No Brasil, a política público, investimentos e capacitação crimes já previstos na legislação pe-
de Governo Eletrônico segue um e regulamentação do setor. nal – Código Penal e leis esparsas –
conjunto de diretrizes que atuam O reconhecimento do direito à em que o computador ou a rede são
em três frentes fundamentais: privacidade ocorre dentro dos chama- o instrumento. Esses crimes, apesar
1. Junto ao cidadão; dos direitos da personalidade, que têm de não se tratarem de crimes ciber-
2. Na melhoria da sua própria como característica serem absolutos, néticos “puros”, quando praticados
gestão interna; indisponíveis, intransmissíveis, irre- pela internet, dependem de que a in-

2 MENDES, Alexandre. Disponível em: <http://imasters.com.br/artigo/8278/gerencia-de-ti/tic-muita-gente-esta-comentando-mas-voce-sabe-o-que-e>.


Acesso em: 11 out. 2012.
3 Disponível em: <http://www.governoeletronico.gov.br/o-gov.br>. Acesso em: 11 out. 2012.

Dezembro de 2012
Fonte
Fonte 65
vestigação criminal obtenha elemen- provedores de conteúdo e de acesso jurídica fornecedora de serviços
tos de prova que estão em poder dos está pacificada em nossa doutrina. que consistem em possibilitar o
provedores de serviço e provedores Vejamos: envio de mensagens do usuário
de acesso. Assim é que a maioria dos Segundo Patrícia Peck Pinheiro a seus destinatários, armazenar
dados necessários não só à produção (2010): as mensagens enviadas a seu
da prova, bem como à identificação Os provedores de acesso não são endereço eletrônico até o limi-
do local do crime4 para fins de fixa- apenas empresas prestadoras de te de espaço disponibilizado no
ção de competência, está em poder serviço. São grandes aglutina- disco rígido de acesso remoto e
da iniciativa privada. Falamos não só dores do mundo virtual, respon- permitir somente ao contratan-
de logs de acesso e dados de cadas- sáveis pela abertura das portas te do serviço o acesso ao siste-
tro, mas também dados de conteúdo, de entrada dos usuários na rede ma e às mensagens, mediante
como dados de tráfego, conteúdo de (seja ela pública ou privada). o uso de um nome de usuário e
comunicação, a prova material mui- Quanto a estes provedores, exis- senha exclusivos. O provedor de
tas vezes da prática de um crime, tem duas posições jurídicas bem hospedagem é a pessoa jurídica
tudo está em poder dos provedores. determinadas. A primeira deve a fornecedora de serviços que con-
Inicialmente, faremos uma bre- sua atuação como Operadora de sistem em possibilitar o armaze-
ve exposição da questão da produção Telecomunicações responsáveis namento de dados em servidores
de prova que depende dos provedo- pela transmissão de mensagens próprios de acesso remoto, per-
res em nosso país, para, em seguida, e conteúdos por meio da rede. A mitindo o acesso de terceiros a
adentrar na questão da guarda de segunda, de Editores, responsá- esses dados, de acordo com as
logs no serviço público. veis pela hospedagem, publica- condições estabelecidas com o
Segundo Fernando Capez ção e até produção de conteúdo contratante do serviço. O pro-
(2005): na Internet.6 vedor de conteúdo é toda pessoa
[...] a prova destina-se à forma- Em outra classificação, Marcel natural ou jurídica que disponi-
ção da convicção do juiz acerca Leonardi assevera: biliza na Internet as informações
dos elementos essenciais para o Provedor de serviços de Internet criadas ou desenvolvidas pelos
deslinde da causa... O objeto da é o gênero do qual as demais ca- provedores de informação, uti-
prova é toda circunstância, fato tegorias (provedor de backbone, lizando servidores próprios ou
ou alegação referente ao litígio provedor de acesso, provedor de os serviços de um provedor de
sobre os quais pesa incerteza, e correio eletrônico, provedor de hospedagem para armazená-las.
que precisam ser demonstrados hospedagem e provedor de con- Não se confunde com o prove-
perante o juiz para o deslinde da teúdo) são espécies. O provedor dor de informação, que é toda
causa.5 de backbone é a pessoa jurídica pessoa natural ou jurídica res-
Em se tratando de crimes cometi- que efetivamente detém as estru- ponsável pela criação das infor-
dos pela rede e a volatilidade e veloci- turas de rede capazes de manipu- mações divulgadas através da
dade dessa, imprescindível se torna a lar grandes volumes de informa- Internet, ou seja, o efetivo autor
preservação dos dados de que neces- ções, constituídas, basicamente, da informação disponibilizada
sita a Polícia Judiciária e o Ministério por roteadores de tráfego interli- por um provedor de conteúdo”.7
Público para realizar a investigação gados por circuitos de alta velo- O Comitê Gestor da Internet no
de um crime nessa modalidade. O pe- cidade. O provedor de acesso é Brasil, através do site “registro.br”
dido de preservação da prova de que a pessoa jurídica fornecedora de define o que para fins daquela ins-
tanto necessita o investigador é feito serviços que consistem em pos- tituição, é considerado provedor de
tanto aos provedores de conteúdo, sibilitar o acesso de seus consu- acesso, provedor de serviços e pro-
quanto aos provedores de acesso. midores à Internet. O provedor vedor de hospedagem:
Nem a conceituação do que são de correio eletrônico é a pessoa As organizações que recebem

4 Através da identificação do usuário do IP (Internet Protocol).


5 CAPEZ, Fernando. Curso de Processo Penal. 12. ed. São Paulo: Editora Saraiva, 2005.
6 PINHEIRO, Patrícia Peck. Direito Digital. 4. ed. São Paulo: Editora Saraiva. 2010.
7 Disponível em: <http://jus.uol.com.br/revista/autor/marcel-leonardi>. Acesso em: 26 ago. 2011.

66 Fonte
Fonte
Dezembro de 2012
endereços IP do Registro.br são serviços. Tal provedor não tem mos o que o jurista Fernando Bote-
classificadas como “ISP” (pro- nenhum vínculo formalizado lho assevera a respeito:
vedores de serviços e acesso à com o Registro.br e seus clien- Particulares prestarão o servi-
Internet) ou como “Usuário Fi- tes podem interagir diretamente ço publico de que é incumbido
nal”. Tal classificação é de uso com o sistema do Registro.br, o Estado e o farão em concur-
exclusivo junto ao Registro.br e para atualizar dados dos seus so com o próprio Estado – isto
não tem por objetivo determinar domínios e entidades, desde é – com a administração pública
o tipo de serviço prestado pela que sejam contatos destes. Estas central , ou ainda, em nome pró-
organização8. duas definições são utilizadas prio e em caráter privado, aliás,
Um Provedor de Serviços é uma somente como nomenclatura na com a percepção, até, de receitas
empresa previamente homolo- documentação relativa aos servi- privadas, por mero arbitramento
gada e certificada através de um ços do Registro.br.9 estatal dos respectivos preços
contrato firmado com o Registro. Para efeitos deste artigo, consi- públicos (sistema de tarifamento
br, para que o registro e a manu- deraremos as definições apresenta- público)12.
tenção dos domínios e entidades das pelo CGI acima, tendo em vista Em que categoria deverão ser
possam ser feitas através de uma se tratar do órgão gestor da internet então enquadrados os serviços
interface específica. Os Prove- no Brasil cujos regulamentos são se- de telecomunicações – que hoje
dores de Serviços podem ou não guidos pelas empresas brasileiras. são prestados, ou executados, e
oferecer serviços agregados ao Entretanto, consultando site da postos, na ponta final de utili-
registro de domínios. Os clientes Anatel, verificamos pela normativa zação comunitária, pela via do
dos Provedores de Serviços só vigente daquela concessionária de regime particular de contrata-
podem cadastrar novos domínios serviço público que a sigla ISP (In- ção? A resposta estará em que
ou alterar os dados de domínios ternet Service Provider) equivale constituem as atividades de te-
e entidades existentes através do a SCM (Serviço de Comunicação lecomunicações, basicamente,
seu Provedor de Serviços, sendo Multimídia)10. No Brasil, provedor atividades não-essenciais, mas
que nestes casos o sistema do de acesso é aquele que fornece servi- indisputavelmente úteis aos in-
Registro.br somente permitirá a ços de valor adicionado (SVA)11 que teresses comunitários, assumin-
visualização dos dados de seus referem-se aos serviços presentes na do por isso, conditio de serviços
domínios e/ou entidades, caso internet e que o diferencia de uma de utilidade pública, na medida
sejam contatos destes. rede comum. O SVA é regido pelo em que, o define a Lei (art.60,
Já o Provedor de Hospedagem é Comitê Gestor de Internet. §1º, da Lei 9472/97), a atuação
uma empresa que oferece servi- Evidentemente, a internet con- material representa-se por trans-
ços de hospedagem de sites na siderada na categoria “meio de tele- missão, emissão ou recepção for
Internet e também pode ofere- comunicação” se submete às regras fio, radioeletricidade, meios óp-
cer aos seus clientes o registro a ela inerentes, como verdadeiro ticos ou qualquer outro processo
de domínio agregado aos seus serviço de utilidade pública. Veja- eletromagnético, de símbolos,

8 Disponível em: <http://registro.br/provedor/numeracao/custos.html>. Acesso em: 26 ago. 2011.


9 Disponível em: <http://registro.br/suporte/faq/faq7.html>. Acesso em 26 ago. 2011.
10 Anexo à resolução nº 272, de 9 de agosto de 2001. Regulamento do serviço de comunicação multimídia. “Art. 1º Este Regulamento tem por ob-
jetivo disciplinar as condições de prestação e fruição do Serviço de Comunicação Multimídia (SCM). Art. 2º A prestação do Serviço de Comunicação
Multimídia é regida pela Lei n.º 9.472, de 16 de julho de 1997, pelo Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução n.º
73, de 25 de novembro de 1998, por outros regulamentos, normas e planos aplicáveis ao serviço, pelos termos de autorização celebrados entre as
prestadoras e a Agência Nacional de Telecomunicações (Anatel) e, particularmente, por este Regulamento. Art. 3º O Serviço de Comunicação Mul-
timídia é um serviço fixo de telecomunicações de interesse coletivo, prestado em âmbito nacional e internacional, no regime privado, que possibilita
a oferta de capacidade de transmissão, emissão e recepção de informações multimídia, utilizando quaisquer meios, a assinantes dentro de uma área
de prestação de serviço”.
11 SVA é o PSCI, o provedor de internet propriamente dito e toda a sua edificação, seus servidores, seus roteadores, o seu link de saída para a internet,
independente se ela seja uma Lan House ou seja um servidor de jogos, ou tenha um link para uso próprio. O Serviço de Comunicação Multimídia é
um serviço fixo de telecomunicações de interesse coletivo, prestado em âmbito nacional e internacional, no regime privado, que possibilita a oferta de
capacidade de transmissão, emissão e recepção de informações multimídia, utilizando quaisquer meios, a assinantes dentro de uma área de prestação
de serviço, ou seja, pode ser rádio, cabo, tudo que vai do ponto de acesso até o assinante, o meio legal de levar tudo isso até o assinante.
12 Botelho, Fernando Neto. As telecomunicações e o FUST. Belo Horizonte: Editora Saraiva. 2001. p.18.

Dezembro de 2012
Fonte
Fonte 67
caracteres, sinais, escritos, ima- efetivação destas determinações lização relativos quer a pessoas
gens sons ou informações de e zelando para que elas sejam singulares quer a pessoas colec-
qualquer natureza”. A ciberné- cumpridas dentro dos estritos li- tivas, bem como aos dados cone-
tica, como ciência-meio, e suas mites autorizados. xos necessários para identificar
mais atualizadas derivações o assinante ou o utilizador regis-
aplicativas (como a extraordiná- 3. Normativa sobre conserva- tado. A presente directiva não é
ria telemática) foram, então, as- ção de dados: o exemplo da União aplicável ao conteúdo das comu-
similadas pelo Estado brasileiro Europeia. nicações electrónicas, incluindo
como integrantes da atividade- as informações consultadas uti-
fim pública denominada teleco- A diretiva relativa à conserva- lizando uma rede de comunica-
municações, dado o próprio tra- ção de dados em vigor no âmbito da ções electrónicas15.
tamento formal que sobre o tema União Europeia (diretiva 2006/24/ A diretiva prevê que a conceitu-
fornece, antes de qualquer outro, CE) exige que os Estados-Membros ação de “dados de tráfego”, “utiliza-
a própria Constituição Federal obriguem os prestadores de serviços dor”, “serviço telefônico”, “código
do país.13 de comunicações eletrônicas pu- de identificação de utilizador” etc.,
Assim é que o Serviço de Co- blicamente disponíveis ou de redes procurando uniformizar o entendi-
municação Multimídia (SCM) é um públicas de comunicações (a seguir mento para que a aplicação da di-
autêntico serviço de utilidade pública designados por «operadores») a con- retiva se adeque aos termos em que
e como deve estar sujeito à atuação servarem os dados relativos ao tráfe- foi proposta.
da agência controladora, ou seja, a go e os dados de localização durante Recentemente, a referida dire-
Anatel. um período que pode ir de seis meses tiva foi avaliada por uma comissão
Em se tratando de telecomunica- a dois anos, para efeitos de investiga- instituída no âmbito do Conselho e
ções – o que se aplica a SCM confor- ção, detecção e repressão de crimes Parlamento Europeu, resultando em
me dito acima – e com relação espe- graves. relatório contendo as conclusões do
cificamente ao auxílio às autoridades A referida diretiva estabelece grupo de expertos.
na investigação, o Regulamento dos seu objeto e âmbito de aplicação: A diretiva é aplicável aos “forne-
Serviços de Telecomunicações14 es- Objecto e âmbito de aplicação cedores de serviços de comunicações
tabelece: 1. A presente directiva visa eletrônicas publicamente disponíveis
Art. 26. A Prestadora observa- harmonizar as disposições dos ou a uma rede pública de comunica-
rá o dever de zelar estritamente Estados-Membros relativas às ções” (artigo 1º, nº 1). Dois Estados-
pelo sigilo inerente aos serviços obrigações dos fornecedores de Membros (Finlândia e Reino Unido)
de telecomunicações e pela con- serviços de comunicações elec- não exigem aos pequenos operadores
fidencialidade quanto aos dados trónicas publicamente disponí- que conservem os dados, porque, se-
e informações, empregando to- veis ou de uma rede pública de gundo argumentam, os custos tanto
dos os meios e tecnologia neces- comunicações em matéria de para o prestador do serviço como
sárias para assegurar este direito conservação de determinados para o Estado seriam superiores aos
dos usuários. dados por eles gerados ou tra- benefícios retirados em matéria de
Parágrafo único. A Prestadora tados, tendo em vista garantir aplicação da lei e da justiça penal.
tornará disponíveis os recur- a disponibilidade desses dados Quatro Estados-Membros (Letônia,
sos tecnológicos necessários à para efeitos de investigação, Luxemburgo, Países Baixos e Polô-
suspensão de sigilo de teleco- de detecção e de repressão de nia) indicaram que haviam adotado
municações determinada por crimes graves, tal como defini- regimes administrativos alternativos.
autoridade judiciária ou legal- dos no direito nacional de cada Embora os grandes operadores pre-
mente investida desses poderes e Estado-Membro 2. A presente sentes em vários Estados-Membros
manterá controle permanente de directiva é aplicável aos dados beneficiem de economias de escala
todos os casos, acompanhando a de tráfego e aos dados de loca- em termos de custos, os operadores

13 Botelho, Fernando Neto. As telecomunicações e o FUST. Belo Horizonte: Editora Saraiva. 2001. p. 22.
14 Alterado pela resolução nº 234, de 06/09/00 e pela resolução nº 343, de 17 de julho de 2003.
15 Disponível em: < http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:PT:PDF>. Acesso em: 30 ago. 2011.

68 Fonte
Fonte
Dezembro de 2012
de menor dimensão de alguns Esta- busca analisar as possibilidades de har- Atualmente, dois projetos de
dos-Membros criam normalmente monizar os períodos de conservação de lei em tramitação no Congresso Na-
empresas comuns ou externalizam dados em toda a UE. Há uma diversi- cional tratam do assunto guarda de
essas funções para empresas espe- dade de prazos para tal conservação. registros: o PL 84/99 e aquele cha-
cializadas em programas de conser- A comissão que analisa a diretiva mado como Marco Civil da Internet
vação e de extração de dados, a fim irá estudar a partir de agora a possi- PL 2126/2011.19 Ambos preveem que
de reduzirem os seus custos. bilidade de definir períodos distintos somente mediante ordem judicial a
A diretiva também diferencia o em função das diferentes categorias guarda dos registros se dará.
que é conservação de dados do que é de dados ou das categorias de crimes A necessidade de obtenção de
preservação de dados: graves, ou de uma combinação de ordem judicial para a guarda dos re-
A conservação de dados é dis- ambos.17 gistros está na contramão do que na
tinta da preservação de dados Interessa para nós ressaltar que a prática ocorre em uma investigação
(também conhecida por «con- experiência da União Europeia, que criminal em que há a necessidade de
gelamento rápido» ou «quick já possui a diretiva de conservação/ obtenção de logs de acesso, posto
freeze») através da qual os ope- preservação de dados há mais de cin- que em inúmeros casos, a requisição
radores, por ordem de um tribu- co anos, uma vez que tal experiência policial ou ministerial já é suficiente
nal, são obrigados a conservar os poderá auxiliar o Brasil na constru- à preservação destes por alguns pro-
dados relativos exclusivamente ção de instrumento semelhante. Ain- vedores.
a determinados indivíduos sus- da tratando da referida diretiva, a Com relação aos provedores de
peitos de actividades crimino- comissão que a analisou estabeleceu acesso (SCM) situados no Brasil,
sas, a partir da data da ordem também o valor dos dados conserva- não há normativa que estabeleça
de preservação. A preservação dos em investigações penais ou em quem pode requisitar a preservação
de dados é um dos instrumentos processos-crime. Vejamos: de dados e nem por quanto tempo
de investigação previstos e utili- Foi referido que os dados de trá- esses dados devem ser guardados.
zados pelos Estados participan- fego conservados são necessá- É, em nosso entendimento, per-
tes na Convenção do Conselho rios para contactar testemunhas feitamente possível que o regula-
da Europa sobre a Cibercrimi- que, de outro modo, não pode- mento do SCM também preveja o
nalidade.16 riam ser identificadas, e para prazo para a conservação dos dados,
Há que se ressaltar, todavia, que fornecer elementos de prova ou uma vez que os projetos de lei atu-
a diretiva em comento foi propos- pistas para se apurar a cumpli- almente no Congresso Nacional não
ta e aprovada após os atentados de cidade na prática de um crime. têm prazo para apreciação. O art.
Madrid e Londres (2004 e 2005), Alguns Estados-Membros ale- 61 do Regulamento do Serviço de
quando a pressão por investigações garam ainda que a utilização Comunicação Multimídia poderia
ágeis em matéria de terrorismo era dos dados conservados permi- incluir dispositivo específico com re-
latente. tiu ilibar pessoas suspeitas da lação ao tema, bem como o prazo em
Nesse momento, retoma-se a prática de crimes, sem ter sido que as SCM devem responder às au-
discussão se a referida diretiva viola necessário recorrer a outros toridades quando de posse da requi-
direitos fundamentais. métodos de vigilância, como as sição ou ordem judicial. Não se trata
Convém ressaltar que vivemos escutas telefônicas ou as buscas a disciplina de conservação/preserva-
neste momento uma crescente inter- domiciliárias, considerados mais ção dos dados de matéria que atinge a
nacionalização dos serviços de trata- intrusivos.18 privacidade ou sigilo das comunica-
mento de dados e a externalização do ções, mas ato meramente regulatório
seu armazenamento – a computação 4. A preservação de dados e a que está no âmbito das atribuições da
na nuvem (cloudy computing) – e se investigação criminal no Brasil agência controladora. O aludido art.

16 Disponível em: < http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:PT:PDF>. Acesso em: 30 ago. 2011. p. 5.


17 A proposta de diretiva relativa à conservação de dados apresentada pela comissão em 2005 previa períodos de conservação de dados de um ano para
os dados telefônicos e de seis meses para os dados da internet.
18 Ibidem, p. 26.
19 O PL 84/99 determina a guarda dos registros de conexão pelos provedores durante três anos. Já o projeto de marco civil do governo estabelece prazo
de apenas um ano, embora ressalte que a Justiça pode determinar o armazenamento por mais tempo.

Dezembro de 2012
Fonte
Fonte 69
61 do regulamento já contém disposi- A questão do prazo para o arma- caluniosa, que está prevista no art.
tivo que remete ao atendimento prio- zenamento dos dados pelos prove- 339 do CP.21 Em tempos de proli-
ritário a autoridades. dores ainda permanece sem solução. feração das ouvidorias, diversos
CAPÍTULO V Pensamos que ainda no ano de 2012 são os casos que vemos em que ao
Dos Serviços Públicos e de tal normatização no Congresso Na- servidor público é imputada condu-
Emergência cional não terá chance de ser votada, ta ilícita, dando início à instauração
Art. 61. As prestadoras de SCM restando à própria Anatel avançar, de investigação administrativa ou
deverão, nos termos do Regula- conforme sugerido pelo Ministério investigação policial em face desse
mento dos Serviços de Teleco- Público Federal, regulamentando mesmo servidor. Ocorre que muitas
municações, atender com priori- essa guarda através de resolução, in- vezes, a informação/logs de quem
dade o Presidente da República, dependentemente de previsão legisla- enviou e-mail trazendo a imputação
seus representantes protocolares, tiva. ao servidor público, está protegida
sua comitiva e pessoal de apoio, pelo anonimato (muitas ouvidorias
bem como os Chefes de Estado 5. Condutas típicas e elementos têm a opção de manter os dados do
estrangeiros, quando em visitas de prova em poder da administra- “denunciante” em sigilo) ou quando
ou deslocamentos oficiais pelo ção pública não se faz a opção pelo sigilo das in-
território brasileiro, tornando formações, esses logs simplesmente
disponíveis os meios necessários Como dissemos, a necessidade não são guardadas pelo servidor da
para a adequada comunicação de modernização da administração instituição do poder público. E, se
destas autoridades. pública passou obrigatoriamente pela são guardados, não há regulamen-
Recentemente, a Anatel colo- adoção das TICs na sua rotina diária. tação de para quem devem ser for-
cou em consulta pública o estabe- Cada dia mais os webmails são utili- necidos, de que maneira e por que
lecimento de regras para a guarda zados para se estabelecer comunica- prazo devem ser guardados.
de logs: ção entre os servidores, entre o públi- Outro exemplo de crime prati-
CONSULTA PÚBLICA Nº 46, co e o prestador de serviço público, cado pela web contra os sistemas da
DE 9 AGOSTO DE 2011 aumentando assim o tráfego de infor- administração pública são aquelas
Também coloca em discussão a mações nas redes das instituições. condutas previstas nos artigos 313-A
regulamentação da neutralidade Esses dados que trafegam pela e 313-B.
de redes, com vedação ao blo- rede dos servidores das instituições Os primeiros crimes cibernéticos
queio e tratamento discrimina- do poder público, vez ou outra, tam- ditos “puros ou próprios” que foram
tório de tráfego, excetuados os bém podem servir de prova para a tipificados na legislação brasileira
procedimentos que se mostra- elucidação de um crime e comu- visam à proteção dos sistemas infor-
rem indispensáveis à segurança mente, o fornecimento desses dados matizados da administração pública.
e à estabilidade do serviço e das à autoridade que investiga o delito, São aqueles previstos nos artigos
redes que lhe dão suporte. Tam- esbarra em uma série de dificulda- 313-A e 313-B do Código Penal.22
bém fica estabelecida a obriga- des, que vão desde a não preservação O incremento da ocorrência destes
ção de guarda dos logs de acesso de dados até a falta de regulamenta- crimes – de inserção, modificação,
por três anos (dois anos para os ção de como fornecê-los. exclusão de dados falsos em sistemas
prestadores de pequeno porte), Concretamente, citamos o informatizados em bancos de dados
conforme recomendação do Mi- exemplo de um crime que vem se da administração pública – começa a
nistério Público Federal. (g.n)20 tornando comum: a denunciação preocupar as autoridades encarrega-

20 Disponível em: <http://www.anatel.gov.br/ >. Acesso em: 12 out. 2012.


21 Art. 339. Dar causa à instauração de investigação policial, de processo judicial, instauração de investigação administrativa, inquérito civil ou ação de
improbidade administrativa contra alguém, imputando-lhe crime de que o sabe inocente: (Redação dada pela lei nº 10.028, de 2000) Pena - reclusão, de
dois a oito anos, e multa.§ 1º - A pena é aumentada de sexta parte, se o agente se serve de anonimato ou de nome suposto.§ 2º - A pena é diminuída de
metade, se a imputação é de prática de contravenção.
22 Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas in-
formatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano: (Incluído
pela Lei nº 9.983, de 2000))Pena - reclusão, de 2 (dois) a 12 (doze) anos, e multa. (Incluído pela Lei nº 9.983, de 2000). Art. 313-B. Modificar ou alterar,
o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente: (Incluído pela Lei nº 9.983,
de 2000)Pena - detenção, de 3 (três) meses a 2 (dois) anos, e multa (Incluído pela Lei nº 9.983, de 2000).

70 Fonte
Fonte
Dezembro de 2012
das na persecução penal, justamen- que envolvem, de qualquer forma, urgente que a administração pública
te porque não será possível a iden- condutas pela internet ou sistemas atente para essas questões, mesmo
tificação e comprovação da autoria informatizados. O crescimento de porque os investigadores – que tam-
desse crime se não for fornecido atividades como o comércio eletrôni- bém são servidores públicos – são
ao investigador – pelo próprio ad- co, a implantação do sistema de Nota aqueles que justamente sabem da
ministrador da rede ou do sistema Fiscal Eletrônica, os cursos on-line, a importância da obtenção do dado in-
violado – os logs de acesso que rede bancária, as polícias, para citar formático para elucidar um crime. E
permitiram a ocorrência da modifi- somente alguns são atividades que essa disciplina não se deve resumir
cação ilícita. acabam servindo, cedo ou tarde, ce- apenas na previsão do prazo e forma
nário para a prática de condutas cri- de guarda desses logs, mas, sobretu-
6. Considerações finais minosas. Daí a urgência da disciplina do, a maneira que esta se dará, em
da matéria. quais hipóteses e para quais autori-
Neste ensaio nosso objetivo foi No que tange ao serviço públi- dades, mediante simples requisição
o de trazer à discussão questões que co, verifica-se que há um verdadeiro para quem tiver o poder de requisi-
envolvem legado informacional da tabu em se tratar do tema guarda de tar ou mediante ordem judicial.
administração pública. O recorte logs. Aparentemente, a possibili- Acreditamos que a partir dessa
escolhido foi a questão da guarda dade de se obter logs de acesso de normatização, a administração pú-
de logs que servirão de prova para atividade ocorrida em um servidor blica estará dando o exemplo à ini-
elucidar a autoria da prática de cri- (de rede) da administração pública ciativa privada e mais, trazendo a
mes. Primeiramente, há que se rea- soa como uma verdadeira possibi- possibilidade de ser transparente, ob-
firmar a necessidade de se disciplinar lidade de estabelecimento de certa servados os parâmetros legais – quer
o prazo para a guarda de logs para a “vigilância”, o que é, claro, recha- dizer, sem receio de ferir o direito
garantia das investigações criminais çado por todo cidadão. Assim é que constitucional à privacidade.

Referências

BRESSER-PEREIRA, Luiz Carlos. Reforma da nova gestão públi- A Liberdade e o delito no Ciberespaço. Ed. Edipro, 2001.
ca: agora na agenda da América Latina. Revista do Serviço LIMA DE LA LUZ, Maria. Delitos informáticos. México DF:
Público. Brasília: Fundação Escola Nacional de Administra- Criminalia. Academina Mexicana de Ciencias penales.
ção Pública, jan./mar. 2002. Ed. Porrua, 1984.
CAPEZ, Fernando. Curso de Processo Penal. 12. ed. São Paulo: LIMA, Paulo Marco Ferreira. Crimes de Computador e Seguran-
Editora Saraiva, 2005. ça Computacional. Ed. Milenium, 2005. p. 36, 51, 105.
CORRÊA, Gustavo Testa. Aspectos jurídicos da internet. São Paulo: NETO, Marcílio José da Cunha. Manual de Informática Jurídica.
Saraiva, 2000. Ed. Destaque, 2002. p. 200.
FERREIRA, apud Ivett e Senise. A criminalidade informática, Di- PINHEIRO, Patrícia Peck. Direito Digital. 4. ed. São Paulo: Edi-
reito e Internet - Aspectos jurídicos relevantes. Editora Edipro, tora Saraiva, 2010.
2001.
ROHRMANN, Carlos Alberto. Curso de Direito Virtual. Ed. Del
GOMES, Luiz Flávio. Atualidades criminais. Disponível em www. Rey, 2005. p. 120, 137, 181, 199 e 215.
direitocriminal.com.br.
ROSA, Fabrizio. Crimes de Informática. Ed. BookSeller, 2002.
GRECO, Rogério. Curso de Direito Penal - Parte Especial. Ed. Im- p. 49 e 63.
petus, 2006.
ROSSINI, Augusto Eduardo de Souza. Brevíssimas considera-
INELLAS, Gabriel César Zaccaria de. Crimes na internet. São Pau- ções sobre delitos informáticos. Caderno Jurídico Direito
lo: Juarez de Oliveira, 2004, p. 80. e Internet. São Paulo: Imprensa Oficial do Estado. Escola
JÚNIOR, Jose Calda Gois. O Direito na Era das Redes – Superior do Ministério Público. 2002.

Dezembro de 2012
Fonte
Fonte 71
Fortalecimento de segurança
cibernética: uma das prioridades da
OEA e da América Latina
Belisario Contreras
Administrador de empresas pela Universidade Francisco de Paula Santander (UFPS),
na Colômbia, e mestre em Estudos Latino-Americanos pela Escola de Serviço
Exterior Edmund A. Walsh da Universidade de Georgetown, em Washington DC, EUA.
Atualmente é gerente do Programa de Segurança Cibernética na Secretaria do Comitê
Interamericano contra o Terrorismo (CICTE), pertencente à Organização dos Estados
Divulgação

Americanos (OEA).

RESUMO
O uso da internet cresceu exponencialmente nos últimos dez anos, o que trouxe todo tipo de oportunidades para o mundo
inteiro, especialmente para as comunidades da América Latina e do Caribe. Se por um lado a internet facilita a difusão
da informação e a conectividade entre as pessoas, por outro ela põe em evidência as vulnerabilidades e as ameaças que
esse tipo de conectividade traz, tanto em nível nacional como internacional.
O perigo que se corre com a massificação da internet fez com que os Estados-Membros da Organização dos Estados
Americanos (OEA) começassem a desenvolver políticas e estratégias para combater essas ameaças, conforme o que foi
acordado na Estratégia Interamericana de Segurança Cibernética adotada em 2004.

Nos últimos dez anos, os países para o governo eletrônico, a intera- ameaças que podem comprometer as
da América Latina e do Caribe têm ção social, a educação a distância, o boas intenções do desenvolvimento
experimentado uma das maiores ta- comércio eletrônico e, até mesmo, da Tecnologia da Informação e Co-
xas de crescimento de usuários de in- podemos ousar dizer que aumentou municação (TIC).
ternet em todo o mundo. Se olharmos a qualidade de vida dos cidadãos de A evolução de ameaças ciberné-
para a maioria dos países da América ambas as Américas e ao redor do ticas para os governos, o setor priva-
Central e do Sul, percebemos uma mundo. Desde os cybercafés até os do e a sociedade civil, e, acima de
taxa de crescimento de 1.000% e, smartphones, o uso da internet está tudo, o seu potencial para criminosos
ainda em dívida, uma taxa de cres- sendo modificado e massificado para e até mesmo terroristas, provocou
cimento de quase 1.400% na região todo tipo de usuários no hemisfério. uma reação dos desenvolvedores
do Caribe, enquanto outras regiões Especificamente no caso dos smat- de políticas estatais e outras partes
do mundo, como a Ásia e a Europa phones, a média do uso entre os usu- interessadas relevantes na Améri-
estão crescendo a taxas de 400% e ários é de 17%, enquanto a média ca Latina e Caribe, considerando a
700%, respectivamente.1 global de uso de smartphones é de necessidade de desenvolver novos
O aumento de usuários de inter- 27%, o que sugere que esse tipo de mecanismos, estratégias e políticas
net, e especialmente o benefício que tecnologia tem potencial de cresci- públicas para combater essas amea-
obtemos dessa ferramenta, tem pro- mento na região. Apesar de que uma ças. Por esse motivo, há cerca de dez
duzido um rápido aumento nas opor- maior penetração da internet tem tra- anos, os Estados-Membros da Or-
tunidades na região e transformou a zido muitos benefícios para a nossa ganização dos Estados Americanos
“Rede” em uma das plataformas que sociedade, esse desenvolvimento (OEA) decidiram começar a discutir,
tornou possível dar um grande salto também trouxe vulnerabilidades e no seio desses mecanismos, ações

1 Cf. http://www.coha.org/the-internet-and-latin-america-the-rise-of-the-virtual-world-and-emerging-cyber-security-issues.

72 Fonte
Fonte
Dezembro de 2012
que permitiriam à região estar mais sultado dessa estratégia, a maioria bernéticos, de qualquer forma não
bem preparada para responder a no- dos países das Américas começou a podemos dizer que com essas orga-
vos desafios cibernéticos. tomar consciência das necessidades nizações os riscos aos quais nossa
Uma das principais respostas de cada um em se tratando de segu- sociedade está exposta com o uso da
dos Estados-Membros da OEA foi a rança cibernética. Nós podemos ver internet vão desaparecer. Paradoxal-
aprovação, em 2004, da “Estratégia com muita satisfação como em 2004 mente, a maioria dos especialistas na
Integral Interamericana de Seguran- tínhamos formalmente constituído região reconhece que tais estruturas
ça Cibernética”, com uma aborda- apenas quatro CSIRTs. Em 2012, o implementadas dentro de um país, ou
gem multidimensional e multidisci- número que os Estados-Membros mesmo dentro de uma organização,
plinar para a criação de uma cultura têm relatado é de 17 CSIRTs, com são mais uma prova do grande nú-
de segurança cibernética no hemis- perspectivas de aumentar, especial- mero de riscos e vulnerabilidades aos
fério2. A adoção dessa “estratégia” é mente na região da América Central. quais os governos, empresas e utili-
talvez um dos êxitos políticos – e de É importante notar que não podemos zadores estão expostos. Por exemplo,
consensos – mais significativos que a padronizar e medir todas essas equi- a Symantec publicou no seu relatório
região tem em relação ao ciberespa- pes de resposta na região da mesma anual desse ano que “o número de
ço. É importante notar que até agora forma, dado que, pelo menos em ci- vulnerabilidades diminuiu 20 por
nenhuma outra região do mundo tem bernética, cada um dos nossos Esta- cento, (mas que) a quantidade de ata-
um instrumento dessa natureza, até dos teve (e terá) que viver processos ques maliciosos incrementou 81 por
a Europa ainda está desenvolvendo de maturidade e desenvolvimen- cento”.5 Esse resultado mostra que
uma estratégia cibernética para a re- to completamente diferentes. Por os esforços dos diferentes atores da
gião3. Em termos gerais, a estratégia exemplo, em um país como o Brasil, segurança cibernética estão fazendo
de segurança cibernética interameri- por um lado, nós podemos encontrar um bom trabalho, mas não podem
cana tem três objetivos principais: pelo menos 35 CSIRTs4 que estão es- baixar a guarda, porque mais amea-
palhadas por todo o país, abrangendo ças são detectadas e outras ameaças
a) a formação de um observa- várias áreas do Estado, desde o setor novas emergem, requerendo um es-
tório interamericano de aviso de governo, passando pela academia, forço contínuo da parte dos usuários.
para a divulgação rápida de in- até o setor financeiro. Essa presen- A fim de continuar com o posi-
formações sobre segurança ci- ça reflete claramente o alto nível de cionamento da segurança cibernética
bernética e a resposta a crises, avanço e de conscientização sobre a como um dos principais problemas
incidentes e ameaças à segu- importância de proteger as redes não da região, no dia 7 de março passado,
rança, para a qual é necessária apenas do governo, mas também do todos os Estados-Membros da OEA
a criação da Equipe de Respos- setor privado e da sociedade civil. reafirmaram seu compromisso de re-
ta para Incidentes de Seguri- Por outro lado, podemos ver que há forçar a sua capacidade para enfren-
dade Cibernética (CSIRTs, na outros países da região em que só nos tar essas ameaças novas e decidiram
sigla em inglês) em cada país últimos anos começaram a dar maior adotar (de maneira consensual) a de-
da região; prioridade a essa questão, e ainda claração “Reforço de Segurança Ci-
b) identificação e adoção de que haja um desejo, eles não têm bernética nas Américas”,6 por meio
normas técnicas para arquitetu- uma estrutura robusta para prevenir da qual se reafirma e se reconhece
ra da internet segura; e dar uma resposta eficaz aos inci- o impacto potencial das ameaças à
c) certificar que os Estados- dentes cibernéticos que enfrentamos segurança cibernética e as vulnera-
Membros da OEA tenham os todos os dias. bilidades para os Estados-Membros
instrumentos jurídicos necessá- É importante observar que, em- da OEA. Da mesma forma, todos
rios para proteger os usuários de bora a criação e o desenvolvimento os Estados-Membros do Comitê In-
internet e redes de informação. de CSIRTs permitam responder de teramericano contra o Terrorismo
Poderíamos dizer que, como re- forma mais eficaz aos incidentes ci- (Cicte) reconheceram a importância
2 Cf. http://oas.org/cyber/documents/AG-RES.%202004%20Cyber%20Security%20Strategy%20 (complete).pdf.
3 Cf. http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/cyber-security-strategies-paper.
4 Cf. http://www.cert.br/csirts/brazil/.
5 Cf. http://www.symantec.com/es/mx/about/news/release/article.jsp?prid=20120503_01.
6 Cf. http://oas.org/cyber/documents/Declaration.pdf

Dezembro de 2012
Fonte
Fonte 73
de promover a cooperação do setor requer. Esforços similares são con- nheceu a necessidade de estabelecer
público com o setor privado e acadê- duzidos através do Comitê Consulti- uma estratégia ou “Política Nacional
mico para fortalecer a salvaguarda e vo Permanente I (CCP) da Comissão de Segurança e Defesa Cibernéti-
proteção da infraestrutura crítica de Interamericana de Telecomunicações cas”.7 Sendo assim, delineou a cria-
informação e comunicações. Esse úl- (Citel), em que a discussão e as re- ção do Grupo de Resposta a Emer-
timo reconhecimento é fundamental, comendações promovem o debate e gências Cibernéticas da Colômbia
porque ele destaca que até certo pon- o desenvolvimento de novas tecno- (Colcert) e um Comando Conjunto
to todos os jogadores participantes logias, a fim de compreender como Cibernético (CCOC), o qual é res-
na internet têm uma responsabilida- os países da região estão criando ponsável pela defesa cibernética do
de partilhada e isso é essencial para quadros normativos para estimular a Estado colombiano. A parte mais
compartilhar e coordenar os vários infraestrutura e a inovação, de modo interessante deste trabalho é que,
esforços. que eles recebam novos serviços em além de reconhecer que há carência
Sem minimizar o grande valor um ambiente de segurança jurídica, em “institucionalidade” adequada,
que tem a Estratégia de 2004, bem concorrência saudável e condições centra-se na necessidade de reforçar
como a Declaração de 2012, gostaria tecnológicas em evolução. os instrumentos legislativos e de co-
de deixar claro que esses instrumen- Como mencionado acima, a operação internacional e promover a
tos são úteis, desde que cada um dos Secretaria do Cicte, através do seu pesquisa e a formação adequada para
nossos países assim os considerem. programa de segurança cibernéti- o país frente a essas ameaças.
Nos últimos anos, tornou-se muito ca, teve, talvez, um dos papéis mais Embora as estratégias nacionais
claro que sempre que exista vontade ativos no hemisfério em termos de sejam um veículo muito importante
será possível encontrar uma alterna- promoção desses recursos. Embora para promover a coordenação através
tiva para desenvolver as habilidades o desenvolvimento de CSIRTs na re- de um país, eu acho muito importan-
necessárias para cumprir os compro- gião tenha sido um dos pilares desse te notar que os riscos estão mudando
missos assumidos por cada um dos programa, o trabalho que vem se de- e precisam ser revistos, se necessário
Estados. É importante ter em mente senvolvendo na região deixou claro atualizando essas estratégias e polí-
que o primeiro passo é sempre a par- que, assim como era necessário ter ticas cibernéticas. Mais uma vez, é
te mais difícil de toda a estrada, mas uma estratégia regional sobre segu- claro que as estratégias ou políticas
uma vez que a ideia exista, haverá rança cibernética, é necessário que nacionais não são as soluções defi-
vários recursos e iniciativas para pro- os nossos países tenham políticas, nitivas para os nossos “problemas
mover e sustentar esses esforços. A estratégias ou uma visão completa- cibernéticos”, mas ajudam a ter uma
OEA é um desses recursos. Para dar mente clara sobre quais são os pas- boa definição dos papéis de cada um
um exemplo, na legislação, o “Grupo sos a serem seguidos nacionalmente. dos atores, e, acima de tudo, ter uma
de Crime Cibernético” (Remja) vem Portanto, nos últimos anos, a OEA/ melhor organização, característica
usando um modelo colaborativo, no Cicte vem atuando em alguns países, fundamental das pessoas que apre-
qual o conselho é dado a diferentes promovendo o desenvolvimento de sentam nossas maiores ameaças. Se
países na região, possibilitando o políticas e estratégias nacionais de observarmos alguns dos incidentes ci-
desenvolvimento e a adoção de le- segurança cibernética. Esse processo bernéticos ocorridos durante a última
gislações que permitam processar já foi iniciado em países como An- década, como, por exemplo, o cyber
os crimes cibernéticos de maneira tígua e Barbados, Colômbia, Chile, ataque à Estônia em abril de 20078, o
mais fácil, tanto nacional como in- México, Panamá e Trinidade e Toba- ataque à SK Communications na Co-
ternacionalmente. Além disso, esse go, entre outros. réia do Sul em julho do 20119 e o re-
grupo tem fornecido treinamento Tomando a Colômbia como um cente ataque aos bancos estaduniden-
para juízes, procuradores e policiais exemplo, mostramos como esse país, ses em setembro deste ano10, podemos
sobre como lidar com esses tipos de além de ver a necessidade de desen- facilmente mostrar que, para eles te-
crimes e conduzir o que o processo volver o seu CSIRT nacional, reco- rem sido capazes de existir, é essen-

7 Cf. http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM%3D&tabid=1260
8 Cf. http://www.guardian.co.uk/technology/2007/may/18/news.russia?INTCMP=ILCNETTXT3487.
9 Cf. http://www.commandfive.com/papers/C5_APT_SKHack.pdf.
10 Cf. http://newyork.newsday.com/business/pnc-bank-wells-fargo-u-s-bank-hacker-attacks-planned-for-weeks-experts-say-1.4051463.

74 Fonte
Fonte
Dezembro de 2012
cial ter uma organização e, acima de prevenção que os usuários estão re- pela dependência que a sociedade
tudo, um suporte intelectual e econô- cebendo diariamente. Além dessa, o tem desses serviços, os quais poderí-
mico que permita o seu acionar. Um Fórum Econômico Mundial (WEF) amos denominar como vitais.
dos grandes desafios que têm, tanto está promovendo uma iniciativa É claro que nossos Estados es-
os governos como o setor privado, é chamada “Parcerias para Resiliência tão começando a tomar as medidas
a habilidade de contra-atacar o desen- Cibernética”,12 o que é certamente adequadas para alcançar as metas
volvimento de agrupações dedicadas notável, considerando que essa or- de segurança cibernética descritos
a obstruir os fins de conectividade e, ganização é composta por líderes na Estratégia de 2004 e na Declara-
acima de tudo, evitar que os cidadãos importantes tanto do setor privado ção de 2012. Ao longo dos últimos
com qualidades e habilidades excep- quanto do Governo. anos, a maioria dos países do hemis-
cionais no uso da tecnologia acabem Poderíamos dizer que a América fério ocidental tem tomado medidas
do lado errado. Latina e o Caribe estão no momento concretas para melhorar as capaci-
É claro que, a fim de lidar com certo para realizar os ajustes neces- dades cibernéticas, seja estabele-
qualquer tipo de crime, é necessário sários para reforçar as infraestruturas cer um CSIRT, adotar uma política
contar com uma institucionalidade e críticas de informação de nossos pa- cibernética nacional, ou talvez uma
um quadro normativo adequado, per- íses. Todos os dias há mais serviços, avaliação modesta, mas importante,
mitindo uma ação correspondente. instituições e dispositivos que co- sobre as capacidades atuais. A inter-
Não obstante, mais importante ainda meçam a se interligar e, se não agir net tem sido um veículo importante
é desenvolver iniciativas para preve- como esperado, nós nos encontrare- para a inovação e o crescimento eco-
nir e antecipar as ameaças cibernéti- mos diante de uma grande rede que nômico, tendo um impacto positivo
cas. Para isso, é essencial investir no pode em breve se tornar uma bolha. em todos os cidadãos das Américas.
desenvolvimento de programas de O ciberespaço não está respeitando Para ser capaz de continuar aprovei-
treinamento para os usuários finais, os limites e barreiras da realidade tando as oportunidades que a inter-
na criação de mecanismos de avalia- virtual. Apenas alguns anos atrás, net apresenta, devemos nos manter
ção de vulnerabilidade, no trabalho pensávamos que os sistemas de con- na vanguarda da luta para proteger
coordenado com as empresas pres- trole industrial (ICS) eram talvez os as redes hemisféricas. Para isso, os
tadoras de serviços de internet e nas mais seguros e impenetráveis. No Estados-Membros da OEA devem
ferramentas para criar mecanismos entanto, a evidência de incidentes ci- estar atualizados nas mais recentes
eficazes de coordenação entre dife- bernéticos com esse tipo de infraes- ameaças cibernéticas e desenvolvi-
rentes atores. Em nosso hemisfério, trutura conseguiu chamar a atenção mentos relacionados. Temos de acei-
estamos mostrando que essas inicia- das empresas prestadoras de energia, tar que o caminho para redes seguras
tivas estão começando a dar resulta- serviços de água, transporte de mas- nunca termina. Nós não vamos estar
dos bastante alentadores. sa, entre muitas outras organizações completamente seguros, mesmo com
Na prevenção de usuários finais que permitem que nosso dia a dia as CSIRTs em vigor ou as estratégias
da internet, países como Argentina, seja completamente normal e calmo. nacionais aprovadas. Novas ameaças
Brasil, Canadá, Chile, Colômbia, Es- Dado o desenvolvimento de ameaças estão sempre surgindo, criando a ne-
tados Unidos, México, Uruguai e Ve- virtuais sofisticadas, bem como o cessidade de novas formações, novas
nezuela, para citar alguns, começa- crescente número de ameaças avan- políticas e partilha permanente de
ram a desenvolver campanhas, com çadas persistentes (APT), é evidente informações e melhores práticas. O
o apoio do setor privado, a fim de e necessário que os setores identifi- momento é perfeito para os governos
alertar os cidadãos de todas as idades cados como “infraestrutura crítica” fazerem um balanço das capacidades
os riscos e as ameaças que correm se tenham que prestar atenção especial existentes, coordenarem esforços e
não usarem as TICs de forma respon- aos problemas do ciberespaço, não avançarem juntos. A partir do tra-
sável. Uma proposta interessante a apenas pelo impacto financeiro que balho em conjunto e da reunião do
esse respeito é a iniciativa do “Pare. um incidente de grande escala pode- nosso conhecimento, os cidadãos e
Pense. Conecte-se”,11 a qual procura ria ter em cada uma dessas institui- as empresas vão colher os frutos de
unificar as diferentes mensagens de ções, porém, mais importantes ainda, nossos esforços coletivos.
11 Cf. http://stopthinkconnect.org/.
12 Cf. http://www.weforum.org/issues/partnering-cyber-resilience-pcr.

Dezembro de 2012
Fonte
Fonte 75
Alta disponibilidade de serviços de redes
baseada na utilização de cluster
Divulgação implementado por meio de software livre
Evandro Nicomedes Araujo
Mestre em Administração Pública com ênfase em Gestão da Informação pela
Fundação João Pinheiro (FJP) e especialista em Redes de Telecomunicações
pela UFMG. Atua como analista de suporte a redes de comunicação de dados
da Prodemge desde 1994. Professor dos cursos de Ciência da Computação e
de Gestão da Tecnologia da Informação no UNI-BH.

Divulgação
Alberone Rodrigues de Lima
Formado em Gestão da Tecnologia da Informação pelo Centro Universitário
de Belo Horizonte (UNI-BH). Gestor da área de TI do escritório Pinto & Soares
Advogados Associados.

RESUMO
O objetivo deste artigo é fazer um estudo prático (técnico) a respeito do comportamento da continuidade do fluxo de
transferência de dados executada por serviços de rede em uma solução de cluster de alta disponibilidade. Para se alcan-
çar o objetivo proposto, será implementado um cluster de alta disponibilidade com dois computadores e se disponibiliza-
rá um terceiro computador, que servirá como cliente para se executar as transferências de arquivos que estão disponíveis
nos servidores do cluster, usando protocolos de rede HTTP e FTP. Uma ferramenta de escuta de rede (sniffer/Wireshark)
será utilizada para se verificar o fluxo de informações durante a transferência dos arquivos, quando da comutação entre
as máquinas que compõem o cluster. Verificou-se que a solução de alta disponibilidade de cluster não apresentou conti-
nuidade no fluxo de informações, tendo em vista que, no caso de falha do servidor primário, o processo de transferência
de dados executada via HTTP ou FTP no momento da falha se perde e, após a falha, o processo de transferência deve ser
iniciado novamente, pelo controle do protocolo de transporte Transmission Control Protocol (TCP).

1. Introdução cluster o agrupamento de dois ou em aplicações para sondagem de pe-


mais computadores trabalhando em tróleo em águas profundas, na área
As soluções de cluster de alta conjunto, executando tarefas, apli- da medicina, biologia, processamen-
disponibilidade se mostram atraen- cações ou disponibilizando serviços, to de imagens, etc., tudo que exija
tes devido ao seu bom desempenho que se apresenta para o usuário como grande poder de processamento,
aliado ao seu baixo custo, principal- um único computador de forma indi- apresentando um custo bem inferior
mente para empresas com recursos vidual (PITANGA, 2003). se comparado ao uso de supercompu-
financeiros escassos. Denomina-se Clusters podem ser utilizados tadores. Podem ser de processamen-

76 Fonte
Fonte
Dezembro de 2012
to dedicado (cluster Beowulf1) e não tador cliente e outro servidor. artigo, entende-se como comutação
dedicado, em que o processamento é Especificamente, pretende-se: dos hosts do cluster a interrupção,
realizado de acordo com a ociosida- a) implementar um laboratório por quaisquer motivos e em qual-
de das estações de trabalho (cluster de informática composto por três quer nível, do funcionamento do
Openmosix2) (PITANGA, 2004). computadores, uma rede fast-ether- host principal do cluster, de forma
Segundo Pitanga (2004), as so- net3, que servirá de infraestrutura de que todos os serviços oferecidos por
luções de clusters de alta disponi- rede para o funcionamento de uma este host tenham que ser comutados
bilidade, balanceamento de carga e solução de cluster de alta disponibili- ou transferidos para o outro host que
de processamento distribuído têm dade, que disponibilizará dois servi- compõe a solução de cluster.
em suas características conceitos, ços de rede: hipertext transfer proco-
aplicação, implementação e vanta- lol (HTTP4) e file transfer protocolol 2. Metodologia
gens frente aos supercomputadores. (FTP5) configurados e implementa-
Algumas das características elenca- dos a partir de ferramentas livres; Quanto ao tipo de abordagem,
das são: baixo custo, flexibilidade, b) verificar (observar) o com- esta pesquisa pode ser compreendi-
escalabilidade, fácil manutenção e portamento do fluxo das informa- da como uma pesquisa de natureza
substituição de componentes, inde- ções transferidas por esses serviços experimental, de campo. Por acredi-
pendência de fornecedores. Em Pe- de rede, quando da comutação dos tar que a solução de clusters de alta
reira (2005), pode-se examinar uma hosts6 que fazem parte do cluster disponibilidade mantém o fluxo de
proposta de solução de cluster de alta de alta disponibilidade. Entende-se, informações dos arquivos transferi-
disponibilidade utilizando-se siste- aqui, como fluxo de informações, dos por serviços de redes, a exemplo
ma GNU/Linux e ferramentas livres todos os dados ou informações trans- de FTP, HTTP, funcionando sem ne-
Drbd e Heartbeat, o que corrobora a feridas fim a fim entre dois hosts de nhum grau de interrupção durante a
crescente utilização de software livre uma rede através do uso de qualquer comutação entre os hosts que fazem
para implementações de soluções de dos serviços elencados, no caso deste parte do cluster, optou-se por montar
cluster de alta disponibilidade. Im- estudo, a transferência entre uma es- um laboratório de informática para
portante ressaltar que há diferentes tação de trabalho/cliente e o cluster se fazer as observações e análises ne-
tipos de abordagem para soluções implementado. cessárias com a finalidade de corro-
de cluster, por exemplo: alta dispo- borar ou refutar tal hipótese.
nibilidade, balanceamento de carga e Cabe ainda ressaltar que se acre- Esses serviços de rede foram
processamento distribuído. Entretan- dita que não há interrupção do fluxo escolhidos estrategicamente, a par-
to, este artigo se deterá na solução de de informações desses serviços, caso tir do tipo de protocolo de rede que
cluster de alta disponibilidade con- haja uma interrupção de uma dos utilizam, e são capazes de promover
forme proposta por Pereira (2005). hosts que fazem parte do cluster de transferência de arquivos de tama-
Diante desse contexto, este arti- alta disponibilidade. Este artigo parte nhos maiores, possibilitando, dessa
go tem como objetivo geral fazer um da hipótese de que a alta disponibi- forma, condições para que se possa
estudo prático (técnico) a respeito lidade das soluções livres de cluster observar, através de ferramentas de
do comportamento da continuidade ocorre em todos os níveis inclusive escuta na rede Wireshark7 (sniffers),
de serviços de rede em uma solução no nível de protocolos de redes, não o comportamento do fluxo de infor-
de cluster de alta disponibilidade. ocasionando a descontinuidade do mações ou a transferência das infor-
Entende-se por continuidade de ser- fluxo de informações nas transferên- mações durante a comutação entre os
viços de rede a não interrupção do cias de dados entre hosts da rede e hosts que compõem o cluster.
fluxo de informação durante as trans- os hosts do cluster, quando da comu- As ferramentas de escuta de rede
ferências de dados entre um compu- tação do mesmo. Para efeitos deste são amplamente utilizadas com ob-

1 Cluster constituído de vários nós escravos e um nó controlador (PITANGA, 2004).


2 Projeto de código aberto baseado no Mosix (Multicomputer Operating System Unix) (PITANGA, 2004).
3 Especificação para rede ethernet com transmissão de dados de cem megabits (MORIMOTO, 2004).
4 Protocolo utilizado para acesso a páginas web (MORIMOTO, 2004).
5 Protocolo usado para transferir dados através de redes TCP/IP (MORIMOTO, 2004).
6 Máquinas que pertencem a uma rede.
7 Cf. http://www.wireshark.org/.

Dezembro de 2012
Fonte
Fonte 77
jetivo de se verificar o tráfego nas Vanta 16MB; - eth1 placa de rede Encore –
redes de computadores. Com elas é - placa mãe ASUS A7S-VM chipset Realtek 8139;
possível capturar todos os pacotes8 (som, vídeo e rede onboard); - sistema operacional Linux
que trafegam na rede, de forma a po- - placa de rede onboard Realtek Ubuntu Server 6.06.1 LTS.
der analisá-los, verificando, assim, o 8139 (nomeada no Linux como Configuração da máquina de onde
comportamento do fluxo de informa- eth0); se fizeram os testes:
ções nas redes. O Wireshark é uma - placa de rede Encore – chipset - Máquina cliente:
ferramenta de análise de protocolos Realtek 8139 (nomeada no Li- - processador AMD Sempron
de rede, conhecida anteriormente nux como eth1); 2600+;
pelo nome Ethereal. - sistema operacional Ubuntu - memória 512 DDR 266;
Para tal constatação, foi montado Server 6.06.1 LTS. - Ubuntu 7.10 Gutsy;
um laboratório de informática, com- - servidor secundário (passivo) - placa mãe Pcchips A31G;
posto por três computadores interli- do cluster (beta02) - vídeo onboard Silicon Integra-
gados por uma rede fast-ethernet: - endereço IP 192.168.1.2 (in- ted Systems [SiS] 661/741/760
Configuração das máquinas do terface eth0); PCI/AGP;
cluster: - endereço IP 10.0.0.2 (interfa- - eth0 placa de rede onboard Via-
- servidor primário (ativo) do ce eth1) link Heartbeat; Rhine ;
cluster (beta01); - processador AMD Athon 850 - eth1 Silicon Integrated Systems
- endereço IP 192.168.1.1 (in- Mhz; [SiS] 190 Gigabit Ethernet Adap-
terface eth09); - memória128 MB, sendo 8 ter;
- endereço IP 10.0.0.1 (interfa- compartilhada para vídeo; - endereço IP 192.168.1.3;
ce eth110) link11 Heartbeat; - disco rígido de 20GB Seagate; sistema operacional Linux Ubun-
- processador AMD Athon - placa de vídeo PCI Nvidia tu 7.10 Gutsy Gibbon.
850 Mhz; Vanta 16MB; - Configuração da rede:
- memória 128 MB, sendo 8 - placa mãe ASUS A7S-VM - switch13 10/100 Encore ENH
compartilhada para vídeo dis- (som, vídeo e rede onboard); 908-NWY;
co rígido de 20GB Seagate; - eth0 placa de rede onboard - cabos UTP14 categoria 515.
- placa de vídeo PCI Nvidia Realtek 8139; - Ferramentas de software utiliza-

Fonte: Elaborada pelos autores

Figura 1 - Sistema de alta disponibilidade com dois servidores sendo acessados por um cliente12

8 Informações enviadas em uma rede podem ser divididas em partes de tamanho definido, sendo cada parte um pacote (MORIMOTO, 2004).
9 Forma como é referenciada a primeira interface de rede no Linux.
10 Forma como é referenciada a segunda interface de rede no Linux.
11 Neste caso é canal de interligação entre os computadores.
12 Um dos servidores é primário (ativo) host beta01 e outro secundário (passivo) host beta02.
13 Dispositivo concentrador em que são ligados os computadores da rede.
14 Cabo par trançado sem blindagem. (MORIMOTO, 2004).
15 Qualificação quanto à qualidade e capacidade de transmissão de dados, podem ser usados em redes ethernet de dez e cem megabits. (MORIMOTO, 2004).

78 Fonte
Fonte
Dezembro de 2012
das: (mais detalhes serão expostos ter Beowulf, e de processamento não de problemas computacionais
adiante) dedicado, que é realizado de acordo em diversas áreas. Um cluster
- Heartbeat-2 2.0.2-5, instalado com a ociosidade das estações de tra- de processamento paralelo tem
no cluster; balho, nesse caso temos o exemplo como principal característica
- DRBD 0.7, instalado no clus- do Openmosix. a de que a cada novo processo
ter; Como exemplo de sucesso no inicializado, o cluster o divide
- Proftpd 1.2.10-27Ubuntu, ins- uso de cluster de alta disponibilida- entre os computadores. Utilizan-
talado no cluster; de, podemos citar o Google, que é do essa tecnologia, o tempo de
- Wireshark Version 0.99.6, uma ferramenta de busca na internet, término de processamento torna-
instalado na máquina cliente que mantém cluster de servidores em se consideravelmente menor do
(netuno); suas centrais. A solução que utilizam que se fosse realizado em um
- Ping, instalado na máquina agrega alta disponibilidade e balan- único computador.
cliente (netuno). ceamento de carga. c) cluster de balanceamento de
carga – tem como principal fi-
3. O conceito de cluster 4. Principais tipos de cluster nalidade distribuir de forma
equilibrada a carga de informa-
A tecnologia de cluster surgiu a) alta disponibilidade – carac- ções (tarefas) entre servidores
com o projeto Sage16 (Semi-Automa- teriza-se por um sistema com para que, no grupo de servido-
tic Ground Environment), construído funcionamento desejável de 24 res, um único servidor não fique
pela IBM17 (International Business horas por dia, sete dias por se- sobrecarregado e outros sem
Machines) para o Norad18 (Nort mana, garantindo a continuidade carga, tornando as respostas de
American Air Defense), começando dos serviços, ainda que haja fa- requisições mais rápidas e pro-
a operar em 1962, formado por di- lhas em um ou mais dispositivos, porcionando um melhor uso do
versos sistemas separados que tra- tanto em termos de hardware21 hardware.
balhavam de forma cooperativa com como de software22. Esse tipo de
intuito de monitorar invasões aéreas solução utiliza técnicas de repli- 5. Funções das ferramentas li-
no continente norte-americano. Em cação de arquivos e serviços, e vres DRBD, Heartbeat
1994, é criado o cluster Beowulf, redundância de hardware e sof-
desenvolvido pela Nasa19 (National tware. Segundo Pitanga (2004, Distributed Replicated Block
Aeronautics and Space Administra- p. 24), “um servidor de boa Device (DRBD) responsável pela
tion), construído com computadores qualidade apresenta uma dispo- replicação dos dados gravados no
comuns disponíveis no mercado (16 nibilidade de 99,5%, enquanto disco rígido entre os nós/nodos23 do
máquinas Intel 486 – 100 MHZ), uma solução através de clusters cluster. A sincronização dos dados é
atingindo a marca de 70 megaflops20, de computadores apresenta uma feita bit24 a bit, tudo que for escrito
com um valor total de construção de disponibilidade de 99,99%”. no dispositivo de bloco virtual que
US$ 40.000,00, ou seja, 10% do pre- b) cluster de alta performance de é criado pelo DRBD será escrito no
ço de uma máquina comercial com computação – envolve as condi- disco rígido do servidor primário/
desempenho equivalente (PITAN- ções de processamento paralelo ativo e servidor secundário/passivo.
GA, 2004). e processamento distribuído, A funcionalidade Heartbeat é
Os clusters podem ser de proces- provendo um processamento de responsável pela verificação do fun-
samento dedicado, a exemplo o clus- alto desempenho para solução cionamento dos nós/nodos e pela

16 Em português: ambiente terreno semiautomático.


17 Empresa norte-americana.
18 Em português: Departamento de Defesa Aérea Norte-Americano.
19 Em português: Administração Nacional Aeronáutica e Espacial.
20 Um milhão de operações de ponto flutuante por segundo.
21 Partes físicas do computador (placas, processador, disco rígido etc.).
22 Parte lógica, conjunto de instruções e dados (sistema operacional, programas etc.).
23 Forma como é identificado cada computador interligado ao cluster.
24 Dígito binário, menor unidade de informação (pode ter os valores 0 ou 1)(MORIMOTO, 2004).

Dezembro de 2012
Fonte
Fonte 79
comutação dos serviços entre os ofertados para o seguimento corpora- cursos financeiros.
servidores que compõem o cluster. tivo, voltados para aplicações de mis- Para algumas organizações,
Trabalha com envio de pacotes para são crítica, ainda existirá a lacuna da como por exemplo as que utilizam
verificação do funcionamento das redundância. O cluster de alta dispo- comércio eletrônico, um pequeno
máquinas do cluster. Conforme seu nibilidade pode prover a redundância tempo de indisponibilidade do siste-
desenvolvedor, Alan Robertson, o de hardware e software, garantindo ma pode afetar o negócio da empre-
mesmo “traz tecnologias e funções o funcionamento do serviço em caso sa, causando prejuízos financeiros
que se igualam ou mesmo superam de indisponibilidade do equipamen- significativos. Qualquer empresa
as de muitos sistemas comerciais de to, seja por falha do hardware ou do está sujeita a ser surpreendida com
HA (High Availability)25”. software (PITANGA, 2004). falhas de hardware ou de softwa-
Para demonstrar a vantagem do re, o que indisponibiliza acesso aos
6. Vantagens e desvantagens cluster de alta disponibilidade, pode- arquivos pelos usuários. Como pro-
de uma solução de cluster de alta se considerar a solução baseada em posta a esse tipo de falha, podemos
disponibilidade ferramentas livres e gratuitas, o que implementar uma solução de cluster
desobriga a organização da compra de alta disponibilidade, provendo
A um custo razoavelmente bai- de licenças de software. acesso aos arquivos vitais ao funcio-
xo (em torno 10% de uma solução Uma desvantagem da solução namento da empresa. Essa solução se
comercial), tanto na implementação de cluster está na necessidade de baseia na redundância de hardware e
quanto na sua manutenção, pode-se um link dedicado para o Heartbeat, reconfiguração via software.
prover um sistema de alta disponi- e uma falha neste link pode fazer Uma solução de sistema de ar-
bilidade de uma forma simples e de com que as duas máquinas do cluster quivos baseado em cluster, tanto o do
desempenho que pode ser compara- montem o sistema de arquivos30 do tipo Beowulf quanto o tipo Openmo-
do ao das soluções proprietárias, seja cluster, levando a uma inconsistência six, mostra-se ineficaz em razão da
ele um servidor de arquivos, banco dos dados. necessidade de um nó controlador,
de dados, servidor web, servidor de Outra desvantagem está na per- pois caso haja falha nesse nó/nodo,
e-mail, servidor de DHCP26, servi- da de dados de download31/upload32 o serviço ficará indisponível. Já a so-
dor de DNS27, Servidores de Pro- que estiverem sendo executados du- lução de cluster focada na alta dispo-
xy Caching28, aplicações de ERP29 rante uma falha do servidor primário nibilidade, baseada na utilização das
(Enterprise Resource Planning) etc. do cluster. ferramentas livres Heartbeat33 (ba-
Pode-se reaproveitar o hardware já O que é despendido com a área timento cardíaco) responsável pelo
existente na empresa, mesmo que se- de tecnologia da informação (TI) gerenciamento do cluster realizando
jam computadores heterogêneos, ou não pode ser visto como gasto, mas a verificação de funcionamento dos
comprando-se microcomputadores sim como investimento, e muitas nós/nodos e tomada de decisão (caso
genéricos, os quais possuem preços empresas estão mudando sua visão necessário) e DRBD (Distributed
mais acessíveis e são facilmente en- com relação a isso, uma vez que há Replicated Block Device) responsá-
contrados no mercado. As empresas uma grande dependência de sistemas vel pela replicação dos dados entre
podem até comprar um equipamen- computacionais. Nesse contexto, os nós/nodos primário e secundário,
to robusto para tarefas de missão a solução de cluster torna-se ainda ambos os nós/nodos podem respon-
crítica, mas caso não seja adquirido mais atraente, principalmente para der pelo nó primário, a falha de um
hardware específico, como produtos empresas que dispõem de poucos re- nó/nodo não compromete o funcio-

25 Em português: alta disponibilidade.


26 Servidor que fornece endereços IP (protocolo de internet) dinâmicos para outros computadores da rede (MORIMOTO, 2004).
27 DNS (Sistema de Nomes de Domínio) faz a tradução de nome para endereço IP (MORIMOTO, 2004).
28 Servidor que guarda as páginas acessadas em cache (no disco rígido do servidor) (MORIMOTO, 2004).
29 Sistema integrado de gestão empresarial (MORIMOTO, 2004).
30 “É um conjunto de estruturas lógicas e de rotinas, que permitem ao sistema operacional controlar o acesso ao disco rígido.” (MORIMOTO,
2004, p. 337).
21 Baixar arquivo através de uma rede ou internet (MORIMOTO, 2004).
32 Enviar arquivo através de uma rede ou internet.
33 Aplicativo do projeto High Availability Linux – http://www.linux-ha.org/pt_BR/HomePage_pt_BR.

80 Fonte
Fonte
Dezembro de 2012
namento do outro, de forma a garan-
tir a alta disponibilidade do sistema
de arquivos.
Nessa solução, a capacidade de
processamento é atribuída apenas a
uma das máquinas (cluster ativo/pas-
sivo), sendo que a segunda só será
acionada em caso de falha do servi-
dor principal (servidor primário); esse
processo é conhecido como failover e
o retorno à atividade do servidor que
sofreu a falha é conhecido como fail-
back; de acordo com a configuração
Fonte: Portal de Governo Eletrônico do Brasil
escolhida, o servidor primário que
Figura 2 - Sistema de alta disponibilidade com dois servidores sendo
sofreu falha assume a posição de se- acessados por quatro clientes
cundário, só retornando à condição
de servidor primário em caso de falha Hardware (computadores e ati- dem ora como primário, ora como
do outro servidor, processo conhe- vos de rede): secundário no caso de eventual falha/
cido como nice failback. Dentre as Dois computadores que serão indisponibilidade de um deles. Nesse
configurações necessárias, a solução o nó/nodo primário e o secundário, cenário, em caso de uma das máqui-
deve ser configurada de forma a ga- o switch que fará a interligação dos nas apresentar algum tipo de defeito,
rantir o sincronismo dos servidores, computadores do cluster de alta dis-
ela poderá ser substituída por outra,
para que a informação seja idêntica, ponibilidade com o restante da rede.
sem que o serviço fique indisponível
independente de qual máquina esteja Para tanto, cada um dos computa-
aos usuários. Pode-se ainda conside-
atendendo às requisições dos usuá- dores do cluster terão duas placas
rar a utilização de um terceiro com-
rios no momento (servidor primário de rede, ou seja, uma para o link do
putador para realização de backup
ou secundário). (SECRETARIA DE Heartbeat e a outra para interligação
dos dados guardados no cluster.
LOGÍSTICA E TECNOLOGIA DA com a rede onde a solução será pro-
INFORMAÇÃO, 2006). vida, sendo a rede, nessa proposta,
uma rede fast-ethernet, que fornece 7. Análise de resultados
O exemplo concreto da arquitetu-
ra de cluster proposta é mostrado na uma largura de banda de 100Mbps.
Com relação à interligação com a Abaixo, apresentamos partes
FIG. 2, em que os computadores dos
rede e o link do Heartbeat, visando que foram exportadas do arquivo
clientes têm acesso ininterrupto aos
à maior confiabilidade, deve-se con- gerado com a captura de pacotes re-
arquivos que são providos pelo ser-
siderar a utilização de redundância alizada com o Wireshark, durante o
vidor primário, e no caso de eventual
visando a aumentar a tolerância a download de um arquivo via HTTP.
falha deste computador, o servidor
falhas, principalmente do link do Após o início do download,
secundário assume a posição de ser-
Heartbeat que pode ser feito com um o servidor primário do cluster foi
vidor primário. Essa troca de papéis
é viabilizada pela ação do software canal fast-ethernet e um canal serial. desligado de forma abrupta e a má-
DRBD, responsável pela replicação Softwares, já descritos anterior- quina secundária assumiu a condi-
dos dados entre o servidor primário mente: ção de servidor primário do cluster,
e secundário. O Heartbeat é respon- DRBD, Heartbeat e o sistema passando a responder pelo endereço
sável pela monitoração do funciona- operacional Linux. IP 192.168.1.1. A distinção das má-
mento dos servidores e o acionamento Utilizando-se computadores quinas é demonstrada pelo endere-
de tarefas em caso de falha do cluster. comuns, podendo esses serem hete- ço mac address das placas de rede,
Os componentes envolvidos na rogêneos em termos de hardware, o beta01 (00:40:a7:04:0f:da) e beta02
solução de cluster de alta disponi- que torna a solução bastante flexível, (00:40:a7:04:9a:2d).
bilidade podem ser classificados em considerando o uso de dois computa- A captura de pacotes no Quadro
dois grupos: dores apenas, em que os dois respon- 1 demonstra a última comunicação

Dezembro de 2012
Fonte
Fonte 81
com o servidor que respondia pelo
nó/nodo primário do cluster (beta01),
endereço IP 192.168.1.1.
A captura de pacotes no Qua-
dro 2 demonstra o momento em que
máquina beta02 faz um broadcast na
rede (request), passando a responder
pelo nó/nodo primário do cluster.
No caso dos testes com downlo-
ad via FTP, o Quadro 3 demonstra,
respectivamente, a falha do servi-
dor primário beta01 (desligamento
forçado) e o início de atividade da
máquina beta02, iniciando os pro-
cedimentos para passar a responder
pelo cluster.
O processo de download com
a utilização do FTP falhou da mes-
ma forma que o download feito via
HTTP.
Nos testes realizados com o ping,
feito o desligamento do servidor pri-
mário do cluster durante execução do
ping (flag -c count), dos 50 pacotes
transmitidos, 44 foram recebidos e
seis foram perdidos, permitindo afir-
mar que o tempo de comutação do
cluster foi de seis segundos.
Observou-se que, apesar do
time do ping ser de seis segundos,
na análise de resultados percebeu-
se um time de 80.025205 segundos
no caso da captura de pacotes no
download via HTTP e 22.436709
segundos no download via FTP.
Acredita-se que as diferenças entre
os times se devem pelas diferenças
entre o funcionamento do protocolo
HTTP e FTP.

8. Considerações finais

Acredita-se que os objetivos


geral e específico tenham sido atin- dos dados realizada no laboratório formações, tendo em vista que no
gidos, considerando que o laborató- piloto, utilizando-se a ferramen- caso de falha do servidor primário,
rio foi montado e configurado com ta de análise de rede Wireshark, o processo de transferência de da-
sucesso, possibilitando a coleta de verificou-se que a solução de alta dos executada via HTTP ou FTP no
dados para posterior análise. disponibilidade de cluster não apre- momento da falha se perde, e após
Com base na análise da coleta sentou continuidade no fluxo de in- a falha o processo de transferência

82 Fonte
Fonte
Dezembro de 2012
deve ser iniciado novamente. um tempo de seis segundos, não laboratório, a máquina secundária
Concluiu-se ainda que o tem- se considerando a disponibilidade assumiu o endereço IP da máquina
po de comutação entre as máqui- de serviços dentro desse tempo, primária, respondendo às consul-
nas do cluster (servidor primário/ ou seja, em um tempo de seis se- tas endereçadas ao IP 192.168.1.1
secundário) pode ser reduzido para gundos, de acordo com os testes de (IP do cluster).

Referências

ALVARENGA, Fabiano Veira de. Uma proposta de aplicação plementação de técnicas de cluster para a criação de
para a solução do problema da árvore geradora de cus- laboratórios de Informática em instituições de ensi-
to mínimo com grupamentos utilizando cluster em Linux. no públicas voltada à programação nos cursos de En-
2007. Monografia (Especialização) – Departamento de genharia e Ciência da Computação. São Paulo, 2006.
Ciência da Computação da Universidade Federal de Lavras, World Congress on Computer Science, Engineering and
Lavras, 2007. Disponível em <http://www.ginux.ufla.br/files/ Technology Education. Disponível em: <http://www.
mono-FabianoAlvarenga.pdf>. Acesso em: 01 out. 2007. dca.ufrn.br/~rviegasjr/wccset2006.pdf>. Acesso em: 30
BECHER, Marcelo Renan. Montagem de um ambiente de clus- set. 2007.
ter usando software livre: uma abordagem aos clusters MORIMOTO, Carlos E. Dicionário de Termos Técnicos de
de alta disponibilidade. 2007. Disponível em <http://ist. Informática. 3. ed. Disponível em: <http://www.domi-
sociesc.com.br/cursos/bsi/TrabalhoDeDiplomacao/TD- niopublico.gov.br/pesquisa/DetalheObraForm.do?select_
MarceloBecher-2007-1.pdf>. Acesso em: 30 set. 2007. action=&co_obra=4783>. Acesso em: 21 dez. 2007.
BORTOLIN, Elcio Luiz Pagani. Alta Disponibilidade usando PEREIRA, Roberto Benedito de Oliveira. Alta Disponibilida-
CODA e LVS. 2005. Monografia (Especialização) – De- de em Sistemas GNU/LINUX utilizando as ferramentas
partamento de Ciência da Computação, Universidade Fe- Drbd, Heartbeat e Mon. 2005. Monografia (Especializa-
deral de Lavras, 2005. Disponível em: <http://www.ginux. ção em Administração em Redes Linux) Departamento de
ufla.br/files/mono-ElcioBortolin.pdf>. Acesso em: 30 set. Ciência da Computação, Universidade Federal de Lavras,
2007. Lavras, 2005. Disponível em: <http://www.ginux.ufla.br/
CALDEIRA, Bruno Pêsso. Alta Disponibilidade – replicação node/120>. Acesso em: 30 set. 2007.
de Dados Via Mysql, com Ênfase em Identificação e Re- PINTO, Hudson de Jesus Lamounier. Técnicas baseadas em
cuperação de Falhas. 2006. Monografia (Especialização) clusters para um melhor aproveitamento do poder compu-
– Departamento de Ciência da Computação, Universida- tacional. Formiga, 2006. Universidade de Formiga Depar-
de Federal de Lavras, 2006. Disponível em <http://www. tamento de Ciência da Computação Instituto de Ciências
ginux.ufla.br/files/mono-BrunoCaldeira.pdf>. Acesso em: Sociais Aplicadas e Exatas. Disponível em: <http://comp.
30 set. 2007. uniformg.edu.br/~hlamounier/artigo.pdf>. Acesso em: 13
DANTAS, Mario. Ambientes Distribuídos de Alto Desempenho: set. 2007.
clusters e grades Computacionais. [S.1:Portal Brasileiro PITANGA, Marcos. Computação em cluster: o estado da arte da
sobre computação de alto desempenho, 2006. Disponí- computação. Rio de Janeiro: Brasport Livros e Multimídia
vel em: <http://www.gridcomputing.com.br/tiki-index. Ltda., 2003.
php?page=Getting% 20Started>. Acesso em: 26 abr. 2006. ______. Construindo supercomputadores com Linux. 2. ed. Rio
FERREIRA, Roberta Ribeiro. Caracterização de desempenho de Janeiro: Brasport Livros e Multimídia Ltda., 2004.
de uma aplicação paralela do método dos elementos fi- SLTI – Secretaria de Logística e Tecnologia da Informação. Guia
nitos em ambientes heterogêneos de PCs. 2006. Disser- de Estruturação e Administração do Ambiente de Cluster e
tação (Mestrado em Ciência da Computação) – Instituto Grid. Brasília, 2006. Disponível em: <http://guialivre.go-
de Ciências Exatas, Departamento de Ciência da Com- vernoeletronico.gov.br/guiaonline/downloads/guiacluster.
putação, Universidade de Brasília, Brasília, 2006. Dispo- pdf>. Acesso em: 03 nov. 2007.
nível em: <http://monografias.cic.unb.br/dspace/bitstre- ZACARIAS, Daniel Constantino. Funcionamento de um clus-
am/123456789/81/1/Dissertacao_RobertaRibeiroFerreira. ter Linux. 2004. Disponível em: <http://www.vivaolinux.
pdf>. Acesso em: 13 set. 2007. com.br/artigos/verArtigo.php?codigo=733>. Acesso em:
JÚNIOR, Esli Pereira Faustino; FREITAS, Reinaldo Borges. 23 ago. 2007.
Construindo Supercomputadores com Linux: Cluster Beo- ZACARIAS, Daniel Constantino. Funcionamento de um
wulf. Goiânia: 2005. Monografia – Departamento de Tele- cluster Linux: parte II – a revanche. 2004. Disponível
comunicações, Cefet-GO, Goiânia, 2005. em: <http://www.vivaolinux.com.br/artigos/verArtigo.
JÚNIOR, Raimundo Viégas. Estudo de viabilidade da im- php?codigo=840>. Acesso em: 23 ago. 2007.

Dezembro de 2012
Fonte
Fonte 83
Reflexões sobre a segurança de
arquivos e de documentos arquivísticos:
impactos das novas tecnologias e das
mídias digitais
Divulgação

Leandro Ribeiro Negreiros


Mestre em Ciência da Informação, bibliotecário da Assembleia Legislativa do Estado
de Minas Gerais (ALMG), professor do curso de Arquivologia da Universidade Federal
de Minas Gerais (UFMG), coordenador e professor do curso de especialização em
Gestão de Arquivos e Documentos da Pontifícia Universidade Católica de Minas
Gerais (PUC-Minas).

Divulgação
Welder Antônio Silva
Mestre em Ciência da Informação, arquivista da ALMG, professor do curso de
Arquivologia da UFMG e professor do curso de especialização em Gestão de
Arquivos e Documentos da PUC-Minas.

RESUMO
Este artigo reflete de maneira crítica sobre as concepções e elementos necessários à segurança de arquivos e
de documentos arquivísticos (digitais e tradicionais), principalmente em função do uso das novas tecnologias
de informação e comunicação nas atividades de registro, gerenciamento, acesso e disseminação. Defende-se a
necessidade de os arquivistas entenderem o termo segurança em sentido amplo, e não restrito, que considera tão
somente a preservação dos suportes em que estão registrados os documentos. Aponta que as medidas de seguran-
ça em relação aos documentos arquivísticos devem ser entendidas e tratadas como ações e diretrizes proativas,
que envolvem todas as rotinas e procedimentos arquivísticos, tendo em vista a necessidade de proporcionar um
acesso confiável quando, onde e a quem for necessário.

1. Introdução: concepções e a) ação ou efeito de assegurar e rigos, de incertezas, de danos


pontos de vista garantir alguma coisa: estado em e de riscos;
que a satisfação de necessidades c) certeza, infalibilidade, con-
Se procurarmos a definição de e desejos se encontra garantida; vicção, evidência: estado, con-
segurança em dicionários, podemos b) situação em que não há nada dição ou caráter daquilo que
destacar quatro acepções (HOUAISS; a temer: estado, qualidade ou é inabalável, ou que se pode
VILLAR, 2009; FERREIRA, 1999): condição de estar livre de pe- confiar;

84 Fonte
Fonte
Dezembro de 2012
d) conjunto de processos, dispo- ficam-se, ordenam-se, avaliam-se, não provocam incidentes ou ações
sitivos e medidas de precaução transferem-se, recolhem-se, acondi- negativas (riscos), uma vez que ne-
que asseguram o sucesso de um cionam-se, armazenam-se, preser- cessitam de agentes causadores ou
empreendimento, do funciona- vam-se e se descrevem os conjuntos de condições favoráveis (ameaças)
mento de algo ou do cumpri- documentais arquivísticos com o ob- para tanto. Dessa forma, medidas de
mento de algum plano. jetivo maior de proporcionar acesso segurança que protejam a institui-
confiável, ou seja, seguro e garanti- ção, o serviço de arquivo, as rotinas/
É importante destacar que, na do, quando, onde e a quem for neces- procedimentos, os sistemas de ge-
maioria das vezes, fala-se de segu- sário. renciamento e, por fim, os conjuntos
rança em Arquivologia quando se Todavia, não se pode negar que documentais arquivísticos (todos do-
pretende discutir e apresentar ações a segurança dos arquivos e documen- tados de vulnerabilidades e sujeitos a
que visem à preservação e à con- tos arquivísticos merece, atualmente, ameaças) devem ser previstas e im-
servação dos documentos. Todavia, ainda mais visibilidade e importân- plementadas (FIG. 1).
medidas de segurança que contem- cia, tendo em vista a ascensão do uso A garantia de qualidade arqui-
plem essas quatro acepções devem das novas tecnologias de informação vística, com o advento das novas
ser consideradas na execução de e comunicação nas atividades de tecnologias e das mídias digitais,
todas as rotinas e procedimentos gerenciamento, utilização e acesso. está sujeita a vários riscos, que são
arquivísticos, e não estritamente na- Além disso, é preciso destacar tam- proporcionados por diversos fatores,
quelas cujo foco é a preservação dos bém, como causa dessa projeção, o agentes e condições, ora provenien-
suportes que compõem os conjuntos surgimento dos documentos digitais, tes do ambiente interno (serviço de
documentais. como forma de registro e fonte de in- arquivo e/ou instituição); ora prove-
Os arquivistas precisam enten- formação. Tais circunstâncias trazem nientes do ambiente externo; ora re-
der a segurança em sentido amplo, e à tona a necessidade de se garantir lacionados aos aspectos humanos ou
não restrito, ou seja, contemplando a funcionabilidade e a utilidade dos tecnológicos; ora aos processos, roti-
a proteção, a estabilidade, a invio- documentos arquivísticos diante dos nas e procedimentos arquivísticos; e,
labilidade, a cautela, a prudência, o riscos, ameaças e vulnerabilidades é claro, ora relacionados aos próprios
compromisso, a certeza, a eficácia, que apresentam os sistemas infor- conjuntos documentais.
a eficiência, a confiança e a garantia matizados, as mídias digitais e seus Como se percebe, sempre have-
de resultados satisfatórios em todos usuários. rá riscos, que devem, na medida do
os serviços, rotinas e procedimentos As ameaças são concebidas, nes- possível, ser previstos e medidas de
que compõem as três fases do ciclo te artigo, como os agentes causado- segurança precisam ser planejadas e
de vida dos documentos (corrente, res ou as condições favoráveis (inter- implementadas. Se antes do advento
intermediária e permanente), seja no nas ou externas) capazes de explorar das novas tecnologias e das mídias
contexto tradicional ou no digital. as vulnerabilidades, gerando riscos. digitais, as ameaças e vulnerabili-
É necessário que todas as rotinas Por vulnerabilidades, compreen- dades precisavam ser mapeadas e
e procedimentos arquivísticos sejam dem-se as fragilidades presentes administradas, agora, diante de tais
executados mediante diretrizes e ou associadas aos serviços, rotinas, fenômenos, merecem cada vez mais
orientações que não só exprimam se- procedimentos, sistemas e conjun- esforços.
gurança stricto sensu aos suportes dos tos documentais arquivísticos. E por
documentos, sejam eles tradicionais riscos, entendem-se as possibilidades 2. Elementos que sustentam a
ou digitais, mas, e principalmente, ao de exploração das vulnerabilidades segurança de documentos arqui-
objetivo maior de um arquivo, que é pelas ameaças, podendo causar al- vísticos
a disponibilização e o acesso garanti- gum dano ou incerteza e comprome-
do aos documentos arquivísticos e às ter o sucesso de um empreendimen- Para a Arquivologia, é importan-
informações neles registradas. to, do funcionamento de algo ou do te determinar alguns elementos que
Produzem-se, protocolam-se, cumprimento de algum plano1. asseguram a existência e a eficácia
controlam-se a tramitação, classi- As vulnerabilidades por si só do documento arquivístico. De ma-

1 Sêmola (2003) trabalha os conceitos de vulnerabilidade, ameaça e risco ao abordar a segurança da informação direcionada aos gestores de tecnologia da
informação e considerando uma visão executiva. Neste artigo, procurou-se utilizar esses termos adaptados à temática da segurança no bojo da Arquivologia.

Dezembro de 2012
Fonte
Fonte 85
Fonte: Elaborada pelos autores

Figura 1 – Ameaças, vulnerabilidades, riscos e medidas de segurança

neira geral, a teoria arquivística apre- cumentos que se encontram comple- ação. Esse atributo “existe quando
senta quatro elementos que orientam tos e que não sofreram nenhum tipo um documento arquivístico pode
a discussão sobre a segurança dos de corrupção ou alteração não auto- sustentar o fato ao qual se refere, e
documentos arquivísticos: autenti- rizada nem documentada” (BRASIL, é estabelecido pelo exame da com-
cidade, integridade, confiabilidade e 2009, p. 17). Para que as ações sejam pleteza da forma do documento e do
acessibilidade. representadas de maneira efetiva pe- grau de controle exercido no proces-
A autenticidade, segundo a de- los documentos, é preciso que eles so de sua criação” (BRASIL, 2009, p.
finição da Câmara Técnica de Do- estejam completos e que não tenham 9). A definição da CTDE cria um elo
cumentos Eletrônicos (CTDE), é sido alterados. Esse elemento possui teórico entre o termo confiabilidade e
a “credibilidade de um documento estreita relação com a autenticidade, os demais explicitados (autenticida-
enquanto documento, isto é, a qua- pois a inexistência de um compro- de e integridade). Além disso, aponta
lidade de um documento ser o que mete a percepção do outro. O docu- a relação coerente e necessária para a
diz ser e que está livre de adulteração mento arquivístico original, ou sua garantia de segurança do documento
ou qualquer outro tipo de corrupção” reprodução autorizada e validada, arquivístico.
(BRASIL, 2009, p. 5). De acordo é, portanto, a melhor evidência da A confiabilidade também pode
com Rondinelli (2005), a autentici- ação. Um documento arquivístico ín- ser concebida como sinônimo de fi-
dade está ligada ao processo de pro- tegro é, portanto, aquele que: possui dedignidade; assim, um documento
dução, utilização e preservação de todos os elementos que lhe conferem arquivístico confiável ou fidedig-
documentos. Assim, os documentos autenticidade; é caracterizado por ca- no, independente de seu suporte, é
arquivísticos são produto de rotinas tegoria, espécie e tipo bem definidos; aquele digno de fé e confiança e, por
processuais que visam à execução tem grau informacional adequado; isso, é possível apontá-lo como a
de alguma atividade, sendo autên- define todas as relações com seus melhor evidência de uma ação. Não
ticos quando criados e conservados anexos; e não foi alterado, a não ser se pode negar que a confiabilidade
de acordo com procedimentos regu- de maneira legítima, ao longo de sua do documento arquivístico é ine-
lares, que podem ser comprovados existência. rente ao seu produtor e aos demais
em espaço e tempo determinados, a A confiabilidade é um atribu- envolvidos nos seus processos de
partir de rotinas estabelecidas. to do documento arquivístico que o utilização e preservação. Por isso,
A integridade é o “estado dos do- torna o melhor representante de uma fica clara a importância da ética e da

86 Fonte
Fonte
Dezembro de 2012
imparcialidade nesses momentos. manutenção de segurança dos ar- ware e ao software utilizados na
A acessibilidade, por sua vez, quivos, de suas rotinas/procedimen- produção do documento. Tanto o
é traduzida como a “facilidade no tos e dos documentos arquivísticos equipamento quanto os aplicativos
acesso ao conteúdo e ao significa- tradicionais tornou-se ainda mais utilizados no processo de criação
do de um objeto digital” (BRASIL, complexa com a utilização de docu- documental devem ser mantidos
2009, p. 3). Embora seja notória a mentos digitais. À Arquivologia não para a promoção do acesso e con-
importância do acesso como fun- é fundamental determinar em qual sulta. Ainda que não seja o mesmo
ção da Arquivologia, a acessibilida- suporte está o documento, e sim, por hardware ou software, um esforço
de, nesse contexto, mais que isso, outro lado, se as características que constante deve ser efetuado para que
é a preocupação com a garantia de o consolidam como um documento o acesso ao documento não seja pre-
disponibilidade da informação re- arquivístico foram mantidas. Assim, judicado. O estabelecimento de uma
gistrada no documento arquivístico. o documento arquivístico em supor- política de segurança de documen-
Importa também no cuidado com te digital pode manter as mesmas tos arquivísticos digitais deve ser
os registros dos contextos adminis- características arquivísticas que os uma iniciativa para todas as institui-
trativo, fiscal, legal, tecnológico, de documentos tradicionais. A diferença ções que decidem realizar a gestão
preservação e outros, como garantia está no suporte, nas formas de acesso de documentos digitais. A atividade
para o entendimento da informação e e na preservação. O grande desafio, de transferência de mídia, ou seja,
como facilitador da compreensão do portanto, é garantir que o documen- a substituição de suportes digitais
documento arquivístico na estrutura to digital seja efetivamente um do- defasados por outros que suportem
organizacional à qual pertence. Em- cumento arquivístico e acessível ao o mesmo documento e promovam
bora a acessibilidade seja mais evi- longo do tempo. o seu acesso de forma semelhante à
dente em documentos digitais, esse Há, no entanto, uma série de do momento de sua criação deve ser
aspecto deve também contemplar os questões que envolvem a segurança extremamente calculada e planeja-
documentos tradicionais. desses documentos arquivísticos ele- da, dado o seu alto custo.
A confluência desses quatro ele- trônicos, ou seja, que dizem respeito A realização de cópias de segu-
mentos será capaz de garantir segu- à garantia de que estejam acessíveis rança é também mais um cuidado
rança administrativa, fiscal, legal e ao longo do tempo. Até o surgimento que o surgimento dos documentos
probatória ao documento arquivís- do suporte digital, estando o suporte digitais impôs às instituições. Comu-
tico. Eles devem ser considerados, físico preservado, assim também es- mente conhecidas como backup, as
mantidos e tratados no planejamento taria a informação. Com o complexo cópias de segurança são reproduções
e na execução dos serviços, rotinas de segurança que se formou a partir feitas com vistas a preservar as infor-
e procedimentos arquivísticos, inde- do surgimento dos documentos digi- mações no caso de perda ou destrui-
pendentemente da fase do ciclo de tais, outras considerações merecem ção do original.
vida em que se encontram os docu- ser feitas. Acrescenta-se a esses desafios
mentos. Primeiramente, o documento de segurança, o empreendimento de
Sempre haverá riscos humanos, arquivístico digital tem que preser- manutenção das características dos
tecnológicos ou processuais. Cabe var seu conteúdo, ou seja, a infor- documentos arquivísticos. No con-
ao profissional da informação pla- mação arquivística nele inscrita. No texto eletrônico, seja ele um sistema
nejar, agir, avaliar e, como em um momento de sua criação, o produtor informatizado de gestão arquivística
ciclo, reiniciar todas essas ações. A escolhe o melhor formato e estrutura de documentos, ou até mesmo um
segurança é, portanto, algo a se ad- para representá-lo e, portanto, essas servidor, o documento tem que man-
ministrar, tanto em relação aos docu- determinações devem ser mantidas ter em longo prazo as suas proprieda-
mentos digitais quanto aos conven- em curto, médio e longo prazos. des. Além disso, os quatro elementos
cionais. Qualquer variação do formato e apresentados na seção anterior tam-
da estrutura adotadas invalidaria o bém devem ser conservados.
3. Documentos arquivísticos documento arquivístico digital em Todas as iniciativas de preser-
digitais e a segurança questão. vação e de segurança, dado o atual
Outro aspecto importante de contexto jurídico, esforçam-se para
A já complicada atividade de segurança está relacionado ao hard- manter os documentos digitais pre-

Dezembro de 2012
Fonte
Fonte 87
servados para consultas futuras, mas impactos causados pelos riscos, d) as medidas de segurança são
o país ainda carece de legislação que caso seja inevitável a possibili- investimentos e não despesas;
reconheça o documento arquivísti- dade de exploração das vulnera- e) as medidas de segurança devem
co eletrônico como um documento bilidades pelas ameaças; ser tratadas como processos (ações
original. e) visem a manter as práticas, coordenadas e sistematizadas), e
procedimentos e mecanismos não como um projeto pontual;
4. Considerações finais implementados. f) os problemas de segurança de-
vem ser discutidos no nível es-
Diante das concepções, argu- Também se entende que é ne- tratégico da estrutura hierárquica
mentos e pontos de vista apresenta- cessário modificar alguns compor- institucional, e não somente nos
dos, acredita-se que as medidas de tamentos institucionais e profissio- níveis táticos e operacionais;
segurança, sejam elas relacionadas à nais relacionados à segurança dos g) as medidas de seguran-
instituição, ao serviço de arquivo, às arquivos e documentos arquivísticos, ça devem ser dinâmicas e não
rotinas/procedimentos, aos sistemas a saber: estáticas.
de gerenciamento ou aos conjuntos
documentais, devem compreender a) as medidas de segurança de- Em síntese, defende-se que as
diretrizes, orientações, práticas, pro- vem ser ações corporativas, ho- medidas de segurança, junto aos do-
cedimentos e mecanismos que: lísticas e globais, envolvendo cumentos arquivísticos (tradicionais
todas as rotinas e procedimen- ou digitais), devem ser entendidas e
a) identifiquem e monitorem as tos arquivísticos, e não somente tratadas como ações e diretrizes pro-
vulnerabilidades e as condições aquelas relacionadas à preserva- ativas e preventivas, que assegurem
e/ou agentes que representam ção dos suportes documentais; que todas as rotinas e procedimentos
ameaças; b) os arquivistas devem estar arquivísticos a serem executados es-
b) reduzam, eliminem, corrijam inseridos nas discussões sobre tejam livres de perigos, incertezas,
ou adaptem as vulnerabilidades segurança, pois esta não é área danos e riscos. Tais medidas objeti-
e ameaças; exclusiva da Tecnologia da In- vam garantir infalibilidade e suces-
c) impeçam que as ameaças ex- formação; so, tendo em vista a necessidade de
plorem as vulnerabilidades pre- c) os planos de segurança devem proporcionar um acesso confiável,
sentes e mapeadas; ser proativos e não reativos, de- eficiente, eficaz e autêntico, quando,
d) limitem ou minimizem os fensivos e/ou paliativos; onde e para quem for necessário.

Referências

BRASIL. Conselho Nacional de Arquivos. Câmara Técnica de HOUAISS, A.; VILLAR, M. Dicionário Houaiss da língua por-
Documentos Eletrônicos (CTDE). Glossário. 2009. Dispo- tuguesa. Rio de Janeiro: Objetiva, 2009.
nível em: <http://www.documentoseletronicos.arquivona- RONDINELLI, R. C. Gerenciamento arquivístico de documen-
cional.gov.br/media/2008ctdeglossariov5.pdf>. Acesso em: tos eletrônicos: uma abordagem teórica da diplomática ar-
30 ago. 2012. quivística contemporânea. Rio de Janeiro: FGV, 2005
FERREIRA, A. B. H. Novo Aurélio Século XXI: o dicionário da SÊMOLA, M. Gestão da segurança da informação: visão exe-
língua portuguesa. 3. ed. totalmente revista e ampliada. Rio cutiva da segurança da informação: aplicada ao Security
de Janeiro: Nova Fronteira, 1999. Officer. Rio de Janeiro: Campus, 2003.

88 Fonte
Fonte
Dezembro de 2012
A segurança da informação
documental nos órgãos públicos

Gabriel Sales
Nelson Spangler de Andrade
Engenheiro, mestre em Administração Pública, Sistemas de Informação e
Gestão pela Fundação João Pinheiro/Departamento de Ciência da Computação
da Universidade Federal de Minas Gerais (FJP/DCC-UFMG). MBA pela FJP em
Gestão Empresarial. Analista de Conteúdo Digital na Companhia de Tecnologia
da Informação do Estado de Minas Gerais (Prodemge).
Gabriel Sales

Sândalo Salgado Ribeiro


Especialista em Gestão de Projetos Educacionais pelo Centro Universitário
UNA. Analista de Conteúdo Digital na Prodemge. Bibliotecário,
CRB6 – n° 2.656.

RESUMO
Com o avanço exponencial da Tecnologia da Informação e Comunicação, as organizações devem intensificar os cuida-
dos para manter íntegro, disponível e seguro o seu ativo de informações. O artigo aborda a segurança dos documentos
criados e geridos pelas organizações, com o foco no setor público, contrapondo seus principais suportes, o papel e a
mídia eletrônica. A adoção de acervos de documentos digitais, com claras vantagens com relação aos acervos em papel,
traz desafios com relação à segurança. A tecnologia permite a disseminação de grandes volumes de informações em
diferentes suportes digitais. Falhas e vulnerabilidades, além da obsolescência, devem ser tratadas e corrigidas. Aspectos
legais referentes à documentação eletrônica também são considerados.

1. O valor da informação nas ameaças e vulnerabilidades na orga- Encontrar e disponibilizar in-


organizações nização. formações: toda organização
Em decorrência disso, um am- tem informações que precisa-
Quais são as informações vitais biente para a prevenção contra falhas rão ser acessadas a partir de um
para uma organização executar seus e crimes nos meios informacionais ponto qualquer, para poucas ou
processos de negócios sem gerar im- deve ser instalado com a preocu- muitas pessoas, como: metas
pactos e prejuízos? Onde essas in- pação de evitá-los e na medida do empresariais, volumes de ven-
formações são armazenadas? Como possível não permitir a sua manifes- das, políticas empresariais, da-
podem ser acessadas? Estão seguras? tação. A segurança da informação dos de inventários, orçamentos
Estão íntegras? Respondendo a essas tornou-se um processo indispensável e planos de curto, médio e longo
indagações, serão determinadas as e rotineiro em todas as empresas. Se- prazos. Alguns tipos de infor-
áreas críticas que apresentam riscos, gundo Jamil (2001, p. 43): mações, como linhas mestras da

Dezembro de 2012
Fonte
Fonte 89
administração da empresa, rara- vos e questões legais, preservação da a) a dificuldade crescente em
mente se alteram. Outras como história e demonstração da transpa- manter grandes acervos íntegros,
dados de vendas mudam o tem- rência das instituições. A quase to- organizados, seguros e dispo-
po todo, sendo constantemen- talidade desses acervos ainda utiliza níveis;
te atualizadas. Tudo isto pode o papel como suporte para os docu- b) a escassez de recursos huma-
afetar não só a forma como as mentos. nos capacitados em administrar
pessoas trabalham, mas também Essa mesma administração públi- esses acervos;
a qualidade do trabalho que elas ca tem investido no uso das tecnolo- c) a precariedade, inadequação
executam. gias de informação para racionalizar ou falta de edificações para abri-
seus processos e prestar serviços para gar os acervos;
Essa afirmação ilustra a impor- a sociedade. Entretanto, o uso do fer- d) o custo crescente de armazena-
tância que toda empresa deve ter com ramental que a tecnologia de infor- mento e manutenção de centenas
a segurança da informação, pois a in- mação e comunicação dispõe para a ou milhares de metros lineares de
formação disponível é sempre o foco gestão de documentos públicos ainda papel;
por parte de alguém com segundas in- é incipiente. e) as ameaças naturais ou artifi-
tenções, por constituir-se em um dos Apesar de alguns órgãos e insti- ciais que afetam a conservação e
ativos principais das organizações e tuições arquivísticas públicas mante- a durabilidade do papel (fatores
por conter um alto valor agregado. rem seus acervos seguros, íntegros e físicos, biológicos e climáticos,
Entre os diversos tipos de inciden- organizados, observa-se a dificuldade sinistros, fenômenos da natureza);
tes contra a segurança da informação, para convencer os responsáveis pelos f) os riscos de perdas documen-
podem-se destacar: a quebra de sigilo; diversos setores públicos a adotarem tais por causas humanas como
a invasão de privacidade; o roubo de políticas para investimentos nos ór- acidentes, negligência, roubo,
informações de acervos físicos e digi- gãos que possuem acervos documen- extravio, sabotagem, atentados,
tais, por meio de tecnologias móveis, tais, definindo medidas para mitigar guerras;
e a indisponibilidade de diversos tipos os riscos e as deficiências de segu- g) a degradação natural do papel
de serviços essenciais. Todas as em- rança proporcionada pelo acesso aos (FIG. 1), considerando adicional-
presas estão suscetíveis a essas ocor- documentos. mente o custo para a restauração
rências, uma vez que possuem em seus O uso do papel como suporte de documentos, um processo
ativos o principal alvo dessas ações: a para os arquivos documentais gerados quase artesanal;
informação. e geridos pelos órgãos públicos vem h) a dificuldade e a demora de
enfrentando restrições e problemas de acesso aos documentos por parte
2. O suporte papel várias ordens. dos interessados;

O papel tem sido o principal


suporte para armazenar e divul-
gar criações e informações geradas
pela humanidade. Nas últimas dé-
cadas, entretanto, o suporte digital
tem se colocado como alternativa
mais evoluída e vantajosa na maioria
dos nichos em que o papel era
dominante.
A administração pública no Bra-
sil acumula centenas de milhões de
páginas documentais que retratam as
ações das diversas esferas de gover-
no. São documentos necessários para Fonte: Acervo dos autores, 2012
estabelecimento de valor probatório,
decisões em processos administrati- Figura 1 – A degradação de documentos em papel

90 Fonte
Fonte
Dezembro de 2012
i) o prejuízo ao meio ambiente rando significativamente. A maioria e custo decrescente.
devido à destruição da cober- das indústrias voltadas para equipa- As mídias digitais são densas.
tura vegetal para produção de mentos e insumos de impressão está Elas podem armazenar em suportes,
celulose. se redirecionando, até por sobrevi- cada vez mais reduzidos e sofisti-
vência, e dando cada vez mais aten- cados, quantidades de informação
Para eliminar ou minimizar es- ção ao suporte digital. extremamente maiores que aquelas
ses fatores, uma série de medidas Os documentos digitais, como possíveis na mídia papel. Exemplos
de segurança teria que ser definida e qualquer arquivo digital, são ca- didáticos como o armazenamento de
adotada. Entretanto, o que se observa deias de código binário (compostas todas as dezenas de volumes impres-
na maioria dos casos é que essas me- de zeros e uns) capazes de serem re- sos de uma grande enciclopédia em
didas não são implantadas ou, quan- conhecidos por computadores. Para um único DVD já não representam a
do implantadas, não são satisfatórias serem compreendidos pelas pessoas, realidade. Em um dispositivo portátil
e continuadas. necessitam de uma interface tecno- de memória flash, por exemplo, se
Enfim, se a segurança de acervos lógica baseada principalmente em pode armazenar uma biblioteca in-
em papel é precária e os acervos não ferramentas de software, hardware e teira. Fato é que já não se imprimem
param de crescer, por que não pro- comunicação. mais enciclopédias, pois são muito
curar alternativas? O suporte digital De forma simplificada, essa in- mais caras que as digitais, mais di-
traz uma série de vantagens com re- terface é composta de: fíceis de pesquisar e as pessoas não
lação ao papel, considerando o po- têm onde armazená-las.
tencial da Tecnologia da Informação a) programas de computador Por um lado, a rapidez e a faci-
e Comunicação (TIC). As facilidades capazes de gerar, interpretar e lidade de acesso, por meio da web, e
de pesquisa e acesso por meio de tornar disponível uma extensa a capacidade de armazenar enormes
sistemas de informação eletrônicos gama de formatos de arquivos volumes de informação em espaços
permitem que documentos digitais binários que representam textos, reduzidos, impraticáveis para acer-
possam ser acessados por vários usu- gráficos, imagens, áudio e vídeo, vos em papel, são grandes estímulos
ários simultaneamente, sem restri- entre outros; para o uso da documentação digital,
ções geográficas e com a segurança b) computadores para executar notadamente em uma sociedade que
necessária para cada caso. os programas; gera e acessa informações continua-
c) dispositivos de armazena- damente.
3. O suporte digital mento eletrônico para gravar e Por outro, um dos maiores de-
manter disponíveis os arquivos safios de segurança dos documen-
O avanço exponencial da tecno- digitais; tos digitais é inerente à sua própria
logia da informação e comunicação d) redes de comunicação de da- preservação. Documentos de arqui-
pode ter a princípio contribuído para dos para disseminar as informa- vo, sejam analógicos (como papel
a disseminação do uso do papel. A ções para vários locais, simultâ- e microfilme) ou digitais, devem
disponibilidade de acesso à informa- nea e concorrentemente. manter-se íntegros e disponíveis por
ção digital, aliada à facilidade e ao décadas. O papel, apesar das várias
barateamento dos custos de impres- O suporte para os documen- ameaças que enfrenta, pode corres-
soras, tornou o ato da impressão em tos digitais é físico como o papel, ponder razoavelmente, se conve-
papel quase imperceptível. Imprime- mas diferenciado e evolutivo. São nientemente tratado, à expectativa de
se, reimprime-se e copia-se a um mídias como fitas magnéticas, dis- durabilidade.
simples toque de mouse ou teclado. cos magnéticos, discos óticos (CD, Como foi dito, para terem aces-
Mesmo nas grandes instalações de DVD, Blu-Ray) e, mais recentes, so às informações em meio digital,
impressão corporativas, um enorme dispositivos de memória flash. Di- as pessoas necessitam de artefatos
volume de informações digitais é re- ferentemente do papel, as tecno- tecnológicos de software, hardware
passado para centenas de milhares de logias digitais evoluem e algumas e comunicação que estão em contí-
folhas de papel, em muitos casos sem são substituídas por outras. Novas nua evolução. Por ironia, a evolução
necessidade. alternativas são desenvolvidas rapi- exponencial da TIC gera a rápida
Esse quadro, porém, vem se alte- damente com capacidade crescente obsolescência tecnológica dos dispo-

Dezembro de 2012
Fonte
Fonte 91
sitivos necessários para manter, in- própria mão de obra também é mi- a) obsolescência tecnológica
terpretar e distribuir as informações gratória, tornando difícil encontrar (FIG. 2);
armazenadas em suporte digital. O profissionais capazes de trabalhar b) fragilidade de mídia digital.
suporte digital evolui, e os equipa- com tecnologias legadas e obsoletas.
mentos e sistemas hoje de ponta es- Os principais desafios da docu- Essa segunda se refere à incerte-
tarão descartados em poucos anos. A mentação digital são: za, devido ao pouco tempo de exis-
tência e uso das mídias digitais, de
como elas se comportarão ao longo
de prazos mais dilatados (dezenas de
anos). Como estarão os documentos
gravados em um DVD, por exemplo,
daqui a 20 ou 30 anos? Suportes di-
gitais também estão sujeitos a degra-
dação por fatores como temperatura,
umidade, erosão de superfície ótica
e desmagnetização. Devido à gran-
de comercialização alguns suportes,
como CDs e DVDs, fabricados a bai-
xo custo, não atendem aos requisitos
de qualidade.
A obsolescência tecnológica
atinge os equipamentos, sistemas,
formatos e suportes. Formatos digi-
tais passam por mudanças ao longo
do tempo e, não raramente, as infor-
mações neles contidas não podem
mais ser reconhecidas devido à ine-
xistência de programas e equipa-
mentos capazes de processá-los. Isso
pode acontecer mesmo que o suporte
digital mantenha a integridade da in-
formação nele armazenada.
Tais desafios têm sido estudados
pela indústria, pelas empresas de ser-
viços de TIC e pelos pesquisadores
acadêmicos. Não estão completa-
mente equacionados, mas uma série
de políticas e inovações já os mini-
mizam. Significativos avanços têm
sido obtidos visando garantir a du-
rabilidade do documento digital em
ambientes seguros.
Exemplos podem ser citados
como o PDF/A, um formato criado
especificamente para servir como pa-
drão para a preservação de documen-
tos digitais por longos períodos. Um
Fonte: Acervo Prodemge dos principais objetivos do PDF/A é
Figura 2 - A obsolescência da mídia digital ser independente de plataformas de

92 Fonte
Fonte
Dezembro de 2012
hardware e software, podendo ser No dia a dia das organizações, to de energia elétrica redundan-
acessado por ferramentas básicas. novos documentos são absorvidos, te, utilização de grupos gerado-
Outro exemplo é a evolução de gerados e oportunamente agregados res e equipamentos nobreaks;
equipamentos de arquivamento di- ao acervo documental, de acordo e) ter climatização redundante
gital (archiving) capazes de arma- com seu ciclo de vida. É importante em seus ambientes;
zenar por longos períodos grandes que esses documentos sejam conver- f) ter segurança física contra
volumes de informação digital (da tidos para o meio digital ou que já se- acesso indevido (biometria, cir-
ordem de terabytes e petabytes,) de jam criados digitalmente, eliminando cuito de TV etc.);
acordo com a necessidade de acesso. na fonte o uso do papel. Uma solução g) ter segurança lógica para
Documentos pouco pesquisados po- de gerenciamento eletrônico de do- evitar acesso indevido às infor-
dem ser armazenados em dispositi- cumentos deve englobar documentos mações armazenadas (firewall,
vos mais lentos e baratos que aqueles legados e correntes. VPN, detecção de tentativas de
intensamente acessados. Um projeto de gestão documen- intrusão, controle de vírus etc.);
Vários fatores devem ser con- tal leva em conta a situação e as es- h) possuir salas-cofre com pro-
siderados com relação ao uso segu- pecificidades dos acervos e dos do- teção contra incêndio, fumaça,
ro e à longevidade dos documentos cumentos correntes, estabelecendo a gases, água, poeira e explosão;
digitais, como a criação de políticas melhor maneira de convertê-los e in- i) possuir estrutura de backup e
para preservação e segurança, a não corporá-los em um repositório digi- contingência para as informa-
dependência de hardware e software tal, e cria um sistema de informação ções e sistemas sob sua respon-
específicos e proprietários, a migra- capaz de permitir a preservação, a in- sabilidade.
ção de suportes e formatos ao longo tegridade e o acesso com segurança.
do tempo, a replicação do acervo Para órgãos públicos que proces-
documental digital em locais físicos 4.1. A utilização de data center sam ou pretendem processar grandes
distintos, o uso de cópias de segu- para armazenamento de documen- e crescentes volumes de informação
rança (backup) e o controle do lixo tos digitais digital, é aconselhável a utilização de
digital. um data center em vez de manter ins-
A garantia de autenticidade é Data centers são instalações so- talações próprias de processamento
outro fator importante para a adoção fisticadas voltadas para prestar ser- eletrônico, principalmente quando a
da documentação digital. Para isso, a viços completos de TIC. Possuem TIC não é a sua atividade-fim, mas
solução já legalizada e estabelecida uma estrutura tecnológica atualizada um meio para executá-la.
no Brasil é a certificação digital, cujo e robusta, capaz de atender a várias O data center fornece mais ser-
uso vem se disseminando a cada ano. empresas simultaneamente, com cus- viços, possui pessoal especializado,
tos competitivos em relação às van- é mais seguro, funciona 24 horas por
4. A conversão de acervos tagens que oferece. dia, 365 dias no ano, e está sempre
Um data center caracteriza-se atualizado tecnologicamente. Cada
Os acervos em papel podem por: cliente pode negociar e estabelecer
ser integralmente convertidos para seus níveis de serviço para serem
o formato digital de uma só vez ou a) possuir toda a estrutura de atendidos pelo data center e definir
de forma escalonada, segundo crité- TIC necessária para abrigar seus custos. Manter estrutura seme-
rios de prioridade, demanda, prazos as soluções informatizadas das lhante em instalações próprias se
e custos. organizações que atende; torna muito mais custoso e difícil de
A conversão de acervos trata da b) garantir segurança, integri- gerenciar.
organização, preparação, tipificação, dade e disponibilidade a essa Soluções diferenciadas e atuali-
digitalização, controle de qualidade estrutura; zadas de sistemas operacionais, de
e indexação dos documentos. Docu- c) ser construído, aparelhado e banco de dados e outros softwares
mentos digitais indexados poderão monitorado segundo normas re- básicos, bem como de aplicativos
ser posteriormente gerenciados e conhecidas internacionalmente; e de todo ferramental de TIC com
pesquisados por sistemas de infor- d) ter fornecimento contínuo de custos elevados, são comumente
mação de gestão de conteúdo. energia: sistema de fornecimen- disponíveis em data center, propi-

Dezembro de 2012
Fonte
Fonte 93
informacional da forma necessária, todos os órgãos de maneira geral
ciando mais alternativas aos seus
incorrendo no risco de perder docu- são os mesmos: falta de espaço fí-
usuários.
mentos com um valor de cunho his- sico para a guarda dos documen-
tórico, raro e precioso. tos, grande volume de impressão,
5. Os acervos documentais nos
órgãos públicos Em visitas a acervos documen- gerando altos custos, processos
tais físicos dos órgãos, é possível morosos na recuperação de infor-
Durante séculos não existiu al- fazer um balanço e relatar o pouco mação, redundância nos acervos e
ternativa viável para o papel como interesse em resguardar a memória muitos outros.
suporte para documentos. A micro- da instituição e, muitas vezes, da Além disso, existem os proble-
filmagem, suporte analógico mais informação estratégica utilizada em mas com a segurança ao tratar o do-
recente, pode ser considerada um seus processos mais críticos. cumento em papel, e mesmo quando
contraponto, mas possui restrições Os acervos não apresentam se- tratados com as políticas de seguran-
de uso, segurança e dificuldade de gurança contra possíveis incidentes, ça, não constituem uma certeza para
acesso semelhantes ao papel. tais como: incêndios, enchentes, os órgãos que não possam ser altera-
As tecnologias da informação ataques por agentes biológicos e ou- dos, copiados e descartados de forma
e comunicação vêm possibilitando tros. Em grande parte, se ocorrer um indesejada, apresentando muitos ris-
a mudança dos suportes analógicos desastre dessa magnitude, o acervo cos e vulnerabilidades como foram
para os suportes digitais, modifican- não poderá ser recuperado. Muitas citados anteriormente.
do sobremaneira os modos de produ- informações importantes serão per-
ção da informação e do conhecimen- didas sem qualquer possibilidade de 6. A legislação sobre a segu-
to. Nesse contexto, observa-se que os recuperação. É ainda notório que, rança da informação nos órgãos
órgãos públicos têm, em sua maioria, para os responsáveis por manter o públicos
acervos documentais no suporte acervo, basta colocá-lo em estantes
papel. dentro de caixas para ficar seguro. A organização deve identificar
A administração pública no Bra- Logo, faz-se necessário divulgar todo tipo de leis, regulamentos, nor-
sil foi e continua sendo uma grande a importância de uma política de mas, resoluções e recomendações re-
geradora de documentação em papel gestão documental para todos os lacionadas ao seu negócio. A política
nos seus diversos níveis de atividade: órgãos. de segurança da informação da em-
administração, planejamento, finan- Outro fator importante diz res- presa precisa respeitar toda a legis-
ças, jurisprudência, educação, saúde, peito à falta de segurança quanto ao lação pertinente e implementá-la de
serviços e segurança. acesso físico. Com diversas tecnolo- maneira a maximizar a sua eficácia.
Acervos documentais prolifera- gias (dispositivos móveis, câmeras A lei n° 12.527, de 18 de novem-
ram e acumularam documentos há digitais, tablets, PDAs) é muito fácil bro de 2011, dispõe sobre os proce-
décadas, e vêm enfrentando dificul- extrair informações sigilosas, con- dimentos a serem observados pela
dades proporcionais ao seu gigan- fidenciais e estratégicas de dentro União, estados, Distrito Federal e mu-
tismo para se manterem íntegros, dos órgãos. Um celular com câmera nicípios, a fim de garantir o acesso a
organizados e acessíveis. A cada dia pode facilmente copiar o conteúdo informações. Conhecida como Lei da
novos documentos são produzidos e de documentos sigilosos em poucos Transparência, deverá exigir, de todos
incorporados a esses acervos. segundos e ser disseminado com os setores públicos, alterações na for-
Esses acervos encontram-se, uma rapidez vertiginosa nas redes ma de disponibilizar as informações
em grande parte, sem o devido sociais. para o cidadão que faz uma solicita-
tratamento pelos profissionais das O volume dos acervos nos ór- ção junto ao respectivo órgão detentor
áreas de Arquivologia, Ciência da gãos do Estado de Minas Gerais pode da referida informação.
Informação, Museologia e afins. ser estimado em um montante consi- Entre a legislação federal so-
Com isso, por diversas vezes, ficam derável quando o suporte é o papel: bre o assunto, cabe destacar a nova
desprotegidos e sem a possibilidade cerca de 800 milhões de páginas. lei sancionada neste ano: a lei nº
de manter a integridade do conteúdo Os problemas enfrentados por 12.682, que dispõe sobre a elabora-

94 Fonte
Fonte
Dezembro de 2012
ção e o arquivamento de documentos poderiam ser descartados. No en- as questões decorrentes dos docu-
em meios eletromagnéticos. A pu- tanto, isso acabaria gerando contro- mentos em papel.
blicação dessa lei, de 9 de julho de vérsias jurídicas devido à forte cul- Cabe ressaltar que o documento
2012, propiciou uma oportunidade tura em ter o documento no suporte digital possui alguns pontos críti-
para alguns órgãos públicos colocar papel. Com isso, e baseando-se na cos, os quais devem ser tratados no
o foco novamente no seu acervo do- legislação arquivística, optou-se por momento de se pensar a concepção
cumental. retirar tais artigos. da solução da conversão dos acer-
Dada a importância da lei, e Assim, deve-se esperar que ou- vos físicos.
como alguns artigos dela foram tras iniciativas legais possam ser dis- O tema conversão de acervos
vetados, ainda não se pode utilizá-la cutidas e colocadas em pauta, a fim versus documento em papel ainda é
com o intuito de diminuir as grandes de procurar resolver os problemas matéria de debates nos meios aca-
quantidades de acervo em papel nos informacionais levantados, dando dêmicos, jurídicos e sociais, pois
órgãos públicos do estado. A lei teve a devida importância que o assunto reflete a preocupação com a im-
inicialmente oito artigos, dos quais necessita. portância crucial dos documentos
foram vetados o segundo, o quinto tratados, o seu papel informacional
e o sétimo. 7. Considerações finais e a cultura de um povo contida nos
A lei deverá ser vista como um mesmos.
novo indicativo da importância em A gestão de conteúdo digital é Os órgãos públicos não podem
se tratar os acervos, quer no meio alternativa para solucionar os proble- desconsiderar e retardar o uso da
físico ou no meio digital. Os arti- mas decorrentes dos grandes acervos tecnologia digital para solucionar os
gos vetados foram entendidos como documentais mantidos pelos órgãos problemas decorrentes do gigantis-
parte de um questionamento jurídi- da administração pública. Constitui mo dos acervos em papel sob pena
co, pois segundo um deles, os docu- uma excelente forma de melhorar a de perda de grande parte de seu arca-
mentos em papel após digitalizados capacidade dos órgãos em solucionar bouço informacional.

Referências
ARAYA, Elizabeth R. M.; VIDOTTI, Silvana A. B.G. Cria- CASTELLS, Manuel. A sociedade em rede – a era da informa-
ção, proteção e uso legal de informação em ambientes da ção: economia, sociedade e cultura. v. 1. São Paulo: Paz e
World Wide Web. São Paulo: Cultura Acadêmica, 2010. Terra, 1999.
BRASIL. Lei n° 12.682 de 9 de julho de 2012. Dispõe sobre JAMIL, George Leal. Repensando a TI na empresa moderna:
a elaboração e o arquivamento de documentos em meios atualizando a gestão com a tecnologia da informação. Rio
eletromagnéticos. Diário Oficial. Brasília, DF, Ano de Janeiro: Axcel Books, 2001.
CXLIX, n. 132. 10 jul. 2012. Disponível em: <http:// PDF/A, Wikipedia, the free enciclopedia. Disponível em: <http://
www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/ wikipedia.org>. Acesso em: 28 set. 2012.
Lei/L12682.htm>. Acesso em: 12 set. 2012. VALETIM, Marta Lígia Pomim (Org.). Gestão, mediação e uso
CAMPOS, André. Sistema de Segurança da informação: contro- da informação. São Paulo: Cultura Acadêmica, 2010.
lando os riscos. 2. ed. Florianópolis: Visual Books, 2007.

Dezembro de 2012
Fonte
Fonte 95
Engenharia da segurança:
computação em nuvem e privacidade
Divulgação

Leonardo Barbosa
Professor adjunto do Departamento de Ciência da Computação da UFMG. Bacharel
(UFMG), mestre (UFMG), doutor (Unicamp) e pós-doutor (Unicamp) em Ciência
da Computação. Realizou parte do seu doutorado na Dublin City University e no
Information Security Group da Universidade de Londres. Pesquisador colaborador
do Instituto de Computação da Unicamp. Agraciado com os prêmios IEEE Young
Professional Award e Microsoft PhD Fellowship Award. Seus principais interesses
de pesquisa estão nas áreas de segurança e criptografia aplicada à computação
ubíqua.

RESUMO
Na medida em que a computação torna-se ubíqua e que, concomitantemente, o número de ataques a sistemas computa-
cionais cresce vertiginosamente, “segurança” passa a ser objeto de estudo multidisciplinar e, por conseguinte, de interes-
se dos mais diversos públicos. Diferentemente do passado, quando era encarada como necessária apenas em aplicações
críticas, segurança é hoje pré-requisito para o funcionamento de qualquer sistema computacional. Sua inoperância, seja
por ataques ou falhas, pode acarretar severas consequências.
A engenharia da segurança possui como objeto de estudo o desenvolvimento de sistemas computacionais seguros.
Nesse contexto, “seguro” possui a conotação de confiável (dependable), seja da perspectiva da robustez (reliable) ou da
segurança propriamente dita (trustworthy, safe..., enfim, secure). A engenharia da segurança pesquisa políticas, metodo-
logias, implementações, testes e ferramentais de segurança e, para tal, engloba diferentes áreas: do controle de acesso e
detecção de intrusão à auditoria, criptografia e desenvolvimento de hardware seguro.
Este artigo apresenta alguns dos atuais desafios da engenharia da segurança. Mais precisamente, ele aborda os desafios
da segurança em computação em nuvem e os problemas de privacidade contemporâneos.

1. Introdução por ataques ou falhas, pode acarretar “seguro” possui a conotação de con-
severas consequências, por exemplo, fiável (dependable), seja da perspec-
Na medida em que a computa- a inoperância de: (i) sistemas de mo- tiva da robustez (reliable) ou da segu-
ção torna-se ubíqua e que, conco- nitoramento nuclear coloca em peri- rança propriamente dita (trustworthy,
mitantemente, o número de ataques go as comunidades em seu entorno; safe..., enfim, secure). A engenharia
a sistemas computacionais cresce (ii) sistemas de caixas eletrônicos e da segurança pesquisa políticas, me-
vertiginosamente, segurança passa a transações on-line resultam em pre- todologias, implementações, testes e
ser objeto de estudo multidisciplinar juízo financeiro; (iii) sistemas de ferramentais de segurança e, para tal,
e, por conseguinte, de interesse dos alarmes facilitam furtos; e (iv) siste- engloba diferentes áreas: do contro-
mais variados públicos. mas de prontuário médico eletrônico le de acesso e detecção de intrusão à
Diferentemente do passado, expõem a vida alheia e violam a pri- auditoria, criptografia e desenvolvi-
quando era encarada como neces- vacidade de indivíduos. mento de hardware seguro – também
sária apenas em aplicações críticas, A engenharia da segurança chamado de resistente ou à prova de
segurança é hoje pré-requisito para o possui como objeto de estudo o de- violação (tamper-resistant e tamper-
funcionamento de qualquer sistema senvolvimento de sistemas compu- proof, respectivamente).
computacional. Sua inoperância, seja tacionais seguros. Nesse contexto, Atualmente, alguns dos princi-

96 Fonte
Fonte
Dezembro de 2012
pais desafios da engenharia da segu- que clientes utilizam algum software grande ferramental tecnológico ca-
rança estão nas áreas de segurança executado no provedor. paz de minorar custos e incrementar
em computação em nuvem e priva- O uso de computação em nuvem a utilização e eficiência de sistemas.
cidade. Em computação em nuvem, por parte dos clientes acarreta diver- Por outro, ela traz consigo questões
em particular, existe uma grande sas vantagens, por exemplo, ao mi- científicas complexas que podem e
demanda por soluções que viabili- grarem sistemas e dados para a “nu- devem ser abordadas sob a ótica da
zem sua adoção por usuários com vem”, clientes poupam gastos com engenharia da segurança. Eis algumas
requisitos de segurança mais rígidos, a implantação e manutenção de uma delas (KAMARA; LAUTER, 2010):
bem como soluções que forneçam solução própria. Em contrapartida,
bases seguras para novos serviços precisam apenas pagar uma mensali- a) Conformidade regulatória.
baseados na tecnologia. Em relação dade (por vezes relativamente peque- Muitos países possuem leis que
à privacidade, o desafio é projetar na) aos provedores de computação responsabilizam organizações
soluções para garanti-la num mun- em nuvem. Para muitos clientes, isso pela proteção dos dados sob sua
do como hoje, isto é, num contexto é bem mais vantajoso. custódia. Isso é especialmente
repleto de informações disponíveis Computação em nuvem, todavia, verdade quando os dados custo-
on-line. Note-se que tais desafios são não é uma panaceia. Ela introduz sé- diados são de natureza pessoal,
interdependentes e o primeiro torna rias questões de segurança e, em ra- ou seja, prontuários médicos ou
o segundo mais desafiador e vice- zão disso, tem atraído bastante a aten- declarações de impostos. Assim,
versa. Por exemplo, enquanto a ga- ção da comunidade científica. Parte o emprego de computação em nu-
rantia de privacidade é condição sine das principais questões é relativa ao vem sobre esses dados (ou seja,
qua non para a adoção universal de sigilo e à integridade dos dados arma- seu armazenamento em prove-
computação em nuvem, o advento de zenados na nuvem. Embora pessoas dores de computação em nuvem)
computação em nuvem tornou o de- físicas (pelo menos até hoje) acredi- pode oferecer sérios riscos legais
safio de se garantir privacidade ainda tem que o saldo do compromisso en- ao custódio, no caso, às organi-
mais complexo. tre a privacidade e a conveniência de zações. Uma forma de contornar
A seguir, exploramos com mais serviços web (webmail, por exemplo) esse problema é fazer com que as
detalhes, respectivamente, as ques- tenha lhes sido favorável, o mesmo organizações cifrem os dados an-
tões atuais de segurança em compu- não ocorre para muitas pessoas jurí- tes de subirem (upload) os dados
tação em nuvem e privacidade. dicas, em particular para organizações para os provedores. Dessa forma,
governamentais e grandes instituições elas garantem o sigilo dos dados
2. Segurança em computação privadas. independentemente das ações do
em nuvem Tal comportamento pode ser atri- provedor de computação em nu-
buído a diversos fatores: da preocupa- vem sobre os mesmos e, portan-
O avanço da tecnologia de comu- ção quanto à proteção de informações to, reduzem consideravelmente
nicação aliado à crescente demanda estratégicas, a leis que requerem o si- o risco legal do seu modelo de
por recursos computacionais levaram gilo e a integridade de dados. Sobre negócios.
muitas organizações a terceirizar o o primeiro, não é difícil concluir que b) Jurisdição. Dados submetidos
armazenamento e processamento de colaboradores da Microsoft não deve- à nuvem de certa localização geo-
dados. A esse novo paradigma com- riam, por exemplo, trocar mensagens gráfica podem estar armazenados
putacional é dado o nome de compu- sobre depósito de patentes utilizando em outra completamente diferen-
tação em nuvem. Ele inclui diversos o Gmail. Nesse caso, há um evidente te e, portanto, estarem sujeitos a
tipos de serviço, a saber: (i) infraes- conflito de interesse entre a Micro- leis que não correspondem às de
trutura como serviço (Infrastructure soft e o Google acerca de proprieda- seu lugar de origem. Pior, dado
as a Service – IaaS), em que clientes de intelectual. Já o segundo pode ser que em computação em nuvem
usufruem do processamento, armaze- verificado em aplicações de prontuá- é difícil apontar onde certo dado
namento e infraestrutura de rede do rio médico eletrônico ou de registros se encontra (muitos provedores
provedor; (ii) plataforma como servi- financeiros. O vazamento dessas in- possuem centros de dados (data
ço (Platform as a Service – PaaS), em formações pode resultar em prejuízos centers) espalhados pelo globo),
que clientes tiram proveito dos recur- morais e de ordem financeira e, por existe certa incerteza jurídica, o
sos do provedor para executarem apli- conseguinte, sua privacidade é garan- que, por sua vez, causa apreen-
cações personalizadas (custom appli- tida por lei. são e desestimula seus potenciais
cations); e (iii) software como serviço Em suma, por um lado com- usuários. Novamente, uma solu-
(Software as a Service – SaaS), em putação em nuvem promete ser um ção seria as organizações cifra-

Dezembro de 2012
Fonte
Fonte 97
rem os dados antes de subi-los sabilidade pela devida retenção transparência do consumo de recursos
(upload) para a nuvem. Nesse ou descarte de informação de públicos.
caso, o sigilo dos dados estaria terceiros é das organizações. Se Analisemos com mais detalhe
garantido e sua informação pou- a informação estiver na nuvem, o monitoramento de pandemias. O
co sujeita às idiossincrasias de contudo, pode ser difícil verificar Google, por exemplo, possui um ser-
cada jurisdição. sua integridade ou mesmo se foi viço chamado Google Flu Trends.
c) Intimações judiciais. Caso uma efetivamente descartada. O uso Ele objetiva a identificação de surtos
organização torne-se alvo de in- correto de criptossistemas, con- de doenças em estágio embrionário
vestigação, a justiça pode requisi- tudo, atenua esses problemas. O (note-se que esse é um problema que,
tar acesso a seus dados. Se dados uso de assinaturas digitais provê caso solucionado, poderia evitar gran-
são armazenados na nuvem, a formas de se checar a integridade des pandemias). Imagine um médico
requisição pode ser feita direta- dos dados, ao passo que a destrui- que, logo no início do plantão, con-
mente ao provedor, até mesmo ção da chave criptográfica usada sultasse um paciente com sintomas de
sem que a organização tome na cifração (encryption) dos mes- gripe. De posse do prontuário médico
ciência. Ademais, ao consultar mos garante seu descarte. do indivíduo, isoladamente, o planto-
dados de investigados, a justiça nista provavelmente iria apenas recei-
pode, ainda que não intencional- 3. Privacidade tar antigripais e repouso, ainda que o
mente, se deparar com dados de início de uma epidemia estivesse se
outrem. Isso porque provedores Nunca antes dados puderem ser originando ali. Caso, por outro lado,
usualmente armazenam dados de acessados tão eficientemente e numa o médico tivesse ciência das informa-
múltiplos clientes em um mesmo escala tão grande (MASIELLO; ções sobre muitos ou todos os demais
disco físico. Isso tudo desestimu- WHITTEN, 2010). A internet e a web pacientes, ele certamente seria capaz
la a adoção de computação em em particular permitem que institui- de identificar o início de um surto de
nuvem. O emprego de criptogra- ções privadas, organizações governa- uma (eventualmente nova) doença.
fia, novamente, pode mitigar tais mentais ou mesmo indivíduos tenham Paralelamente à profusão de in-
inconveniências. No caso, é pos- acesso a enormes fontes de dados. formações e seus benefícios, surge
sível atrelar o acesso aos dados Sem dizer que esses dados podem ser também certa inquietação. Parte dela
ao emprego da chave criptográfi- apreciados de forma agregada e cor- advém da preocupação acerca da pri-
ca privada, a qual é particular e relacionada, destacando a interdepen- vacidade. A possibilidade de coleta
intransferível e ficaria em posse dência entre os mesmos. Na medida desse enorme volume de dados lança
exclusiva da organização. Em ou- em que tecnologias móveis vão sen- questões quanto ao acesso não auto-
tras palavras, qualquer requisição do rapidamente adotadas, tornando a rizado de informações e, por conse-
teria que passar obrigatoriamente computação não apenas ubíqua, mas guinte, à violação de privacidade. As-
pela organização. também pervasiva (pervasive), ou- sim, por um lado estamos permeados
d) Brechas de segurança. Ainda tras classes de dados (de localidade, de dados que, se legalmente disponi-
que provedores de computação por exemplo) tendem a aparecer, au- bilizados e competentemente anali-
em nuvem levem a sério a adoção mentando ainda mais a abundância de sados, podem servir à sociedade. Por
de boas práticas de segurança, dados. As implicações não concernem outro, existe o anseio natural e, deve
existe sempre a possibilidade dos apenas à sociedade e à forma com a ser frisado, legítimo de se manter da-
mesmos sofrerem ataques devi- qual ela se interage. Ela diz respeito dos alheios secretos. Nesse contexto,
do a brechas em sistemas. Caso também à maneira com a qual faze- surge a seguinte questão: é possível
isso ocorra e haja vazamento de mos ciência. preservar a privacidade sem restringir
dados de terceiros, organizações Se obtivermos êxito em extrair- a coleta e análise de dados?
podem ser responsabilizadas. Se mos informações dessa profusão de Para respondermos a essa per-
soluções criptográficas forem dados, poderemos resolver vários dos gunta, temos que primeiro poder res-
adotadas, o sigilo dos dados é ga- problemas que hoje afligem a socie- ponder a questões mais diretas, mas
rantido e sua integridade pode ser dade. Em outras palavras, se através ainda muito desafiadoras, a saber
aferida a qualquer momento. As- de análises estatísticas ou mineração (MASIELLO; WHITTEN, 2010):
sim sendo, brechas de segurança de dados angariarmos informações
apresentariam pouco ou nenhum acuradas, seremos capazes de conce- a) Relacionar ações de um mes-
risco às organizações. ber soluções para, por exemplo, mo- mo indivíduo sem que o mesmo
e) Retenção ou descarte de infor- nitorar pandemias, antever tendências seja identificado. Grande par-
mação. Muitas vezes a respon- (de diferentes naturezas) e aumentar a te dos benefícios trazidos pela

98 Fonte
Fonte
Dezembro de 2012
análise de dados refere-se a es- possível preservar a privacidade sem podem reaver ponteiros para crip-
tatísticas acerca de indivíduos. restringir a coleta e análise de dados. togramas (arquivos cifrados) que
Portanto, é de suma importância contêm aquela palavra-chave.
correlacionar ações de uma mes- 4. Potenciais soluções Existem diversas subclasses de
ma pessoa. Em verdade, mais cifração consultável (simétrica,
que isso. É preciso colocar essas Embora os desafios de computa- assimétrica, multiusuário, etc.) e
ações em sequência. Assim sen- ção em nuvem e privacidade supra- a melhor depende do contexto em
do, é possível projetar formas de citados possam ser abordados com que é empregada.
registrar e manter a sequência de primitivas criptográficas tradicionais b) Cifração baseada em atribu-
ações de indivíduos sem, no en- (algoritmos de assinatura digital ou tos (attributed-baseden cryption)
tanto, identificá-los? cifras tradicionais, o DAS/RSA, por Essa é uma nova classe de téc-
b) Possibilitar aos usuários usar exemplo), seu emprego resultaria em nicas criptográficas que permite
sem abusar dos sistemas. Parte considerável sobrecarga (overhead) que políticas de decifração sejam
das razões para o monitoramento de comunicação e computação. associadas a criptogramas. Em
do uso de sistemas advém da ne- Para ilustrar, considere um caso particular, conjuntos de atributos
cessidade de impedir seu abuso. de computação em nuvem. Imagine são associados a chaves de deci-
Por exemplo, o monitoramento uma organização que cifra e assina fração e, em seguida, atribuídos a
de conteúdo de mensagens busca seus dados antes de subi-los (upload) usuários. Paralelamente, usuários
filtrar spams, impedindo que sis- para a nuvem. Por um lado, isso de podem cifrar mensagens com
temas sejam vítimas de ataques fato preserva o sigilo e a integridade chaves atreladas a certa política.
de negação de serviço (denial of dos dados. Por outro, faz com que a Dessa forma, a decifração de uma
service) ou que usuários caiam organização tenha que armazenar um mensagem será bem-sucedida
em golpes (phishing). Como en- índice localmente ou baixar toda a in- apenas se os atributos associados
tão monitorar sistemas, impedir formação, decifrá-la, para então rea- à chave de decifração casarem
seu abuso e ainda preservar a pri- lizar a busca. Acerca da integridade e com a política usada para cifrá-la.
vacidade? autenticidade dos dados, analogamen- c) Provas de armazenagem (proof
c) Dar ciência sobre a reputação te, nota-se que as organizações teriam of storage). Um protocolo do tipo
sem revelar informação adicio- novamente que reaver todos os dados prova de armazenagem é aquele
nal. Comumente indivíduos bus- para poderem verificar assinaturas. que fornece formas de um ser-
cam informações acerca deles Em todos esses casos fica evidente a vidor provar a um cliente que
próprios para tomarem conheci- perda dos benefícios advindos do uso seus dados continuam íntegros.
mento sobre o que se sabe a seu de computação em nuvem. As principais vantagens desse
respeito, isto é, para conhecerem Felizmente, existem criptossiste- tipo de protocolo são: (i) podem
sua própria reputação. Frequen- mas emergentes que, embora diferen- ser executados quantas vezes
temente, essa curiosidade é mo- te dos tradicionais, podem ser empre- for necessário e (ii) a sobrecarga
tivada pelo desejo de saberem gados para tanto proteger computação (overhead) de comunicação entre
se houve alguma violação de sua em nuvem de forma mais efetiva, o cliente e o servidor acarretada
privacidade. Muitas vezes, para- como para aprimorar os processos de pelo protocolo é mínima.
doxalmente, essa busca era jus- garantia de privacidade. São eles:
tamente a informação que faltava Apesar dos criptossistemas aci-
para que outros lograssem violar a) Cifração consultável (searcha- ma serem mais efetivos ao aborda-
sua privacidade. Logo, uma ques- ble encryption). Essa classe de rem problemas atuais de engenha-
tão que surge naturalmente é a se- criptossistemas oferece formas ria da segurança, eles estão longe
guinte: como possibilitar aos usu- de cifrar um índice de busca de de resolverem os diferentes tipos
ários saberem sobre sua reputação forma que apenas indivíduos au- de problemas na área. Isso por-
preservando sua privacidade? torizados possam acessá-los. Em que criptossistemas sozinhos são
outras palavras, considere um poucos efetivos. É necessário não
A lista acima definitivamente não índice gerado a partir de uma co- apenas orquestrá-los em protoco-
é exaustiva. Existe quase uma infini- leção de arquivos. Usando um es- los criptográficos, mas preencher
dade de questões a serem abordadas quema de cifração consultável, o adequadamente suas caixas-pretas
do ponto de vista científico para que índice da busca é cifrado de forma (black-box) e implementá-los, con-
possamos, com propriedade, respon- que apenas aqueles autorizados a siderando as idiossincrasias do am-
der à pergunta original, ou seja, se é buscar por uma palavra-chave biente em que serão executados.

Dezembro de 2012
Fonte
Fonte 99
A segurança e a informação

Divulgação
Bruno Castro
Gestor de Negócios e TI, com mais de 16 anos de vivência e aprendizado em TI.
Consultor e gestor da Breed Consultoria há vários anos, com projetos e cases de
sucesso em diversas empresas, de grande, médio e pequeno porte. Foi coordenador e
professor em cursos de graduação, pós-graduação e MBA em universidades e centros
universitários, com mais de 13 reconhecimentos formais como gestor, consultor,
professor-paraninfo e patrono.

RESUMO
A segurança da informação não é uma novidade trazida pela informatização ou mesmo pela era moderna do
século XXI. Para entender de forma sólida a síntese do conhecimento acerca desse assunto, este artigo volta
aos primórdios dos registros do ser humano neste planeta, detalhando de forma separada para depois unir: “a
informação”, “o valor da informação”, “a segurança” e “a segurança da informação”.

1. A informação no último bilhão de anos. Essas in- seres humanos conviveram com um
formações da natureza também per- problema desse método de armaze-
Palavra vinda do latim mitiram aos humanos entenderem a namento da informação, pois, quan-
informatio,onis, informação signifi- evolução das espécies e várias outras do se mudavam de um local para
ca “delinear” ou dar forma na men- descobertas que sempre estiveram ao outro, a informação era perdida, e
te para “aquilo que se vê”. Portanto, nosso alcance, à nossa disposição, outros vários anos se passaram até
pode ser entendida como registro de desde o início de nossa espécie. que na Antiguidade inventaram (ou
um acontecimento, evento, organi- Além da natureza, seres vivos descobriram) o papiro, papel que foi
zação de dados, descrição de um co- também conseguem registrar infor- uma verdadeira revolução no registro
nhecimento e outras definições. Um mações desde os seus primórdios. da informação.
evento ou um acontecimento, por Os seres humanos da Idade da Pedra Com a invenção da imprensa por
mais importante que seja, é somente devem ter aprendido rapidamente Gutenberg em 1439, o papel tornou-se
um evento isolado e sem possibilida- o quão útil seria registrar em suas um meio eficaz de não só armazenar
de de ser lembrado, se não for regis- memórias acontecimentos, locais a informação, mas também replicá-
trado por algo ou por alguém. privilegiados ou mesmo reconhecer la. No século XX, com a chegada
Desde o surgimento do universo, perigos mediante lembranças. Es- da informática, uma nova revolução
a natureza registra informações que sas informações seriam rapidamente aconteceu, permitindo à raça humana
até hoje são aos poucos entendidas, perdidas se esses humanos do passa- armazenar, gerir e processar a informa-
analisadas e nos permitem tirar con- do não pudessem replicá-las a outros ção a limites até então inimagináveis.
clusões sobre os acontecimentos do seres humanos, e então surgiu a ideia Alguns anos depois, explode o uso da
passado. Foram através desses regis- de registro dessas informações nas internet no planeta Terra, fazendo com
tros da natureza que o ser humano paredes das cavernas, com os famo- que a informação seja também circula-
conseguiu estimar a idade do planeta sos desenhos que registraram acon- da e compartilhada a limites também
e, por exemplo, saber que a Terra já tecimentos e crenças daquela época. até então inimagináveis!
passou por cinco períodos glaciais Muitos anos se passaram e os Portanto, a informação sempre

100 Fonte
Fonte
Dezembro de 2012
existiu, desde que o mundo é mundo, me planejado, poderá jogar todo um O valor financeiro dessa infor-
desde que a Via Láctea foi formada. esforço corporativo a perder. É uma mação estará diretamente ligado ao
Ela está e sempre esteve presente. O informação de alto poder de modifi- quão uma pessoa jurídica ou física
que muda nos dias de hoje é a capa- cação naquele determinado momento. poderia deixar de lucrar ou ainda
cidade humano de armazenar, gerir e De toda forma, após um pequeno perder baseado na utilização indevi-
compartilhar a informação com uma espaço de tempo da divulgação oficial da dessa informação.
força cada vez maior. ou não dessa informação, ela pas-
sa a ser um informativo do passado, c) Um amigo anuncia: “Houve
2. O valor da informação reduzindo consideravelmente o seu uma colisão entre dois carros com
valor. Ela pode continuar interessan- capotamento na avenida Afonso
O valor de uma informação é te para historiadores, colecionadores Pena com avenida Brasil”.
e sempre será relativo. Relativo a de notícias, ou mesmo para pessoas
quanto importante ela é, a quão rara é que ainda não souberam da novidade. A informação poderia causar
e a quanto ela pode modificar algo ou Porém, como essa informação é agora espanto ou mesmo curiosidade, mas
mesmo alguém se utilizada de forma algo associado ao passado, atribui-se poderia ser de baixo valor se nada
estratégica no momento certo. Para pequeno poder de modificação nesse pudesse ser feito a respeito (baixo
entender melhor o quanto pode va- momento “pós-novidade”. poder de modificação de algo).
ler ou não uma informação, uma boa O valor financeiro dessa infor- Por outro lado, poderia ter algum
técnica seria sempre analisá-la sobre mação estará diretamente ligado aos valor para o ouvinte que, ao saber da
o aspecto de seu “poder de modifi- danos financeiros que causariam à informação, alterou o seu trajeto para
cação” em relação ao tempo ou ao organização que a possui e que luta evitar o congestionamento causado
momento em que se utilizará a infor- para mantê-la em sigilo. pela colisão.
mação. Explica-se com os exemplos O valor financeiro dessa infor-
a seguir: b) Em uma conversa informal mação estará diretamente ligado ao
alguém anuncia: “Nossa empre- quanto alguém poderia economizar
a) Em um jornal tem-se a seguin- sa está fechando um negócio de ou deixar de perder baseado, por
te manchete: “Extra!! Extra!! milhões com o cliente XYZ”. exemplo, no desvio de trajeto entre
Confidencial!! O fabricante de dois pontos na cidade, evitando o lo-
veículos Alpha lançará o novo Sendo uma informação estraté- cal onde há impeditivo de se trafegar.
carro Beta!!”. gica de uma negociação recente, essa Em resumo, o valor da informa-
informação poderia valer milhares ção estará diretamente ligado ao seu
Dependendo do quão confi- ou milhões de reais, sem mesmo que poder de mudança ou transformação
dencial fosse esse novo projeto, e o o interlocutor da mesma pudesse ter em relação ao tempo e à forma em
quão se investiu em um lançamento conhecimento. Basta imaginar como que será utilizada.
surpresa desse veículo, uma infor- essa informação poderia ser manuse-
mação dessa, que “vazasse” de algu- ada por concorrentes, fornecedores e 3. A segurança
ma forma da fábrica, poderia causar outros clientes, ou mesmo caracteri-
facilmente prejuízos de milhões de zar uma quebra contratual, gerando A palavra segurança tem origem
reais ao fabricante que, devido ao grandes multas por divulgação ante- no latim securus, que significa “sem
“vazamento” da informação, teria cipada da negociação. temor, garantido” e, embora sugira
que rever as campanhas de marke- Porém, sendo uma informa- diretamente o que a maioria das pes-
ting planejadas ou até mesmo mudar ção não mais estratégica, após a soas entende por segurança, é possí-
a data de lançamento frente às novas definição das regras de negócio, vel afirmar: “Nada é 100% seguro ou
ações da concorrência e do mercado operacionalização do negócio e 100% garantido”.
por causa da divulgação dessa infor- formalização da negociação, pro- Segurança está diretamente liga-
mação. Certamente, no momento do vavelmente ela se tornaria uma in- da à redução dos riscos de aconteci-
planejamento até o seu lançamento, é formação histórica, de pouco valor mento de algo. Está referida como um
uma informação de alto valor e que, financeiro aos concorrentes, forne- mal a ser evitado e está diretamente
se não utilizada e manuseada confor- cedores e demais clientes. ligada à tentativa de ausência de ris-

Dezembro de 2012
Fonte
Fonte 101
co e à tentativa de certeza quanto ao Essas ações, resultado do conheci- gurança da informação) é cada vez
futuro. O quão mais seguro se está de- mento e do pensamento estratégico, mais discutido, lido e estudado? A
pende do quão foi possível reduzir os implementarão medidas de redução resposta poderia ser encontrada nas
riscos de acontecimento de algo (pro- de riscos, trazendo, então, o conceito seguintes constatações em nível
blemas que deseja evitar). É possível de segurança ao segurado. mundial:
ter alta segurança quando há baixos Outro ponto interessante é que
riscos. É possível ter baixa segurança se pode dizer que não há limite para a) a informática: por causa dos
quando há altos riscos. se reduzir os riscos ou aumentar a se- computadores, lidamos com um
Segurança, portanto, é nada mais gurança de algo ou alguém. À medi- número cada vez maior de infor-
e nada menos do que a relação entre da que se aumenta os esforços (inclu- mações;
o segurado e o risco, e a dedicação a sive financeiros) para a redução dos b) a internet: por causa das redes
tornar algo seguro estará sempre fo- riscos, espera-se um consequente au- de computadores, transitamos
cada na redução desses riscos. mento na segurança do segurado, se e compartilhamos um número
Para reduzir os riscos e conse- unidos os três pilares: conhecimento, cada vez maior de informações;
quentemente tornar algo seguro, é estratégia e ação. c) a Era da Informação: lidar
possível sintetizar três importantes Sugere-se, assim, que se encon- com informações é pré-requisito
fatores: tre um equilíbrio entre os valores do para viver no planeta Terra no
que se deseja proteger (segurado) e século XXI.
a) conhecimento: o conhecimen- os valores despendidos nos esfor-
to em relação ao que se deseja ços para reduzir riscos (aumento de Segundo pesquisa do Instituto
proteger; segurança). Tornar algo seguro ou Gartner em 2009, o mundo já havia
b) estratégia: a estratégia correta proteger algo está diretamente liga- ultrapassado a marca de um bilhão
de segurança em relação ao que do à quantidade de esforço (inclusive de computadores. Em 2014, a previ-
se deseja proteger; financeiro) que se deseja fazer para são seria atingir a marca de dois bi-
c) ação: os esforços (inclusive fi- reduzir riscos. lhões de computadores, chegando à
nanceiros) e as ações para imple- média de um computador para cada
mentar a estratégia adotada para 4. A segurança da informação três pessoas no planeta Terra.
reduzir os riscos. A internet já conta com mais de
A informação sempre existiu. dois bilhões de usuários, segundo a
Quanto maior for o conheci- O valor da informação, mesmo que União Internacional de Telecomuni-
mento de quem irá proteger algo ou relativo, sempre existiu. O conceito cações (UIT) da ONU (Organização
alguém tanto maior será sua capaci- de segurança sempre existiu. E a se- das Nações Unidas), e recebe, por dia,
dade de proteger. Mais importante gurança da informação? A resposta é mais de 500 mil novos internautas.
inclusive do que as ferramentas que simples: também sempre existiu. A era em que os seres humanos
serão utilizadas na proteção, o co- Sempre que houve a necessida- vivem atualmente, pós-Era Indus-
nhecimento permitirá a elaboração de de se proteger uma informação, trial, trouxe mais do que uma mudan-
das estratégias mais eficazes para se geralmente valiosa financeira ou es- ça social, uma mudança na condição
reduzir os riscos. trategicamente, o homem trabalhou da vida humana, sendo as capacidades
As estratégias de segurança per- para protegê-la. A segurança da infor- criativas e pensantes aliadas ao manu-
mitirão a quem irá proteger algo ou mação, ao longo da história humana, seio da informação, à base do funcio-
alguém fazê-lo de forma assertiva. possibilitou a permanência ou a queda namento e ao sucesso das pessoas e
Toda redução de riscos pressupõe, de impérios, civilizações, governos, empresas na economia mundial.
além de entendimento (conhecimen- grandes organizações e muitos outros Para se ter uma ideia da im-
to), a análise de riscos e possibilida- resultados de impacto, pelo simples portância da informação na era em
des de acontecimentos, necessitando, fato da informação estar guardada ou que vivemos, citam-se os seguintes
assim, de pensamento, de inteligên- não no momento certo. Basta lembrar- exemplos:
cia, de estratégia. se do conceito do “poder de modifica-
De nada adianta o conhecimen- ção”, relacionado ao tempo e à forma a) a maioria do dinheiro que cir-
to e a estratégia se não houver ações em que a informação é utilizada. cula no planeta é apenas infor-
concretas para se reduzir os riscos. Mas por que este assunto (a se- mação;

102 Fonte
Fonte
Dezembro de 2012
De fato, as instituições financeiras muitos empresários, computadores c) ISO 27.003, 27.004, 27.005 e
possuem alguma quantidade de dinhei- representam verdadeiro “terror” à 27.006 – metodologias e padrões
ro vivo em seus cofres, mas os valores sua gestão do negócio. Mas, mes- de gestão de sistemas, riscos e
dos correntistas nada mais são do que mo assim, não podem ficar livres certificações.
bit e byte nos computadores que arma- deles sob pena de não conseguirem
zenam e processam tais informações. ser competitivos. Como a maioria das normas e
O assunto “segurança da in- conceitos de melhores práticas, es-
b) o maior valor financeiro das formação” ganhou e tem ganhado ses documentos detalharão “o que
grandes marcas mundiais é ape- tanta força que recentemente surgi- fazer” e não “como fazer”, ficando
nas informação; ram padrões e melhores práticas em este último para ser desenvolvido
nível mundial para sua aplicação. pela instituição que deseja implantar
A maioria das empresas com A organização mundial ISO (Inter- o conceito.
grandes marcas tem maior valor fi- national Organization for Standar- Pode-se definir, finalmente,
nanceiro atrelado a suas marcas e a dization) oficializou no final dos que “segurança da informação” é
suas informações de resultados do anos 90, a partir de padrões nasci- todo e qualquer esforço para re-
que ao seu patrimônio líquido. dos na Inglaterra, a norma ISO/IEC duzir os riscos de uso indevido de
17.799. Essa foi uma das primeiras uma informação. Sua importância
c) o trabalho de grande parte das normas de segurança da informa- nos dias atuais é imensa, uma vez
pessoas no século XXI está rela- ção de grande relevância em nível que problemas de segurança da in-
cionado aos computadores; mundial. O sucesso foi tanto que, no formação podem facilmente levar a
início dos anos 2000, a organização prejuízos financeiros e estratégicos
De fato boa parte do esforço pro- ISO decidiu por adotar uma nume- muito piores do que problemas fí-
dutivo em nível mundial não pode ração dedicada à segurança da infor- sicos de segurança. Basta consta-
ser sequer tocado, pois está todo em mação, conhecida como família de tar que um roubo de informações
meio digital. normas 27.000. digitais pode superar em quantia
Dentro da família ISO 27.000, é financeira diversos roubos em for-
d) empresas têm cada vez mais possível encontrar seis documentos ma física de bens ou de valores
suas informações nos computa- divididos em: financeiros.
dores; Esse é um assunto que já é dis-
a) ISO 27.001 – especificação cutido nos dias de hoje e que inevi-
Devido à concorrência em para um sistema de gestão da se- tavelmente será abordado com cada
quaisquer níveis, mundial, regional gurança da informação; vez mais frequência dentro das or-
ou local, tem sido difícil encon- b) ISO 27.002 – seria a principal ganizações do planeta. Se sua em-
trar empresas sem qualquer índi- norma da família e especifica um presa ou organização ainda não se
ce de informatização. O motivo é conjunto de melhores práticas preocupou com esse assunto, tenha
simples: fica difícil competir no para a segurança da informação apenas uma certeza: ela ainda o fará
mercado de hoje sem a melhoria em uma organização (foi origi- e, provavelmente, bem antes do que
de eficiência da informática. Para nalmente a ISO/IEC 17.799); seus integrantes esperam!

Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Paulo, 2008. Disponível em: <http://origin.info.abril.com.
Tecnologia da informação – Código de prática para a ges- br/aberto/infonews/062008/23062008-8.shl>. Acesso em:
tão da segurança da informação (NBR ISO/IEC 17.799). 10 set. 2012.
Rio de Janeiro, RJ: 2001. COMPUTER WORLD. Estudo aponta que empresas têm pro-
THE ISO 27.000 DIRECTORY. An Introduction do ISO 27.000. blemas para gerenciar dados. São Paulo, 2010. Disponível
2010. Disponível em: <http://www.27000.org/index.htm>. em: <http://computerworld.uol.com.br/gestao/2010/08/11/
Acesso em: 25 set. 2012. estudo-aponta-que-empresas-tem-problemas-para-geren-
INFO PLANTÃO. Mundo tem 1 bilhão de PCs, diz Gartner. São ciar-dados/>. Acesso em: 02 jan. 2011.

Dezembro de 2012
Fonte
Fonte 103
Crônica de uma morte exagerada

Júlia Magalhães
Obituários da privacidade na sociedade em rede

Gustavo Grossi de Lacerda


Publicitário (UFMG), mestre em Comunicação Social (PUC Minas), MBA em Marketing
(FGV) e especialista em Comunicação e Gestão Empresarial (IEC/PUC Minas).
Gerente de Marketing da Prodemge.

RESUMO
O processo de publicização da vida privada acirrou-se de forma exponencial na era das mídias sociais, video-
vigilância e reality shows. A vida on-line põe a privacidade em xeque de modo contundente na atual esfera pú-
blica interconectada. Vive-se hoje a emergência de um complexo ecossistema digital, conjugado a um ethos de
espetacularização da intimidade. Nesse contexto, a privacidade está em xeque, e determinados atores sociais
sequer hesitam em declará-la extinta e substituída pela publicidade como norma vigente na rede. O presente
artigo problematiza esses discursos e chama atenção para as tensões e interesses envolvidos na questão.

“Nossas vidas parecem muito mais interessantes quando filtradas pela interfa-
ce sexy do Facebook. Estrelamos nossos próprios filmes, fotografamos inces-
santemente a nós mesmos [...]. Curtimos o espelho e o espelho nos curte. Ser
amigo de uma pessoa significa incluí-la em nossa lista particular de espelhos
elogiosos.”
Jonathan Franzen, em Como Ficar Sozinho (2012)

1. O caminho da ironia teresses daqueles que se apressam a ciais – e foco especial no Facebook.
redigi-los e divulgá-los. Desse modo, cabe primeiro tecer
A vida on-line extinguiu a priva- Quem são os redatores desses considerações de ordem conceitual,
cidade? obituários? Quais as razões da na- para, depois, examinar e traçar para-
Nos idos de 1897, o escritor turalização da exibição pessoal nos lelos entre falas, eventos históricos
Mark Twain (1835-1910) veio a pú- ambientes digitais? Afinal, o que e casos emblemáticos que refletem
blico desmentir notícias fúnebres a está em jogo nos discursos que, em as tensões e embates em torno da
seu respeito, com uma declaração detrimento do direito à privacidade, privacidade na sociedade (do espe-
que ficou famosa: “Os relatos sobre enunciam a elevação de certo tipo táculo e do controle) em rede.
minha morte são exagerados”. Hoje, de publicidade exacerbada ao status
proclama-se de modo recorrente de norma social vigente na rede? 2. A realidade ampliada
o fim da privacidade em tempos Este artigo aborda essas ques-
de videovigilância ubíqua, reality tões num momento em que os habi- A sociedade contemporânea, tal
shows dominantes nas grades de tuais regimes de visibilidade estão como descrita por Manuel Castells
programação das TVs, superexpo- em transição. Seu objetivo é chamar (2002), caracteriza-se por trocas e
sição pessoal nas mídias sociais e atenção para as implicações e fun- fluxos informacionais incessantes
tecnologias invasivas web 3.0. Mas damentações discursivas ligadas ao de capital e cultura que circulam em
é prudente, seguindo a verve irônica processo de publicização da vida redes que são a chave de sua orga-
de Twain, verificar se há exageros privada em curso nos ambientes nização e morfologia. No cotidiano
nesses obituários, bem como os in- digitais, com ênfase nas redes so- on-line dessa sociedade em rede, o

104 Fonte
Fonte
Dezembro de 2012
processo de publicização da vida aliar a fome por informação dos privacidade em favor da publicida-
privada acirrou-se de forma expo- conglomerados midiáticos do novo de e da transparência em rede seria,
nencial, vide a eclosão das mídias capitalismo digital, em luta por he- nessa perspectiva, um sacrifício in-
sociais na web. Os desdobramen- gemonia na sociedade em rede, à dividual menor e inevitável, válido
tos desse fenômeno se emaranham vontade do usuário de ver, se ver e pelo usufruto geral dos benefícios
numa intricada trama de eventos que ser visto em um espaço público in- da interconexão global.
põem em xeque conceitos, saberes e terconectado. Segundo os pesquisadores Bar-
competências, no âmbito cultural, Contudo, nem toda exposição ry Wellman e Lee Rainie, em maté-
comunicacional, técnico-científico, on-line é voluntária. Quando um ria publicada na Folha de S. Paulo1
econômico, político e jurídico. dispositivo pessoal ou corporativo (19/11/2012), a sociedade colhe
Um cenário em plena ebulição, conecta-se à rede, abrem-se flancos hoje os benefícios da efetiva inte-
no qual indivíduos, grupos, cole- para práticas sub-reptícias de vigi- gração da sociedade que as mídias
tividades, organizações públicas e lância, controle, identificação e co- sociais propiciam. Eles argumen-
privadas estabelecem laços, pro- leta de informações relativas a indi- tam, com base em pesquisas do Pew
movem trocas e fazem negócios, víduos e organizações. Todos estão Research Center2, que redes sociais
por intermédio de uma profusão interconectados em algum nível, e, digitais estão substituindo grupos
de novas modalidades de interação com a plasticidade digital das novas coesos, pequenos e fechados, cons-
virtual. Publicar, buscar, acessar, mídias, o que cai na rede torna-se tituídos por familiares, amigos, vi-
compartilhar, postar, curtir, adicio- passível de usos e abusos à revelia zinhos e lideranças comunitárias,
nar, convidar, cutucar, tuitar, remo- de seus usuários. Vale ressaltar que na oferta de proteção e auxílio re-
ver, incluir, excluir, vazar, baixar, essa ambiência não é prerrogativa cíprocos. Um fenômeno que só faz
subir, rastrear... A cada instante o do espaço informacional. Sensores aumentar na medida em que se am-
vocabulário do dia a dia incorpora e tecnologias discretos monitoram pliam o acesso à banda larga e o uso
neologismos ou ressignifica termos também o chamado espaço físico, de dispositivos móveis, tais como
relacionados a serviços e disposi- de modo a criar uma espécie de tablets e smartphones. Agora, de
tivos tecnológicos que facilitam a realidade ampliada (BRUNO, KA- acordo com Wellman e Rainie, vi-
exposição e o compartilhamento NASHIRO, FIRMINO, 2010), na ve-se um paradoxal novo mundo de
voluntário de conteúdos, em es- qual tudo está imerso e sujeito a al- individualismo conectado, em que
pecial aqueles relativos a dados gum tipo de registro. grupos mais soltos e fragmentados
privados. se ajudam mutuamente, propiciando
Observam-se, assim, sensíveis 3. A força dos laços fracos maior interação e integração social.
mudanças nos regimes de visibi- Nesse sentido, destacam-se os
lidade atuais. Sobrevém o fato de Nos discursos em torno da pri- chamados laços fracos na disse-
que essa miríade de pessoas e ins- vacidade nas redes, é corriqueira minação de informações na web,
tituições, a interagir vertiginosa- a apologia da transparência como em especial nas redes sociais. Pois
mente em rede, agora é composta valor absoluto. Também é comum esses laços – conexões caracteriza-
por produtores-consumidores de que o sacrifício da privacidade seja das pela pouca intimidade ou pro-
conteúdos. O modo centralizado justificado em nome do que Andrew ximidade entre os usuários – são os
de produção-emissão característico Keen – historiador, empreendedor maiores responsáveis por manter
das mídias irradiadas de massa é do Vale do Silício e crítico severo a rede interconectada e fazer com
desafiado pela lógica reticular das das redes sociais – define como “ti- que a informação se amplifique e
mídias distribuídas de grupo, cujo rania utilitária de uma rede coleti- atinja mais pessoas (ZAGO, 2011).
epicentro é a internet. va” (KEEN, 2012, p.23). Subjacen- Entretanto, não se trata apenas de
Trata-se da emergência de um te a esse viés utilitarista, uma era de difundir informação. Conforme ma-
complexo ecossistema digital con- superexposição de dados privados téria da Technology Review (MIT),
jugado a um ethos de espetaculari- on-line se instaura na sociedade in- reproduzida na Época Negócios,
zação da intimidade. O que implica terconectada. Renunciar ao direito à em agosto deste ano, estudos re-

1 Disponível em <http://www1.folha.uol.com.br/tec/1186647-estudos-reabrem-debate-sobre-o-impacto-de-redes-sociais-na-vida-das-pessoas.shtml>.
Acesso em: 20 nov. 2012.
2 Disponível em <http://pewinternet.org/Reports/2012/Online-Pictures.aspx>. Acesso em: 20 nov. 2012.

Dezembro de 2012
Fonte
Fonte 105
alizados pelo Data Science Team3 das virtualmente, em prejuízo de um país a partir de dados computa-
do Facebook demonstram ser sig- suas próprias identidades. dos pela rede social. Versão alterna-
nificativa a influência de amigos ou Não obstante, a despeito das ra- tiva do usual Produto Interno Bruto
contatos próximos (laços fortes) nas zões e desrazões que movem detrato- (PIB), a elaboração do índice utili-
informações compartilhadas na rede res ou apologistas das mídias sociais, zou o registro de ocorrências de ter-
social; não obstante, essa influência há certo consenso quanto à sentença mos e frases que denotam emoções
está bastante aquém daquela exerci- de que a privacidade estaria ameaça- positivas ou negativas para gerar um
da por um conjunto de laços fracos da, ou até mesmo condenada, pelas modelo estatístico de análise de ten-
que define, em grande medida, a que contingências da vida on-line – os dências sociais.
tipo de informações os usuários são dois pesquisadores e o historiador Não à toa, os críticos das mí-
expostos. convergem quanto à ameaça à priva- dias sociais retomam o fio da his-
Essa sociabilidade em rede, com cidade e aos riscos do uso indevido tória para associar os princípios da
suas práticas, valores e processos de dados de usuários por grandes filosofia utilitarista – que não tinha
comunicativos ligados à lógica das conglomerados e entidades governa- em grande conta a privacidade – às
mídias distribuídas de grupo, afeta mentais4. ideias professadas por visionários
profundamente a relação entre pes- contemporâneos da web 3.0. O uti-
soas e organizações. Como visto no 4. A mensuração da felicidade litarismo é uma linha de pensamento
item anterior, os indivíduos agora que busca estabelecer o cálculo do
são também produtores e dissemina- Retoma-se aqui a reflexão sobre bem comum, ao propugnar uma éti-
dores de conteúdos nas redes, com a perspectiva utilitarista de discursos ca de maximização da utilidade e da
meios de expressão e influência antes que apregoam o sacrifício da privaci- felicidade como resposta às questões
inimagináveis. Instâncias públicas, dade em prol de um bem maior. Dis- sobre como conduzir a vida em so-
privadas e do terceiro setor, além da cursos como o de Mark Zuckerberg, ciedade. Seu maior expoente é o fi-
própria mídia tradicional, se veem na fundador do Facebook, que declarou lósofo, jurista e reformador social in-
contingência de formular estratégias a privacidade extinta5, em janeiro de glês Jeremy Bentham (1748-1832)6,
de presença nesses ambientes digi- 2010. Na ocasião, Zuckerberg justifi- autor do lema: “A maior felicidade
tais, para estabelecer canais de rela- cou o sentido de alterações na políti- possível para o maior número possí-
cionamento on-line, prestar contas e ca de privacidade da rede social com vel de pessoas”.
proteger ou incrementar suas marcas. base em evidências de que a publi- Bentham celebrizou-se ainda
Difícil missão esta, a de acompanhar cidade ascendera ao posto de valor pela concepção do panóptico, um
e tentar responder de forma coerente hegemônico na rede. Desse modo, a modelo de prisão circular que pro-
à dinâmica mutante de um cotidiano maioria dos usuários da web no pla- piciava ao observador a visualização
on-line que a todos desafia. neta teria decidido, por livre escolha, de todos os locais onde estivessem
Cenário no qual Wellman e “curtir” os benefícios da publiciza- os presos – ou alunos, trabalhadores
Rainie não constatam evidências ção de seus dados privados nas redes e pacientes, uma vez que o modelo
sistemáticas de que as redes sociais sociais. fora projetado para funcionar tam-
tenham um efeito desagregador, ao Dois anos depois dessa decla- bém em escolas, oficinas e manicô-
contrário do alarido das críticas. Uma ração, a “nação Facebook” só fez mios. Transparência aí implicava,
conclusão diametralmente oposta ao crescer, alcançando a marca de 1 portanto, racionalização, eficiência,
teor das recriminações alardeadas bilhão de habitantes virtuais. Uma visibilidade e controle, na esteira de
por Andrew Keen (2010), para quem nação que produz índices peculiares. processos de disseminação progres-
as redes sociais estão dividindo, di- A equipe do Data Science Team do siva e sistemática de dispositivos dis-
minuindo e desorientando usuários Facebook concebeu um modo de cal- ciplinares nas instituições da socie-
que se associam a identidades cria- cular a “Felicidade Interna Bruta” de dade ocidental (FOUCAULT, 2009).
3 O Data Science Team do Facebook (http://pt-br.facebook.com/data) é um “núcleo que usa ferramentas como a matemática, a programação, a psicologia e a
sociologia para garimpar dados e fazer avançar o negócio da companhia”, de acordo com reportagem da Technology Review, publicada na revisa Época Negócios,
em agosto de 2012.
4 Disponível em <http://www1.folha.uol.com.br/tec/1186647-estudos-reabrem-debate-sobre-o-impacto-de-redes-sociais-na-vida-das-pessoas.shtml>. Acesso
em: 20 nov. 2012.
5 Disponível em <http://readwrite.com/2010/01/09/facebooks_zuckerberg_says_the_age_of_privacy_is_ov>. Acesso em: 20 nov. 2012.
6 Disponível em <http://pt.wikipedia.org/wiki/Jeremy_Bentham>. Acesso em: 20 nov. 2012.

106 Fonte
Fonte
Dezembro de 2012
Tais dispositivos prefiguraram sentantes de conglomerados de mí- gir à camada visível em que forne-
novos regimes de visibilidade e dia social anunciam o fim da priva- cem aos indivíduos meios e facili-
formas sutis e naturalizadas de vi- cidade, é preciso ter em mente que dades para o compartilhamento de
gilância (e voyeurismo) em rede, esse diagnóstico coincide com os toda sorte de dados pessoais. Con-
viabilizados pelo desenvolvimento modelos de negócio e os interesses forme Ronaldo Lemos, “por trás das
intensivo das tecnologias da infor- estratégicos das empresas a que es- cortinas, os dados dos usuários são
mação e comunicação, notadamente tão ligados. Nesse sentido, Fernanda processados, gerando uma biografia
a partir da segunda metade do sécu- Bruno aponta que companhias como permanente que analisa padrões de
lo XX. Trata-se, assim, da utilização o Facebook bradam pela redução da interação com outras pessoas, si-
de novos, sofisticados e (cada vez privacidade e, ao mesmo tempo, rei- tes, buscas, compras e mais. Revela
mais) dissimulados meios socio- vindicam com fervor “a sua própria o corpo e a alma da pessoa.” (LE-
técnicos para o exercício de moni- privacidade quando são inquiridas MOS, 2012).9 Nessa mesma pers-
toramento, coleta e manipulação de acerca dos usos que fazem da mas- pectiva, Fernanda Bruno faz obser-
dados pessoais on-line. Nesse con- sa de dados pessoais que capturam vação semelhante:
texto, deve-se pensar em situações desses mesmos usuários (e em cujos Submetidos a técnicas de mi-
mais complexas, a exemplo das que bancos de dados residem as verda- neração e profiling, tais dados
dão ensejo a tensões e complemen- deiras moedas de seus negócios)” geram mapas e perfis de con-
taridades entre os modelos panóp- (BRUNO, 2010)7. sumo, interesse, comportamen-
tico, no qual poucos veem muitos, São precisamente as informa- to, sociabilidade, preferências
e sinóptico, em que muitos veem ções publicizadas voluntariamente políticas que podem ser usados
poucos (BRUNO, KANASHIRO, pelos usuários nesses ambientes para os mais diversos fins, do
FIRMINO, 2010). digitais que produzem outras cama- marketing à administração pú-
Outro aspecto dessas práticas de das de dados passíveis de variados blica ou privada, da indústria
monitoramento e coleta de informa- tipos de exploração – com efeito, do entretenimento à indústria da
ções em rede é que elas apresentam os megavolumes de informação ar- segurança, entre outros (BRU-
ao menos duas faces, a proteção e o mazenados e processados nas bases NO, 2010).10
controle social. Visa-se à redução do de dados das grandes corporações Ora, é flagrante o desconhe-
risco de crimes e, de modo conco- das novas mídias se configuram cimento dos usuários quanto ao
mitante, permite-se “a organização como gigantescos e inestimáveis destino de seus próprios dados nos
de informações sobre certos indiví- acervos informacionais. Para fazer ambientes digitais – independente-
duos e grupos sociais que pode ser a gestão dessas informações são de- mente de como se deu a inserção des-
usada precisamente com o objetivo senvolvidas poderosas ferramentas ses conteúdos (de modo espontâneo
de supervisioná-los e controlá-los” e técnicas que geram conhecimen- ou não). De acordo com Wellman e
(BOTELLO, 2010, p.18). to e, principalmente, capacidade de Rainier (2012)11, qualquer informa-
analisar preditivamente as ações das ção que cai na rede ganha uma “vida
5. Os modelos de negócio pessoas, com precisão e lucrativida- social” que lhe confere um caráter
de8. público. Ademais, os ambientes di-
A organização das informações Portanto, sob os termos de polí- gitais em rede são tão suscetíveis
nos ambientes digitais pode ter apli- ticas de uso e privacidade em geral aos novos meios de monitoramento
cação ainda mais ampla no campo não verificadas com a devida aten- e manipulação de conteúdos quanto
do marketing, de modo a explorar o ção pelos usuários comuns, forma- os usuários demonstram desconhe-
veio de oportunidades aberto pelo se essa primeira camada de dados cer o nível de sigilo e criticidade
lucrativo segmento dos Grandes divulgados nas redes. Mas a atuação dos dados pessoais que publicam ou
Dados (Big Data). Quando repre- dessas empresas pode não se restrin- compartilham. Pesquisa recente do
7 Disponível em <http://dispositivodevisibilidade.blogspot.com.br/2010/01/o-fim-da-privacidade-em-disputa.html>. Acesso em: 20 nov. 2012.
8 De acordo com matéria da Technology Review, publicada na Época Negócios, em agosto de 2012.
9 Disponível em <http://www1.folha.uol.com.br/tec/1089398-somos-todos-carolina-dieckmann-nao-existem-mais-dispositivos-pessoais.shtml>. Acesso em:
20 nov. 2012.
10 Disponível em <http://dispositivodevisibilidade.blogspot.com.br/2010/01/o-fim-da-privacidade-em-disputa.html>. Acesso em 20 nov. 2012.
11 Disponível em <http://www1.folha.uol.com.br/tec/1186647-estudos-reabrem-debate-sobre-o-impacto-de-redes-sociais-na-vida-das-pessoas.shtml>.
Acesso em: 20 nov. 2012.

Dezembro de 2012
Fonte
Fonte 107
Pew Research Center, realizada nos A publicização quase compul- - 37% dos pais e responsáveis
EUA, revelou que 42% dos usuários sória da vida na sociedade em rede acreditam que não é provável
da web têm ciência de que possuem confirma a percepção inquietan- que seu filho passe por alguma
ao menos uma foto on-line; porém, te de que o viver on-line desafia a situação de incômodo ou cons-
o índice cai para 26% quando se tra- todo instante o direito à privaci- trangimento na internet nos pró-
ta de saber da presença do endereço dade – um fundamento do Estado ximos seis meses;
de suas casas na rede. Democrático de Direito. Daí ser um - 71% dos pais acham que os
Como e com o que exatamen- equívoco negligenciar os aspectos filhos usam a internet com se-
te alguém está se comprometendo educacionais, comportamentais e gurança;
ao instalar um software, baixar um legais envolvidos. Se mesmo quem - 35% acreditam que eles são
aplicativo ou criar uma conta ou toma os devidos cuidados está su- capazes de lidar com situações
perfil em uma rede social? Quem, jeito a ações criminosas em rede, o que os incomodem na web;
dentre o contingente de usuários de que se pode dizer daqueles que ain- - 23% dos usuários entre 11 e
redes sociais e outros serviços on- da carecem de adequada orientação 16 anos já tiveram contato na
line, tem o costume de ler ou con- e proteção? internet com alguém que não
sultar atualizações em termos de uso Corroborando essa percepção, conheciam pessoalmente; den-
e políticas de privacidade? Pois são são eloquentes, embora não surpre- tre esses, 25% declararam ter
nesses documentos que as empresas endentes, os resultados da primeira encontrado pessoalmente al-
buscam se respaldar no momento pesquisa TIC Kids On-line Brasil12, guém que conheceram on-line;
em que tomam a decisão de alterar cujo objetivo principal é medir as - 47% de crianças e adolescen-
ou pôr em prática novas regras. Tais oportunidades e os riscos relacio- tes entre 9 e 16 anos acessam a
questionamentos deveriam fazer nados ao uso da web. O estudo foi internet todos os dias ou quase
parte de um processo de educação divulgado pelo Comitê Gestor da todos os dias em diversos luga-
digital cuja premência é diretamen- Internet no Brasil, em outubro de res: casas, escolas, lan houses.
te proporcional ao acirramento do 2012. Foram entrevistados 1.580
processo de publicização da vida pré-adolescentes e adolescentes O médico Jairo Bouer, em arti-
privada na sociedade em rede. usuários de internet, entre 9 e 16 go na revista Época13, publicado em
anos, e o mesmo número de pais ou novembro de 2012, abordou outras
6. A lei para Carolina responsáveis. Os dados revelam a duas pesquisas brasileiras envolven-
amplitude da exposição pessoal de do jovens. A ONG Safernet14, com
Na contramão do que reza o jovens na internet e a falta de cons- atuação voltada para a segurança
senso comum, virtual não é o con- ciência de boa parte dos pais quan- na rede, divulgou que, dos mais de
trário de real. As contingências da to aos riscos assumidos pelos filhos 3 milhões de denúncias de crimes
vida on-line geram impactos con- nesse ambiente: cometidos na internet no Brasil en-
cretos, variados, frequentes – e, por tre 2006 e 2012, 40% são casos de
vezes, perturbadores. Vide o regis- - 70% dos entrevistados pos- pornografia infantil. O Portal Edu-
tro da ação insidiosa – e corriqueira suem perfil próprio em redes cacional do Grupo Positivo também
– de criminosos cibernéticos contra sociais – o uso das redes sociais promoveu estudo que coloca em
indivíduos e organizações. Mas, no Brasil supera o das crianças evidência a superexposição on-line
se existe alguma apreensão com a e adolescentes europeias nessa e suas ameaças. Conforme a meto-
eventual coleta e exposição não au- faixa etária; dologia dessa pesquisa, jovens estu-
torizada de dados e imagens priva- - 31% permitem que amigos dantes de 13 a 17 anos formularam
dos em ambientes digitais, o com- possam acompanhar seus perfis questões que foram respondidas por
portamento de diversos segmentos públicos – nos quais qualquer quatro mil alunos de escolas parti-
de público parece não refletir tal um pode visualizar as atuali- culares do país. Os resultados reve-
preocupação. zações; lam que os pais de boa parte desses

12 Disponível em <http://www.cetic.br/usuarios/kidsonline/index.htm>. Acesso em: 20 nov. 2012.


13 Disponível em <http://revistaepoca.globo.com/Vida-util/jairo-bouer/noticia/2012/11/juventude-esta-nua-na-internet.html>. Acesso em: 20 nov. 2012.
14 Disponível em <http://indicadores.safernet.org.br/>. Acesso em: 20 nov. 2012.

108 Fonte
Fonte
Dezembro de 2012
jovens não controlam o uso da rede sumir do mapa virtual. Ser “po- tico, tais como: banalização do ci-
por seus filhos e ignoram os conte- pular”, nesse contexto, poderia bercrime; invasão de privacidade;
údos acessados e compartilhados. compensar alguns riscos. [...] O espetacularização da intimidade;
Dentre os dados relevantes, vale anonimato da rede e a barreira interfaces entre mídias irradiadas
citar: da tela do computador parecem de massa e mídias distribuídas de
criar certo distanciamento do grupo; e recomposições entre as
- 28% dos jovens já encontra- risco real (BOUER, 2012).15 noções de público e privado.
ram na vida real pessoas que O fato é que os efeitos da dis-
conheceram na rede; seminação de dados pessoais se 7. A disputa pelo sentido
- 20% tiveram envolvimento amplificam e ganham contornos
amoroso pela internet; inexoráveis nos ambientes digitais. Quais noções se contraporiam
- 20% mandariam sua imagem Evidenciam-se os limites do direi- de modo satisfatório às argumen-
para pessoas que conheceram to em restaurar de modo pleno o tações e evidências cotidianas de
na rede; caráter privado daquilo que se tor- que a privacidade já não mais fa-
- 6% já apareceram nus ou se- na inexoravelmente público numa ria sentido em um mundo on-line?
minus em fotos na internet; rede como a internet e sua memória Numa analogia com a noção de mo-
- 14% já passaram informações imensurável (VIANNA, 2012). Res- dernidade formulada por Bauman
pessoais em sites de bate-papo; ta a quem foi afetado avaliar e lidar (2001), fica a impressão de se estar
- 6% já mostraram partes ínti- com as consequências de um ato ir- sob a égide de uma “privacidade lí-
mas de seu corpo para desco- reverssível, já consumado16. A esse quida”, tal a dificuldade de discernir
nhecidos via webcam. respeito, tornou-se emblemático o limites e formas em meio à diluição
debate público e o processo delibe- de fronteiras entre o privado e o pú-
Cabe perguntar se esses jovens rativo que se seguiram ao roubo de blico. Entretanto, esse modo de ver
têm a noção precisa do preço cobra- dados, tentativa de extorsão e, por a questão revela-se desfocado – a
do por esse tipo de exibição on-line, fim, vazamento criminoso na web história registra que essas fronteiras
abrangendo publicação de fotos, ví- de fotos íntimas de uma celebridade nunca estiveram livres de confla-
deos e revelações de informações de da TV, a atriz Carolina Dieckemann. grações e tensionamentos. As apre-
cunho íntimo, além da exposição a O episódio suscitou discussões so- ciações em torno da privacidade gi-
situações e contatos impróprios na bre privacidade, sigilo e riscos nas ram em torno da atribuição de valor
praça pública virtual. Jairo Bouer redes. Teve o condão de ressaltar la- e da disputa pelo sentido de uma
enfatiza a importância de se traba- cunas na legislação referente a cri- categoria social sujeita a variações
lhar a questão na família e nas esco- mes cibernéticos e acelerar a apro- históricas.
las, sem se esquecer da atuação das vação de projetos de lei específicos As bases da oposição entre coi-
autoridades. E faz uma observação que tramitavam em banho-maria no sa pública e coisa privada remon-
que dá pistas importantes sobre o Congresso. tam às origens da noção de espaço
ethos de espetacularização da inti- Sintomaticamente, a lei sobre público como fórum de discussão
midade e a dimensão do problema a roubo de dados na rede foi apelida- e deliberação cidadãs na polis gre-
ser enfrentado: da com o nome da atriz. A chamada ga. Nesse sentido, os gregos sequer
O pior é que, mesmo sabendo de Lei Carolina Dieckmann foi apro- concebiam ou atribuíam valor a al-
alguns desses riscos, os jovens vada na Câmara dos Deputados, em guma ideia de privacidade: o termo
lidam mal com a exposição. novembro deste ano, e agora segue inglês idiot advém do grego idiotes,
Para muitos, aparecer na rede para a sanção presidencial. O caso palavra que designava a pessoa pri-
(independentemente de como conjuga uma série de elementos vada que não se engajava na vida
isso acontece) é melhor do que que povoam nosso cenário midiá- pública da polis (DE HEART apud

15 Disponível em <http://revistaepoca.globo.com/Vida-util/jairo-bouer/noticia/2012/11/juventude-esta-nua-na-internet.html>. Acesso em: 20 nov. 2012.


16 Aqui, os aspectos comunicacionais, comportamentais e tecnológicos se entrelaçam ao arcabouço jurídico-legal. Segundo uma corrente da tradição
linguístico-semiótica, um dos princípios da comunicação é a sua irreversibilidade, pois não há como retroagir naquilo que já foi comunicado (DE VITTO,
1997 apud SANTAELLA, 2001). O que quer que tenha sido enunciado terá o seu nível de disseminação, apreensão e repercussão no processo de significa-
ção social (ou semiose) que a partir daí se engendrará.

Dezembro de 2012
Fonte
Fonte 109
AMADEU, 2010). tórica resultante de tensões e confli- que é transgressão num primei-
Os ideais iluministas puseram tos sociais, políticos e econômicos, ro tempo torna-se norma pos-
a esfera privada sob suspeição. A razão por que não se trata de uma teriormente (CHARAUDEAU,
reivindicação burguesa por trans- condição “natural”, sujeita a um 2012, p. 117).
parência, em fins do século XVIII, princípio evolutivo que levaria à sua Em suma, o embaralhar de fron-
buscava conferir publicidade à re- substituição pela publicidade. Nessa teiras entre o público e o privado
lação entre os agentes privados e perspectiva, tais embates deixaram acentuou-se com a evolução das
o Estado. Uma concepção que se marcas fundamentais na contempo- mídias no século XX, as quais in-
contrapunha ao modo aristocrático raneidade, a exemplo da separação vestem progressivamente no domí-
de governar, baseado no segredo; e entre público e privado – e a defini- nio privado. Observe-se que, na era
que legou ao arcabouço jurídico dos ção de papéis em cada uma dessas da videovigilância, mídias sociais e
regimes democráticos o princípio da esferas –, além da valorização da fa- reality shows, a acepção de privaci-
publicidade (HABERMAS, 1984), mília, dos direitos do indivíduo, da dade privilegia justamente a “habi-
herança legítima do “século das lu- inviolabilidade do domínio privado, lidade de uma pessoa em controlar
zes”. Vem daí a inspiração de um e do direito ao segredo, à solidão e à a exposição e a disponibilidade de
espaço público virtual inclusivo e proteção do anonimato. informações acerca de si”19, confor-
facilitador da transparência dos atos Patrick Charaudeau assinala me definição extraída da Wikipédia.
administrativos na área pública, sob que a diferença entre o público e o E essa habilidade remete a um jogo
a chancela das políticas de gover- privado não deve ser concebida nos entre controle e exposição que com-
nança eletrônica. termos estritos de oposição fixa. A porta seus riscos, mas não autoriza
Nesse caso, transparência im- rigor, existe uma dinâmica em que ninguém a declarar cabalmente que
plica mecanismos de accountability um se deixa invadir pelo outro, re- as pessoas não mais valorizam a
(prestação de contas/responsabili- compondo-se e redefinindo-se a um privacidade. Mais uma vez Fernan-
zação) e iniciativas de incentivo ao só tempo: da Bruno ajuda a clarear a questão,
debate e à participação comunitária Quando revistas populares co- quando comenta a declaração de
na formulação, escolha e implemen- meçaram a aproveitar-se da Mark Zuckerberg sobre o fim da pri-
tação de políticas públicas – inclu- vida privada das estrelas do vacidade:
sive por meio das redes sociais. Um show business, era para tornar Por um lado, a afirmação de
exemplo nesse campo é a lei federal público o privado; quando a te- Zuckerberg repete o que já se
nº 12.527/2011 – a chamada Lei de levisão moderna mostra os polí- tornou óbvio – o processo de
Acesso à Informação17, aplicável aos ticos, com esposa e amigos em publicização da vida privada
três Poderes da União, dos Estados, programas que tratam da vida nos ambientes de comunicação
do Distrito Federal e dos Municípios. cotidiana, ou mesmo íntima, é contemporâneos [...] Esta cons-
A Lei, que entrou em vigor a par- para tornar público um outro tatação, verdadeira, não implica,
tir de maio de 2012, regulamenta o tipo de privado; quando se fa- contudo, o fim da privacidade.
direito constitucional de acesso dos zem programas com indivíduos Esse fim é falso em muitos ní-
cidadãos às informações públicas. anônimos que são transforma- veis. Para citar apenas um, vale
Com relação à concepção con- dos em heróis por um dia diante lembrar que essa publicização
temporânea de privacidade, Fernan- do público e das câmeras, como não significa que as pessoas não
da Bruno observa que esta resultou nos reality shows, trata-se ainda se importem mais com a sua pri-
de “embates na definição das rela- de tornar público o privado até vacidade, mas sim que elas que-
ções entre o estado e a sociedade ci- então desconsiderado. Assim rem encená-la em público. E en-
vil, o indivíduo e o coletivo” (BRU- sendo, é através dessa sucessão cenar a privacidade em público
NO, 2010)18. Segundo a autora, a de recomposições da oposição pode (com algum risco) implicar
privacidade é uma construção his- entre público e privado que o sobre ela um controle maior e

17 Disponível em <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acesso em: 20 nov. 2012.


18 Disponível em <http://dispositivodevisibilidade.blogspot.com.br/2010/01/o-fim-da-privacidade-em-disputa.html>. Acesso em: 20 nov. 2012.
19 Disponívem em <http://pt.wikipedia.org/w/index.php?title=Privacidade&oldid=31860591>. Acesso em: 20 nov. 2012.
20 Disponível em <http://dispositivodevisibilidade.blogspot.com.br/2010/01/o-fim-da-privacidade-em-disputa.html>. Acesso em: 20 nov. 2012.

110 Fonte
Fonte
Dezembro de 2012
não menor (BRUNO, 2010).20 mações devem ser apreendidos de rios. Pois, como lembra Fernanda
As mudanças em curso não são, forma passiva e acrítica. Afirmações Bruno, aquele que clama pelo fim
portanto, fruto de um encadeamento ou negações em torno da existência da privacidade também pode clamar
linear de fatos que evoluem rumo da privacidade inserem-se numa pelo controle da liberdade e do ano-
a um destino pré-determinado no arena de embates discursivos atra- nimato, ou das práticas de compar-
qual somos enredados. Tampouco vessados por interesses diversos e, tilhamento e colaboração na rede.
os enunciados sobre essas transfor- às vezes, conflitantes e contraditó- Não, a vida on-line não extinguiu a
privacidade.

Referências
AMADEU, Sérgio. Redes cibernéticas e tecnologias do ano- CASTELLS, Manuel. A sociedade em rede. São Paulo: Paz e
nimato: confrontos na sociedade do controle. In: GT Co- Terra, 2002.
municação e Cultura, XVIII Encontro da Compós – PUC CHARAUDEAU, Patrick. Discurso das mídias. São Paulo: Con-
Minas. Belo Horizonte: Compós, 2009. texto, 2012.
ARAGÃO, Alexandre. Social ou Antissocial? São Paulo: Tec FOUCAULT, Michel. Vigiar e Punir: Nascimento da prisão. Pe-
Folha de S. Paulo, 2012. Disponível em <http://www1. trópolis, Rio de Janeiro: Vozes, 2009.
folha.uol.com.br/tec/1186647-estudos-reabrem-debate- HABERMAS, Jürgen. Mudança estrutural da esfera pública: in-
sobre-o-impacto-de-redes-sociais-na-vida-das-pessoas. vestigações quanto a uma categoria da sociedade burguesa.
shtml>. Acesso em: 20 nov. 2012. Rio de Janeiro: Tempo Brasileiro, 1984.
BAUMAN, Zigmunt. Modernidade Líquida. Rio de Janeiro: KEEN, Andrew. #vertigemdigital: por que as redes sociais estão
Jorge Zahar Editor, 2001. nos dividindo, diminuindo e desorientando. Rio de Janeiro:
BENTHAM, Jeremy. O panóptico. Belo Horizonte: Autêntica, Zahar, 2012.
2000. LEMOS, Ronaldo. Somos todos Carolina Dieckmann: não exis-
BRUNO, Fernanda. O fim da privacidade em disputa. Postado tem mais dispositivos pessoais. São Paulo: Folha de São
em 24 jan. 2010. Disponível em <http://dispositivodevisi- Paulo, 2012. Disponível em <http://www1.folha.uol.com.br/
bilidade.blogspot.com.br/2010/01/o-fim-da-privacidade- tec/1089398-somos-todos-carolina-dieckmann-nao-existem-
em-disputa.html>. Acesso em: 20 nov. 2012. mais-dispositivos-pessoais.shtmll>. Acesso em: 20 nov. 2012.
BRUNO, Fernanda; KANASHIRO, Marta; FIRMINO, Rodri- SANTAELLA, Lucia. Comunicação e pesquisa: projetos para
go. Introdução. In: BRUNO, Fernanda; KANASHIRO, mestrado e doutorado. São Paulo: Hacker Editores, 2001.
Marta; FIRMINO, Rodrigo (Org.) Vigilância e Visibilida- SIMONITE, Tom. O que o Facebook sabe? In: Technology Re-
de: espaço, tecnologia e identificação. Porto Alegre: Suli- view, MIT. Boston, 2012. Reproduzido por Época Negó-
na, 2010. cios, ago. 2012.
BOTELLO, Nelson Arteaga. Orquestração da vigilância eletrô- VIANNA, Túlio. Caiu na rede é público. In: O Estado de S. Pau-
nica: uma experiência em CFTV no México. In: BRUNO, lo. São Paulo, 2012. Caderno Aliás. SANTAELLA, Lucia.
Fernanda; KANASHIRO, Marta; FIRMINO, Rodrigo Comunicação e pesquisa: projetos para mestrado e douto-
(Org) Vigilância e visibilidade: espaço, tecnologia e iden- rado. São Paulo: Hacker Editores, 2001.
tificação. Porto Alegre: Sulina, 2010. ZAGO, Gabriela. Considerações sobre a circulação de infor-
BOUER, Jairo. A juventude está nua na internet. In: Revista mações em sites de redes sociais. In: revista Fonte. Belo
Época. São Paulo: Editora Globo, 2012. Horizonte: Prodemge, 2011.

Dezembro de 2012
Fonte
Fonte 111
112 Fonte
Fonte
Dezembro de 2012
FIM de PAPO
C-O-R-I-N-T-H-A-S

E
ste ano decifrei os códigos secretos que meu tio
usava para marcar o custo das mercadorias na
sua loja de roupas. Depois da missa de sétimo
dia, conversando com meus primos que trabalharam
na loja, foi-me revelado o segredo que me intrigava há
mais de 50 anos: o código secreto era C-O-R-I-N-T-H-
A-S para 1-2-3-4-5-6-7-8-9 e X para o zero.
O código secreto encontrado pelo agente secre-
Divulgação

to X-9, escrito por Dashiell Hammett e desenhado por


Alex Raymond em 1934, é mais fácil decifrar, basta
Luís Carlos Silva Eiras ligar os números1.
luiscarloseiras@gmail.com

Figura 1 – Código secreto do X-9 parece complicado, mas é simples

Às vezes, decifrar um código secreto re- erradas. O símbolo usado para “V” é o mesmo usa-
quer uma inteligência excepcional, como é o caso do para “P” e o símbolo usado em algumas mensa-
de Sherlock Holmes ao decifrar os códigos de Os gens para “C” é o mesmo usado para “M”3. Assim,
dançarinos2. Não apenas porque as seis mensagens ao decifrar códigos secretos escritos errados, Sher-
são curtas – o que impossibilita uma análise de fre- lock se mostra muito mais inteligente do que credita
quência das cifras –, mas porque as mensagens estão sua fama.

1 P4THIA SAT. Agente secreto X-9, Devir Livraria, 2010, p. 27.


2 DOYLE, Arthur Conan. Sherlock Holmes. São Paulo: Jorge Zahar Editor, 2006, Volume 3, p. 91-124.
3 Na Figura 2, a mensagem é NEVER (nunca)

Dezembro de 2012
Fonte
Fonte 113
FIM de PAPO

Figura 2 – Os dançarinos de Sherlock dançam errado

Lembrando que a humanidade, segundo os durante a Segunda Guerra Mundial. É só ver a lista
sherlockianos, divide-se entre aqueles que atribuem dos termos técnicos utilizados entre 1940 a 1945:
os erros a Arthur Conan Doyle (um grupo despre- procedimento Banburismus, refletor Caesar, redes
zível e sem imaginação) e aqueles que atribuem os Dolphin, Porpoise, Shark e Triton (isto é, subcódi-
muitos erros encontrados nos quatro romances e gos), catálogo Eins, Cillis, o Herivel Tip [“dica” de
56 contos unicamente ao desleixo narrativo do dr. Herivel, ou Herivelismus], códigos-dentro-de-códi-
Watson4. gos, engrenagens Gamma, fitas perfuradas, quadro
Já Edgar Allan Poe faz tudo direito em O es- de conexões a plugue, processo rodding, tabelas de
caravelho de ouro5. O código secreto é encontrado Bigram, dispositivos de reprodução chamados bom-
e decifrado sem nenhum erro. O tesouro é locali- bes, baralhamento cruzado, texto conhecido e um
zado e dividido. E de quebra, Poe cria o primei- código relacionado de nome Geheimschreiber (es-
ro método de decifração. Daí os elogios de todos critor secreto)7. E, por fim, Colossus, em 1943, o
os hackers. primeiro computador.
Michael Crichton, no romance Esfera6, com- O que se pode deduzir da criptografia é que
plica um bocado. Uma gigantesca nave alienígena, todos os códigos secretos, dos mais simples, como
estacionada no fundo do oceano Pacífico, começa o utilizado pelo meu tio, aos complicados, acabam
a enviar mensagens em código binário. Cada men- sendo decifrados. No ano passado, pesquisadores da
sagem exige um tratamento diferente, até que se Universidade Stanford conseguiram decifrar auto-
estabeleça um diálogo – em inglês, claro. Isso é maticamente os captchas – aquela sequência de le-
ficção, mas, na prática, o problema do Search for tras e números distorcidos que você tem que repetir
Extra-Terrestrial Intelligence (Seti) – www.seti.org em certos sites para provar que você não é um robô.
–, instituto de pesquisa que procura mensagens vin- E quem viu Os vingadores (Joss Whedon, 2012)
das do espaço, é muito pior: não há ainda mensa- viu quando Loki, na cena do coquetel na Alemanha,
gens a decifrar. coloca um aparelho que copia o olho da pessoa e
Mas complicado mesmo foi decifrar as men- transmite a cópia para que Gavião Arqueiro possa
sagens das máquinas Enigmas alemãs pelos ingleses abrir a porta. Nem a biometria escapa.

4 GRANN, David. O diabo e Sherlock Holmes. São Paulo: Companhia das Letras, 2012, p. 13-55.
5 POE, Edgar Allan. Histórias extraordinárias. São Paulo: Abril S.A., 1981, p. 333-375.
6 CRISCHTON, Michael. Esfera. Editora Best Seller, 1988
7 A tempestade da guerra, Andrew Robert. Record, 2012, p. 408

114 Fonte
Fonte
Dezembro de 2012

Você também pode gostar