Por Thiago Galvão
O universo das informações em meios digitais está em frequente e acelerada expansão.
Mas, que informações são estas, onde elas estão armazenadas, quem é o responsável pelo acesso das mesmas e, será que existem leis sobre este assunto?
Muitas vezes somos nós os responsáveis por colocar as informações nos meios digitais, mas em outras situações, o responsável pode ser uma empresa, uma ONG ou um órgão público. Abaixo, falaremos um pouco sobre este assunto, dividindo em tópicos os ambientes mais comuns e as características de cada um deles.
Redes Sociais
Recentemente, o Facebook ultrapassou 500 milhões de usuários e o Twitter ultrapassou os 145 milhões, uma marca impressionante. Mas estes ambientes de “encontro social” já apresentaram diversos problemas de segurança relacionados à privacidade das informações. De quem é a culpa?
Em muitos casos, observamos que muitos usuários divulgam informações pessoais em excesso como endereço, telefone, e-mail, nome de familiares e participam de comunidades que os associam a escolas, faculdades, clubes, academias, etc. Além disso, muitas pessoas publicam fotos pessoais, fotos da família e até mesmo de amigos, que, muitas vezes, não ficam sabendo que suas fotos estão sendo espalhadas por aí.
Neste caso, a responsabilidade da divulgação da informação é do próprio usuário. É o usuário quem deve controlar o tipo de informação que irá colocar neste mundo público.
De outro lado, as empresas donas das redes sociais, também são responsáveis por manter os ambientes seguros e com recursos de proteção, de modo que estas informações não sejam acessadas por pessoas que não deveriam ter acesso. Porém, conforme fatos recentes, os sites são atacados em suas vulnerabilidades e alguns hackers conseguem extrair várias informações, incluindo as senhas, de vários usuários ao mesmo tempo.
Sabemos que a utilização destes recursos é necessária para a integração com os amigos atuais e antigos, com as empresas em que trabalhamos ou que queremos trabalhar, para sabermos das novidades, enfim, para sentirmos parte deste novo mundo tecnológico.
Desta forma, se alguém não deseja correr o risco de ter sua vida particular e de seus familiares exposta para outras pessoas, o melhor é controlar as informações divulgadas e publicar somente o necessário, ou seja, apenas aquilo que você não se preocuparia se, por acaso, aparecesse na página de um jornal na manhã do dia seguinte.
Empresas de Venda de Produtos pela Internet e pelo Telefone
Atualmente, nas lojas virtuais ou na compra de produtos pelo telefone, utilizamos o cartão de crédito para pagar a conta. Você já procurou saber como estas informações são armazenadas? Você saberia dizer hoje em quais sites ou em quais lugares você já comprou pelo telefone utilizando o seu cartão de crédito?
A facilidade de pagar as compras com o cartão de crédito é indiscutível, porém, para a liberação e autorização de um pagamento virtual, (Internet ou Telefone) é preciso passar informações como: número do cartão, a data de validade e o famoso código de segurança. Vamos imaginar um cenário bem comum. Você está em casa com fome e pede uma pizza por telefone. Você está sem troco ou quer acumular pontos no programa de fidelidade do cartão e acaba preferindo a utilização do mesmo, afinal cheque dá trabalho para preencher. Onde será que a atendente anota os dados do seu cartão? Os lugares podem ser diversos, desde um pedaço de papel a um sistema. Supondo que a pizzaria tem um sistema, imagine se o computador não tem antivírus, não tem controle de acesso às informações e é compartilhado com várias pessoas, inclusive para navegar na internet, fazer download de programas ou para trocar mensagens de bate-papo.
Outro cenário interessante são os milhares de sites de lojas, pequenas ou grandes, confiáveis ou não. Você está interessado em um produto como um computador, uma televisão, uma cesta de pães, um item de coleção, uma passagem área, uma reserva de hotel, ou algo do tipo. A melhor forma de pesquisar os preços entre os concorrentes é a Internet, sem dúvida, e pela comodidade de não sair de casa ou às vezes pelo fato de o produto estar disponível apenas em outra cidade, estado ou até mesmo país, você realiza a compra on-line.
Nesta situação, principalmente pelos valores envolvidos e pela distância das lojas com os clientes, diversas informações são solicitadas como nome, endereço, telefone, e os dados do cartão de crédito. Com isso, nossas informações estão sendo armazenadas por aí, em diversos lugares.
Com certeza eu, você, seu parente próximo ou um amigo já utilizou uma das opções de compra mencionadas anteriormente. Mas como temos utilizado estes serviços? Será que avaliamos se o site é verdadeiro, confiável, idôneo e tem boas referências? Avaliamos se são utilizados recursos de criptografia para o processamento das informações? Verificamos se o site tem uma política de privacidade de tratamento das informações? Estamos utilizando um cartão diferente do cartão vinculado à conta bancária para realizar as compras?
Devemos sempre fazer estas e outras perguntas antes de realizar estas compras, para diminuir os possíveis problemas e sempre lembrar que os dados informados estão sendo armazenados de diversas formas por estas empresas, muitas vezes inadequados e inseguros.
Laboratórios
No mês passado, fiz um exame de rotina em um laboratório e, no final do exame, me entregaram uma senha para ter acesso a todos os resultados pela Internet. Você já imaginou como estas informações estão protegidas? O site tem proteções contra ataques de hackers? Existe criptografia no armazenamento das informações? Existe alguma senha que consegue ter acesso a todos os resultados pela Internet?
Infelizmente, não sabemos a real situação de segurança destas empresas e o nível de controle que elas possuem para guardar nossas informações. Precisamos nos preocupar com este assunto e, no mínimo, solicitar que as empresas nos informem o que estão fazendo em favor da segurança de nossos dados. Você já imaginou suas informações referentes à sua saúde expostas por aí?
Empresas Privadas
Hoje, enquanto você está lendo este artigo, milhares de pessoas no Brasil e no Mundo, estão passando por um processo de seleção para uma vaga em alguma empresa. Nesta fase de “namoro” entre as partes, as empresas precisam de diversas informações para avaliar o profissional, tais como: currículo, identidade, carteira de motorista, CPF e, em algumas etapas mais avançadas, de resultados de exames médicos.
Você já parou para pensar como estas informações estão sendo tratadas? O que as empresas fazem com os currículos recebidos diariamente, quem tem acesso a estas informações e se as mesmas são compartilhadas com outras empresas? Muitas organizações possuem processos com controles e atividades para proteger as informações, mas será que todas fazem isso?
Após o processo de admissão, a empresa começa a guardar outras informações sobre seus empregados como histórico profissional, avaliações de desempenho, informações dos familiares para o plano de saúde, dentre outras.
Nestes casos, as empresas realmente necessitam das informações e nós não podemos entrar em paranoia e nos preocuparmos com este cenário, porém, os responsáveis pela área de Recursos Humanos e Segurança da Informação precisam criar e manter controles adequados para a proteção destes dados.
Órgãos Públicos
ENEM, Receita Federal, Departamentos de Polícia, dentre outros órgãos públicos, possuem nossas informações em seus sistemas. Recentemente, estamos vendo diversas notícias sobre acessos inadequados no Imposto de Renda de pessoas ligadas às campanhas políticas.
No caso da Receita Federal, será que existem controles adequados de segurança sobre estas informações? Existem níveis de alçada para acesso a tipos de informações de acordo com a localização do contribuinte ou de acordo com o valor de imposto pago, associado ao nível adequado de hierarquia dentro da receita? Será que existe algum sistema de biometria para identificar todos os acessos e que impeça que as pessoas compartilhem suas senhas?
Será que existem trilhas de auditoria que permitam saber com precisão, o dia e hora do acesso, em que terminal foi feito o acesso e se este acesso foi somente de leitura ou de atualização? Mais ainda: caso alguma informação tenha sido alterada, como estava antes e depois da alteração?
São diversos os controles que podem ser implantados dentro das organizações públicas para manter nossos dados com maior proteção e com acesso devidamente aprovado. As últimas notícias, porém, têm mostrado que os controles não estão bem aplicados e os riscos de vazamento de informações estão cada vez maiores.
Legislações relacionadas à proteção de dados pessoais.
Para todas estas situações, existem diversas leis em outros países, diferentes do Brasil, que protegem o dono da informação e obrigam as empresas mantenedoras dos dados, a execução de controles, implantação de tecnologias e no caso de não cumprimento da mesma, multas expressivas para ressarcir a pessoa que for lesada. Dentre as diversas leis existentes, considero a LOPD um das mais abrangentes sobre o assunto:
LOPD – (Ley Orgánica de Protección de Datos de Carácter Personal) A lei espanhola foi decretada pelo Rei Juan Carlos em 21/12/2007, complementar à lei de 13/12/1999. Trata dos controles necessários à proteção da informação pessoal de qualquer cidadão (Espanhol ou não) que esteja armazenado dentro da Espanha, em meios digitais ou não.
A lei trata de assuntos como a Qualidade dos Dados, incluindo a integridade dos mesmos; o Direito de Acesso à Informação, incluindo controles de quem pode acessar, definição do tempo de acesso por tempo (determinado ou indeterminado); o Consentimento do Dono, incluindo a responsabilidade de comunicar ao mesmo sobre o tratamento a ser dado à sua informação; os Dados de Proteção Especial, onde são tratados os dados sigilosos, principalmente referentes à saúde, religião, ideologia, crença; o Acesso por Terceiros, incluindo autorizações e aprovações necessárias à concessão do acesso; a Exclusão da Informação, onde os dados devem ser excluídos das bases de dados após período determinado; o Monitoramento através de câmeras de vídeo ou qualquer outro em que seja possível a identificação de uma pessoa; a Transferência Internacional de Dados, onde são tratados todas as regras, aprovações e controles necessários para o intercâmbio, envio ou armazenamento de dados em outro país que não tenha legislações especificas sobre o assunto, como o Brasil; dentre outros.
A multa para o não cumprimento da lei pode chegar a 600 mil euros, de acordo com o tipo de informação e o tipo de incidente ocorrido com a mesma.
Conclusão
Como afirma o dito popular: é melhor prevenir do que remediar. Precisamos começar a prevenir, ou seja, temos que proteger nossas informações.
Os recursos tecnológicos como notebook, desktop, smartphone, pendrive, maquinas fotográficas, ipads, etc. são úteis, necessários e às vezes imprescindíveis, porém, precisamos criar regras, controles e recursos para a proteção das informações que eles armazenam, seja na utilização particular, compartilhada ou na empresa.
O Ministério da Justiça deve iniciar ainda 2010 um debate público para uma nova proposta de marco regulatório para a proteção de dados pessoais no Brasil. Nós brasileiros, precisamos aproveitar esta oportunidade e participar, discutir e principalmente tratar o assunto com a devida importância que o mesmo merece. São as nossas informações que estão espalhadas por aí e precisam ser devidamente protegidas.
Thiago Galvão
Fonte: TI Especialista |
Especialista em Segurança da Informação http://www.thiagogalvao.com.br
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.