A própria INFORMAÇÃO é o novo e último perímetro de proteção.
A obsessão e a capacidade de manter segredos têm direcionado o rumo de guerras, monarquias e influenciado a vida em sociedade desde o Egito antigo. A ciência do sigilo vem transformando a forma com que percebemos e garantimos a privacidade e a proteção dos dados. Como testemunha do progresso tecnológico recente e das práticas de segurança da informação em uma fração da história representada por pouco menos de três décadas, parece evidente a exponencial relação de dependência entre a sociedade e a informação nessa nova Economia Digital.
Não é preciso recorrer às estatísticas que mapeiam as pegadas digitais dos cidadãos do mundo para reconhecermos o volume com que estamos produzindo informação digitalizada, e a aceleração do processo de virtualização dos serviços que consumimos.
Uma breve análise sobre nossos próprios comportamentos, produzirá evidências convincentes. Não telefonamos mais para as pessoas; não escrevemos mais cartas; não nos deslocamos tanto mais até uma loja ou a uma repartição pública; não assinamos mais tantos contratos em papel; não entrevistamos mais os candidatos encontrando-os pessoalmente; e quase não pagamos mais as despesas corriqueiras com dinheiro em espécie. Ao invés disso, passamos a redigir emails; a enviar mensagens instantâneas de texto e voz; a comprar tudo no e-commerce; a assinar documentos pela Internet; a estabelecer contato humano por videoconferência; e a realizar transações financeiras quase sem atrito através dos dispositivos móveis.
Onde há pouco só se via matéria sob a forma de papel, caneta, aperto de mão e olho no olho, agora se vê máquina, programa de computador, rede e assinatura eletrônica.
As possibilidades proporcionadas pela tecnologia aplicada, são ilimitadas. As relações sócio-econômicas nunca mais serão as mesmas, e o pivô de toda essa transformação digital é a INFORMAÇÃO LÍQUIDA. Para que a Economia Digital funcione amplamente é necessário permitir que as informações trafeguem em velocidade, em segurança e com alta capacidade de interoperabilidade, o que significa dizer que elas precisam ser capazes de interagir com múltiplos e distintos interlocutores, assumir múltiplas formas, e reagir a múltiplos estímulos heterogêneos para que não sucumbam a potenciais barreiras operacionais.
O conceito de informação líquida está ancorado nos atributos dos meios líquidos em razão da capacidade de alterar sua forma conforme seu recipiente.
Tudo teoricamente evolutivo e funcional, não fossem os efeitos colaterais que tamanha transformação pode gerar. Excluo dessa equação, ao menos neste artigo, os efeitos potencialmente negativos nas relações humanas e na saúde física e mental dos indivíduos, apenas para citar alguns, e concentro-me nos impactos à segurança da informação.
A exponencialidade de relação de dependência entre a sociedade e a informação digital fica evidente diante deste caso real ocorrido em New Orleans em 14 de dezembro de 2019.
Abordagens tradicionais de segurança baseadas em perímetro, e portanto, na segurança oferecida pelos containers que custodiam os dados, não oferecem mais ampla eficácia. O tempo se encarregou de transformar os containers e sua segurança embarcada. Evolutivamente se adaptaram às mudanças de comportamento de uso das informações e conseguiram, em certa medida, manter níveis aceitáveis de confidencialidade, integridade e disponibilidade. Vimos o efeito da descentralização e pulverização dos dados. O declínio do mainframe, do data center privado, do servidor on premisse, e agora presenciamos a ineficácia da segurança no perímetro do end-point, sabedores de que proteger um desktop, notebook ou smartphone, por exemplo, não blinda a inteligência dos negócios exposta em ambientes híbridos, dispositivos vestíveis e IoT, suscetíveis a ameaças diferenciadas e inovadoras.
Penso que chegamos ou estamos muito próximos a chegar – a depender do grau de digitalização do país e/ou da indústria em questão – ao limite da proteção por perímetro como a conhecemos. Similar ao que estamos vendo ocorrer com a Lei de Moore de 1965, estabelecida por Gordon Earl Moore, co-fundador da Intel, e que dizia que o poder de processamento dos computadores dobraria a cada 18 meses em virtude do ritmo de miniaturização dos componentes e do aumento da densidade dos transistores. Em termos computacionais, atingimos o limite de um perímetro físico e entramos em um novo perímetro de dimensão atômica, levando-nos, por exemplo, a pensar diferente e discutir inovações necessárias como a computação quântica, como também entende o cientista Stanley Williams.
“Abandonar a lei de Moore é uma necessidade para fazer avançar a computação e levar os fabricantes de processadores a inovarem.”
Precisamos, portanto, fazer o mesmo com as práticas de proteção de dados orientadas a perímetros concêntricos:desconstruir para reconstruir.Os dados estão na trajetória de se tornarem fluidos, líquidos, adaptáveis, interoperáveis, imperceptíveis, voláteis, onipresentes e, por tudo isso, precisam ser protegidos de forma mais autônoma, inteligente e independente, encarando a própria informação como um novo e último perímetro de proteção: SECURITY BY INFORMATION.
A própria informação terá de adquirir atributos de autogestão e autoproteção, para então ganhar inteligência e autonomia. Ela mesma tomará conta de trocar credenciais com seus interlocutores: redes, devices, sistemas operacionais, apps e usuários, seguindo à risca uma política de tratamento, onde se lê: manuseio, armazenamento, transporte e descarte, definida por seu proprietário em algum repositório público, disponível e confiável como em um ambiente blockchain, potencialmenteincorporando atributos de inteligência artificial que confira ainda mais autonomia para tomadas de decisão caso a informação se depare com algum cenário indefinido e não previamente estabelecido pelas políticas de tratamento elaboradas por seu proprietário ou influenciadas por leis e regulamentações relevantes em sua ‘jurisdição’.
A propósito, momento oportuno para ilustrarmos o modelo funcional da SECURITY BY INFORMATION, conectando com a Lei Geral de Proteção de Dados. Em tempo de LGPD e assumindo a existência de um ecossistema digital interoperativo em que a gestão de segurança é orientada à autonomia da própria informação, não precisaríamos mais nos preocupar com a conduta e aderência dos interlocutores nas inúmeros relações comerciais e/ou de consumo em que houver tratamento de dados pessoais.
Os processos pertencentes e geridos pelos controladores e operadores de dados pessoais irão, por força de uma política acessível globalmente e publicada pelo titular dos dados, respeitar compulsoriamente os limites de finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e prestação de contas, como conferidos pela lei aos titulares proprietários desses mesmos dados.
A Comissão Especial sobre Dados Pessoais aprovou em 10.12.2019 a proposta de emenda à Constituição (PEC 17/19) que insere a proteção de dados pessoais na lista de garantias individuais da Constituição.
De volta ao estado líquido dos dados e, consequentemente, da sociedade, convém explorar o fragmento de pensamento do sociólogo e filósofo polonês, Zygmunt Bauman, nascido em 1925 e falecido em 2017 no Reino Unido, que dizia que:
“a liquidez da sociedade se dá pela sua incapacidade de tomar forma fixa. Ela se transforma diariamente, toma as formas que o mercado a obriga tomar, não propicia a elaboração de projetos de vida de longo prazo.”
Diante de tudo já exposto, precisamos assumir a liquefação da informação e reagir rápido e positivamente à ela. Entender que não existe mais fronteira, tempo e espaço. Que precisamos trabalhar juntos e orquestrados para tornar o ecossistema dessa nova economia digital, mais inteligente, autônomo e preparado para a interoperabilidade que a nova informação demanda. Combinar novas regras para fabricação de máquinas, protocolos e programas de computador como se pavimentássemos um caminho novo para uma nova informação 2.0 que agora precisa se auto gerenciar e se auto proteger.
Security by Information for information
Em uma nova economia digital onde os serviços tendem à alta personalização orientados à individualidade de cada consumidor, precisamos trilhar o mesmo caminho personalizando a segurança da informação por informação.
Se tudo isso ocorrer, veremos mudanças profundas nas inteligências de ataque e defesa, e consequentemente, nos vetores de sobrevivência e desenvolvimento dos negócios.
AUTOR: Marcos Sêmola é executivo de tecnologia da informação, sócio de cybersecurity da EY, especialista em segurança: governança, risco e conformidade, CISM, PCI-DSS, ISO27k, Lead Auditor, professor da Fundação Getúlio Vargas, escritor com cinco livros nas áreas de gestão de riscos, segurança e inteligência competitiva, palestrante, membro-fundador do conselho de administração da ISACA-RJ, vice-presidente de cybersecurity do Instituto SmartCity, membro do comitê de segurança da ABINC Associação Brasileira de IoT, conselheiro do CEBDS para o desenvolvimento sustentável, membro da IAPP International Association of Privacy Professionals, membro fundador da CSEC-BR Conselho Empresarial Brasileiro para Segurança Cibernética, conselheiro da EC-Council para cyber-defesa, diretor do Founder Institute Rio, mentor Endeavor de startups e investidor da Anjos do Brasil.
FONTE: LINKEDIN