gestão de segurança da informação… no governo

não faz muito tempo que este blog publicou dois textos onde se discutia segurança e privacidade de informação digital. em um deles, o assunto era o sigilo das informações do imposto de renda [nos EUA] e o que poderia vir a ser o equivalente brasileiro. no nosso caso, não há quem desconheça a lenda urbana [que passou na TV…] da venda das informações do IR no meio da rua. vá ver o texto sobre este assunto.

e foi só a gente falar disso e uma galera invadiu a conta bancária do presidente da frança, o que abriu espaço pra se discutir a segurança das finanças na rede, em um contexto onde se diz [por aí] que o rombo via rede, nas maiores instituições bancárias do país, ronda os R$1M por dia. sei não. mas conheço gente que perdeu, de fato, tudo o que tinha na sua conta bancária e mais o cheque especial entre dormir e acordar. e o crime financeiro, na rede, vai aumentar muito. segundo a polícia federal, os criminosos estão achando que a web é um "ambiente mais seguro"… para o trabalho deles, malfeitores. no futuro, só criminosos realmente primários vão cometer roubos físicos. os competentes estarão no mundo virtual.

o problema, do lado bom da força, é como tornar a web um ambiente mais seguro para quem entrega seu imposto online, usa seu cartão de crédito para fazer compras e pra quem usa o banco virtual. até porque, nos últimos anos, o tamanho do buraco por onde somem nossos dados tem se tornado difícil de medir e controlar. no caso da inglaterra, por exemplo, sucessivos vazamentos em órgãos do governo resultaram na perda de dezenas de milhões de registros de contribuintes, usuários e beneficiários de ações do governo. clique na imagem abaixo pra ver o tamanho do estrago em alguns casos.

data-breach.gif

no brasil,o TCU realizou um estudo sobre TICs no governo e concluiu que"a situação da governança de TI na Administração Pública Federal é bastante heterogênea e preocupante".em particular, não há planejamento estratégico de TICs em 59% das instituições e não há política de segurança de informação em 64% dos órgãos de governo. pouco tempo depois, e quase que certamente motivado pelo estudo do TCU, o gabinete de segurança institucional da presidência da república resolveu decretar uma nova "Metodologia de Gestão de Segurança da Informação e Comunicações" para todos os órgãos da administração pública federal, direta e indireta, tomando por base a norma ISO/IEC 27001:2006

o blog resolveu perguntar a um especialista em segurança de informação, o professor ruy queiroz, do centro de informática da ufpe [disclosure: eu também sou professor do CIn/UFPE] o que ele acha da norma e do movimento do governo para aumentar a segurança da informação que lhe é confiada, em boa parte vinda de nós mesmos, cidadãos e contribuintes aqui fora. a entrevista está a seguir.

blog: o que mais chama a atenção na instrução normativa do GSI/PR?

RQ: Sem dúvida, é positiva a ênfase na conscientização do usuário e na constante avaliação dos riscos a que está submetida a informação que se supõe protegida. Os pontos fracos estão invariavelmente no agente humano, seja por negligência ou por ignorância. Do outro lado, os agentes da ameaça dispõem do benefício do acesso irrestrito à criatividade.

blog: você nota alguma omissão importante?


RQ: Não obstante a simplicidade do modelo, não há menção ao fato corriqueiro de grande importância nesse contexto: a tendência é assumir que ao usar os melhores produtos da mais recente tecnologia de segurança da informação obtém-se a garantia de proteção.  Mais grave, ao depositar toda a confiança em artefatos robóticos numa guerra contra agentes de ameaça humanos, obtém-se um álibi para a fuga da responsabilidade: “houve falha no anti-vírus”, “o firewall falhou”, “a configuração não era a mais apropriada”, “o último patch de segurança não foi aplicado”, etc.

blog: que outro aspecto mereceria destaque nesta discussão de segurança no governo?

RQ: Tal qual numa situação de guerra, é no mínimo ingênuo supor que os agentes da ameaça são agentes racionais. A racionalidade deve estar a serviço da diligência, e nunca da auto-indulgência. A lista de possíveis “ataques” deve estar sempre “correta” para evitar o desgaste com falsos positivos, mas, ao mesmo tempo, precisa ser considerada como, por definição, “incompleta”.

blog: ao que parece, a metodologia é algo "pesada", com muitas regras e procedimentos, quando a boa esperteza e a criatividade também devem ter papel fundamental…

RQ: Aqui continua valendo o princípio de que regras e procedimentos nos servem, mas não os servimos. Rotinas e metodologias, embora úteis, não devem passar ao agente da ameaça a impressão de que o agente defensor é previsível. Aliás, um dos princípios da criptografia moderna é exatamente o de que como é impossível fazer com que o resultado de uma primitiva criptográfica seja realmente aleatório, pelo menos que se faça “parecer” aleatório (ou “pseudoaleatório”): mesmo com tempo e espaço razoáveis deve ser inviável ao adversário distinguir do aleatório.

blog: até que ponto se pode entender a instrução normativa também como uma resposta ao caso recente de vazamento de informações sensíveis sobre a ex-presidentes?

RQ: Vazamento de informações sensíveis é coisa séria. Sabemos que é grande a dependência dos serviços da internet por parte de governos, negócios, atividades de lazer e entretenimento, serviços públicos, etc. Isso tem levado a uma enorme disponibilização pública de dados sensíveis, que, se manipulados inapropriadamente, podem causar sérios prejuízos aos sujeitos associados a tais informações. Cabe perguntar quem, como, e em que grau deve-se responsabilizar pelo vazamento de informações sensíveis? A lei americana responsabiliza o “proprietário” da base de dados, e exige que, ao ser confirmado um vazamento, os sujeitos sejam notificados em curtíssimo prazo (24h). Toda a responsabilidade pelos danos, materiais ou imateriais, decorrentes do vazamento das informações deve pesar única e exclusivamente sob os ombros de quem, sob compromisso de manutenção do sigilo dos dados vazados com o usuário, recolhe e mantém tais informações.

pois é. além de normas, processos e ferramentas, precisamos de leis e uma boa dose de sagacidade, esperteza [do bem], eficiência e eficácia para lidar com a fuga de informação das bases governamentais. parece que a nova resolução do GSI/PR está indo na direção certa. mas vai ser necessário muito investimento [em educação, inclusive, além de processos, métodos e ferramentas] e uma inédita -até agora- continuidade de propósitos na administração federal. além de gente vestindo -na alma, além do corpo- a camisa da segurança nos seus órgãos da administração federal. sem um compromisso radical das pessoas, pouca coisa vai mudar. e há muito o que fazer. melhor começar logo, que o caminho é longo.

para seguir o que ruy queiroz pensa e escreve, seu blog sobre segurança de informação e domínio público está neste link. boa leitura.

Outros posts

EFEITOS de REDE

Este post é um índice de leitura dos textos da série “Efeitos de Rede e Ecossistemas Figitais”, com a co-autoria de André Neves. O texto

O Risco dos Manifestos

Um manifesto é sempre algo [muito] arriscado. Porque um manifesto expressa uma insatisfação com a realidade estabelecida, imediata, ao nosso redor. Um manifesto  não é

IA, no blog: Sugestões de Leitura

Se você está procurando textos sobre IA por aqui… Comece pela série E AÍ… IA: o primeiro texto, Introdução, está no link… tinyurl.com/2zndpt3r; o segundo,

E AÍ… IA [III]

Mas IA, de onde vem, pra onde vai?…   No futuro, há três tipos de inteligência: individual, social e artificial. E as três já são

E AÍ… IA [II]

Trabalho, Emprego e IA   Há uma transformação profunda do trabalho e da produção, como parte da transformação figital dos mercados, da economia e da

EFEITOS DE REDE E ECOSSISTEMAS FIGITAIS [XV]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

E AÍ, IA… [I]

IA fará com que todos sejam iguais em sua capacidade de serem desiguais. É o maior paradoxo desde que Yogi Berra disse… ‘Ninguém mais vai

Efeitos de Rede e Ecossistemas Figitais [XII]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

Efeitos de Rede e Ecossistemas Figitais [xi]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

Efeitos de Rede e Ecossistemas Figitais [x]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

Efeitos de Rede e Ecossistemas Figitais [ix]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

Efeitos de Rede e Ecossistemas Figitais [vi]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

Efeitos de Rede e Ecossistemas Figitais [v]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

Efeitos de Rede e Ecossistemas Figitais [iv]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

chatGPT: cria ou destrói trabalho?

O potencial de relevância e impacto inovador de transformadores [veja A Grande Transformação dos Transformadores, em bit.ly/3iou4aO e ChatGPT is everywhere. Here’s where it came

A Grande Transformação dos Transformadores

Um transformador, na lembrança popular, era [ainda é] a série de filmes [Transformers, bit.ly/3Qp97cu] onde objetos inanimados, inconscientes e -só por acaso- alienígenas, que existiam

Começou o Governo. Cadê a Estratégia?

Estamos em 02/01/2023. Ontem foram as posses e os discursos. Hoje começam a trabalhar um novo Presidente da República, dezenas de ministros e ainda serão

23 anotações sobre 2023 [xxiii]

Este é o 23° de uma série de textos sobre o que pode acontecer, ou se tornar digno de nota, nos próximos meses e poucos

23 anotações sobre 2023 [xxii]

Este é o 22° de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [xxi]

Este é o 21° de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [xx]

Este é o 20° de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [xix]

Este é o 19° de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [xviii]

Este é o 18° de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [xvii]

Este é o 17° de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [xvi]

Este é o 16° de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [xv]

Este é o 15° de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [xiv]

Este é o décimo quarto de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se

23 anotações sobre 2023 [xiii]

Este é o décimo terceiro de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se

23 anotações sobre 2023 [xii]

Este é o décimo segundo de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se

23 anotações sobre 2023 [xi]

Este é o décimo primeiro de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se

23 anotações sobre 2023 [x]

Este é o décimo de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [ix]

Este é o nono de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [viii]

Este é o oitavo de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [vii]

Este é o sétimo de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [vi]

Este é o sexto de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [v]

Este é o quinto de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [iv]

Este é o quarto de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [iii]

Este é o terceiro de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [ii]

Este é o segundo de uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar

23 anotações sobre 2023 [i]

Esta é uma série de textos curtos, de uns poucos parágrafos e alguns links, sobre o que pode acontecer, ou se tornar digno de nota,

Efeitos de Rede e Ecossistemas Figitais [ii]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

Efeitos de Rede e Ecossistemas Figitais [i]

Uma série, aqui no blog [o primeiro texto está em… bit.ly/3zkj5EE, o segundo em bit.ly/3sWWI4E, o terceiro em bit.ly/3ycYbX6, o quarto em… bit.ly/3ycyDtd, o quinto

O Metaverso, Discado [4]

Este é o quarto post de uma série dedicada ao metaverso. É muito melhor começar lendo o primeiro [aqui: bit.ly/3yTWa3g], que tem um link pro

O Metaverso, Discado [3]

Este é o terceiro post de uma série dedicada ao metaverso. É muito melhor começar lendo o primeiro [aqui: bit.ly/3yTWa3g], que tem um link pro

O Metaverso, Discado [2]

Este é o segundo post de uma série dedicada ao metaverso. É muito melhor ler o primeiro [aqui: bit.ly/3yTWa3g] antes de começar a ler este aqui. Se puder, vá lá, e volte aqui.

O Metaverso, Discado [1]

O metaverso vai começar “discado”. E isso é bom. Porque significa que vai ser criado e acontecer paulatinamente. Não vai rolar um big bang vindo

chega de reuniões

um ESTUDO de 20 empresas dos setores automotivo, metalúrgico, elétrico, químico e embalagens mostra que comportamentos disfuncionais em REUNIÕES [como fugir do tema, reclamar, criticar…

Definindo “o” Metaverso

Imagine o FUTEBOL no METAVERSO: dois times, A e B, jogam nos SEUS estádios, com SUAS bolas e SUAS torcidas. As BOLAS, cada uma num

Rupturas, atuais e futuras,
no Ensino Superior

Comparando as faculdades com outras organizações na sociedade,percebe-se que sua peculiaridade mais notável não é seu produto,mas a extensão em que são operadas por amadores.

O que é Estratégia?

A primeira edição do Tractatus Logico-Philosophicus [TLP] foi publicada há exatos 100 anos, no Annalen der Naturphilosophie, Leipzig, em 1921. Foi o único livro de

O Brasil Tem Futuro?

Uma das fases mais perigosas e certamente mais danosas para analisar e|ou entender o nosso país é a de que “O Brasil é o país

Os Velhos Envelopes, Digitais

Acho que o último envelope que eu recebi e não era um boleto data da década de 1990, salvo uma ou outra exceção, de alguém

Houston, nós temos um problema…

Este texto é uma transcrição editada de uma intervenção no debate “De 1822 a 2022 passando por 1922 e imaginando 2122: o salto [?] da

Pessoas, Games, Gamers, Cavalos…

Cartas de Pokémon voltaram à moda na pandemia e os preços foram para a estratosfera. Uma Charizard holográfica, da primeira edição, vale dezenas de milhares

As Redes e os Currais Algorítmicos

Estudos ainda limitados[1] sobre política e sociedade mostram que a cisão entre centro [ou equilíbrio] e anarquia [ou caos] é tão relevante quanto a divisão

O Trabalho, em Transição

Trabalho e emprego globais estão sob grande impacto da pandemia e da transformação digital da economia, em que a primeira é o contexto indesejado que

O ano do Carnaval que não houve

Dois mil e vinte e um será, para sempre, o ano do Carnaval que não houve. Quem sentirá na alma são os brincantes para quem

Rede, Agentes Intermediários e Democracia

Imagine um provedor de infraestrutura e serviços de informação tomando a decisão de não trabalhar para “um cliente incapaz de identificar e remover conteúdo que

21 anotações sobre 2021

1 pode até aparecer, no seu calendário, que o ano que vem é 2021. mas não: é 2025. a aceleração causada por covid19, segundo múltiplas

A Humanidade, em Rede

Redes. Pessoas, do mundo inteiro, colaborando. Dados, de milhares de laboratórios, hospitais, centros de pesquisa e sistemas de saúde, online, abertos, analisados por sistemas escritos

tecnologia e[m] crises

tecnologia, no discurso e entendimento contemporâneo, é o mesmo que tecnologias da informação e comunicação, TICs. não deveria ser, até porque uma ponte de concreto

o que aconteceu
no TSE ontem?

PELA PRIMEIRA VEZ em muitos anos, o BRASIL teve a impressão de que alguma coisa poderia estar errada no seu processo eleitoral, e isso aconteceu

CRIAR um TEMPO
para o FUTURO

em tempos de troca de era, há uma clara percepção de que o tempo se torna mais escasso. porque além de tudo o que fazíamos

Duas Tendências Irreversíveis, Agora

O futuro não acontece de repente, todo de uma vez. O futuro é criado, paulatinamente, por sinais vindos de lá mesmo, do futuro, por caminhos

futuro: negócios e
pessoas, figitais

em tempos de grandes crises, o futuro, às vezes mais do que o presente, é o centro das preocupações das pessoas, famílias, grupos, empresas e

bom senso & saber

uma pergunta que já deve ter passado pela cabeça de muita gente é… o que é o bom senso, e como é que a gente

uma TESE são “só” 5 coisas…

…e uma dissertação e um trabalho de conclusão de curso, também. este post nasceu de um thread no meu twitter, sumarizando perguntas que, durante a

os novos NORMAIS serão FIGITAIS

há muitas empresas achando que… “agora que COVID19 está passando, bora esquecer essa coisa de DIGITAL e trazer os clientes de volta pras lojas”… enquanto

Novas Formas de Pensar em Tempos Incertos

O HOMO SAPIENS anatomicamente moderno tem ceca de 200.000 anos. Há provas de que tínhamos amplo controle do fogo -talvez “a” tecnologia fundadora da humanidade-

Efeitos não biológicos de COVID19

A PARTIR do que já sabemos, quais os impactos e efeitos de médio e longo prazo da pandemia?… O que dizem as pesquisas, não sobre

APRENDER EM VELOCIDADE DE CRISE

TODOS OS NEGÓCIOS estiveram sob gigantesca pressão para fazer DUAS COISAS nas últimas semanas, quando cinco décadas de um processo de transformação digital que vinha,

UM ANTIVÍRUS para a HUMANIDADE

SARS-COV-2 é só um dos milhares de coronavírus que a ciência estima existir, ínfima parte dos 1,7 milhões de vírus desconhecidos que os modelos matemáticos

Mundo Injusto, Algoritmos Justos?

Se um sistema afeta a vida das pessoas, exige-se que seu comportamento seja justo. Pelo menos no que costumamos chamar de civilização. Ser justo é

Silvio Meira é cientista-chefe da TDS.company, professor extraordinário da CESAR.school e presidente do conselho do PortoDigital.org

contato@tds.company

Rua da Guia, 217, Porto Digital Recife.

tds.company
somos um negócio de levar negócios para o futuro, nosso objetivo é apoiar a transformação de negócios nascentes e legados nas jornadas de transição entre o presente analógico e o futuro digital.

strateegia
é uma plataforma colaborativa de estratégia digital para adaptação, evolução e transformação de negócios analógicos em plataformas e ecossistemas digitais, desenvolvido ao longo de mais de uma década de experiência no mercado e muitas na academia.