O caso do vazamento de informações da agência americana NSA (National Security Agency) e a suspeita de que líderes de diversos países tiveram seus dados violados trouxeram à tona a discussão sobre segurança dos dados e quais são de fato as medidas corretas para garantir a sua privacidade. No Brasil, os defensores do software livre aproveitaram o momento para voltar a incentivar este modelo, alegando que ele poderia garantir maior autonomia e, portanto, mais segurança em relação a outros modelos, o que não obrigatoriamente é verdade.
Além disto, o próprio Poder Executivo, buscando dar uma rápida resposta à sociedade, se apressou a propor, talvez sem a análise técnica adequada, a inclusão no Projeto de Lei do Marco Civil da Internet que está no Congresso em vias de ser votado, de um artigo que prevê a obrigatoriedade de manutenção dos dados de brasileiros dentro do próprio território nacional. É importante destacar que a segurança e a privacidade dos dados não têm a ver com qual plataforma o software foi desenvolvido ou onde os dados estão fisicamente armazenados, mas sim com a política de governança adotada para garantir que estas premissas sejam alcançadas.
Uma boa prática para garantir a confidencialidade dos dados é exigir que os sistemas computacionais utilizados respeitem padrões internacionais de segurança e certificação, como por exemplo, o “Common Criteria” (CC), que é um padrão internacional (ISO/IEC 15408) para segurança de computadores. Este padrão é voltado para a segurança lógica e para o desenvolvimento de aplicações seguras, pois define um método específico para avaliação de ambientes de desenvolvimento de sistemas.
“Common Criteria” é um framework em que os usuários de sistemas computacionais podem especificar seus requisitos funcionais de segurança e garantia. Dessa forma, os fornecedores podem, então, implementar e/ou fazer alegações sobre os atributos de segurança de seus produtos, enquanto que os laboratórios de teste podem avaliar os produtos para determinar se eles realmente cumprem as reivindicações. Em outras palavras, Common Criteria fornece uma garantia de que o processo de especificação, implementação e avaliação de um produto de segurança computacional foi conduzido de uma maneira rigorosa e padronizada.
Por Jorge Sukarie
Na economia mundial atual, o Brasil se utiliza e se beneficia de um fluxo ininterrupto de dados dentro e fora do país. O fluxo internacional de dados é essencial para que empresas brasileiras, de todos os setores da economia – incluindo as pequenas e médias empresas – possam criar produtos e serviços inovadores, aumentar a produtividade, competir no mercado externo, combater fraudes e a criar empregos. Não podemos deixar que uma decisão precipitada, e sem uma avaliação técnica adequada, prive o Brasil do acesso ao Mercado Global e jogue o País num retrocesso que pode ser tão impactante quanto os tempos da Reserva de Mercado de décadas atrás.
Jorge Sukarie é presidente da ABES – Associação Brasileira das Empresas de Software