COMRCIO ELETRNICO: SEUS ASPECTOS DE SEGURANA E PRIVACIDADE Alberto Luiz Albertin Professor do Departamento de Informtica e Mtodos Quantitativos da EAESP/FGV. E-mail: albertn@eaesp.fgvsp.br Rosa Maria de Moura Aluna de ps-graduao na EAESP/FGV. RESUMO: O comrcio eletrnico, com suas aplicaes inovadoras e revolucionrias, tido como uma das tendn- cias emergentes com maior poder potencial de inovao nos processos de negcio nos vrios setores econmi- cos. Com a crescente utilizao de comrcio eletrnico, inclusive Internet, ficam cada vez mais crticos os aspectos de segurana e privacidade das informaes que esto sendo utilizadas. Alm disto, esses aspectos interferem significativamente na adoo dessa tecnologia. O artigo visa a apresentar estudos sobre os aspectos de seguran- a e privacidade, bem como a analisar o problema da resistncia e as estratgias adotadas para a sua superao. ABSTRACT: The electronic commerce, with its innovative applications, is considered as one of the major emergent trends with the biggest contribution to the business processes, for ali industries. With the crescent use of electronic commerce, inc/uding Internet, the aspect of security and privacy of information becomes criticai. These aspects affect directly the adoption of this technology. The article has the objective to present studies about the aspects of security and privacy, as well as to discuss the problem of resistance and the strategy to overcome it. PALAVRAS-CHAVE: comrcio eletrnico, segurana, privacidade. RAE - Revista de Administrao de Empresas So Paulo, v. 38, n. 2, p. 49-61 Abr./Jun. 1998 49 1. KALAKOTA, R., WHINSTON, A. Frontiers of electronic commerce. New York: Addison-Wesley, 1996. 2. ALBERTIN, A. L. O comrcio eletrnico na estratgia de globalizao: um estudo do setor bancrio privado nacional. I Seminrio de Administrao- FEAlUSP, 1996. 3. KALAKOTA, R., WHINSTON, A. Op. cil. 5 0 o ambiente tradicional de negcio est evoluindo rapidamente, com consumidores e negcios procurando flexibilidade para mudar parceiros, plataformas, carreiras e redes. Muitas companhias esto olhando para fora de suas organizaes quando es- to elaborando suas estratgias de negcios. Essas atividades incluem estabelecer cone- xes eletrnicas privadas com clientes, for- necedores, distribuidores, grupos de inds- tria e mesmo com concorrentes. Estas co- nexes, caracterizadas como comrcio ele- trnico, visam incrementar a eficincia das comunicaes de negcio, expandir a par- ticipao no mercado e manter a viabilida- de de longo prazo no ambiente de negcio atual. As aplicaes de comrcio eletrnico so muito variadas. Na sua forma mais comum, o comrcio eletrnico tambm utilizado para caracterizar a troca, sem papel, de informao de negcio, utilizan- do troca eletrnica de dados (electronic data interchange - EDI), correio eletrni- co, bulletin boards eletrnicos, transfern- cia eletrnica de fundos e outras tecnolo- gias similares. Estas tecnologias so nor- malmente aplicadas em reas de alto re- torno, reconhecendo que as atividades de manipulao de papel usualmente aumen- tam as despesas sem adicionar valor. I Por outro lado, o termo comrcio ele- trnico utilizado para descrever um novo enfoque on-line para desempenhar funes tradicionais, tais como pagamentos e trans- ferncia de fundos, entrada e processamento de pedidos, faturamento, gerenciamento de estoque, acompanhamento de carga, cat- logos eletrnicos e coleta de dados de pon- to-de-venda. Mais recentemente, as compa- nhias tm percebido que a propaganda, mar- keting e funes de suporte a cliente tam- bm fazem parte do domnio das aplicaes de comrcio eletrnico. Estas funes de negcio agem como iniciadores para um ciclo de gerenciamento de pedido comple- to, que incorpora as noes mais estabele- cidas de comrcio eletrnico. Nesse ambiente, a utilizao comercial da Internet tem um potencial ainda incal- culvel; entretanto, apesar da euforia ge- ral, muitos administradores permanecem cticos. Vrios artigos e outras publicaes tm proclamado o valor da Internet, po- rm o nmero de compras realizadas ain- da muito baixo. Alm disto, os casos, reais ou no, referentes a falta de seguran- a e a problemas de desempenho tm con- tribudo para o ceticismo. Originalmente criada para servir como um backbone de comunicao nos tempos de crises nacionais, e mais tarde internacio- nais, e apoiar a pesquisa acadmica nos tpicos relativos a defesa, a Internet no tem um ponto central de controle, pois, como seus criadores acreditavam, tal con- trole criaria um inaceitvel risco de falha no sistema, no caso de um ataque hostil, desastre natural ou erro humano. Como re- sultado, o sistema cresceu como uma rede verdadeiramente distribuda e protocolos de rede foram desenvolvidos para criar um ambiente de sistema aberto, permitindo rotear mensagens e informaes atravs de plataformas de rede largamente dispersas. A adoo do comrcio eletrnico ainda est associada cultura e, principalmente, ao que esse sistema ir oferecer para que tais transaes propostas, e que atualmente so realizadas de forma consolidada e conheci- da, possam ser praticadas de forma segura. No momento, segundo pesquisas, uma das maiores preocupaes dos executivos de TI com relao a segurana. SEGURANA NO COMRCIO ELETRNICO Como uma das discusses atuais no am- biente de comrcio eletrnico, a utilizao co- mercial da Internet tem sido matria de vrios estudos e preocupaes em vrias organizaes. Isto tem revelado que as empresas esto utili- zando a Internet para correio eletrnico e en- vio e recepo de arquivos, mas ainda no es- to utilizando todo o potencial da information highway como um meio de fazer negcios e atingir novos clientes. Uma das principais preocupaes sobre essa utilizao referen- te aos aspectos de segurana.' Os aspectos complexos de segurana, pri- vacidade, autenticao e anonimato tm es- pecial importncia para o comrcio eletrni- co. Confidencialidade, confiabilidade e pro- teo das informaes contra ameaas de segurana so um pr-requisito crtico para a funcionalidade do comrcio eletrnico.' Segundo pesquisas, o nmero de casos de violao da segurana de acesso aos compu- 1998, RAE - Revista de Administrao de Empresas / EAESP / FGV, So Paulo, Brasil. COMRCIO ElETRNICO: SEUS ASPECTOS DE SEGURANA E PRIVACIDADE tadores tem crescido 50% ao ano desde 1988, sendo que a maioria dos casos refere-se a violao de e-mai! ou entrada nos computa- dores atravs dele." Ameaas de segurana A ameaa de segurana definida como uma circunstncia, condio ou evento com potencial de causar danos em dados ou re- cursos de rede, na forma de destruio, ex- posio, modificao de dados, negao de servio, fraude, perda ou abuso.' As ameaas de segurana de mensagem podem ser divididas em trs categorias: Confidencialidade de mensagem: a confidencialidade importante para as utilizaes que envolvem dados sens- veis, tais como nmeros de cartes de crdito. Este requisito ser ampliado quando outros tipos de dados, tais como registro de empregados, arquivos gover- namentais e nmeros de seguro social co- mearem a ser tratados atravs da rede. A confidencialidade impede o acesso a tais informaes ou a sua liberao para usurios no autorizados. Integridade de mensagem e sistema: as transaes de negcio requerem que seus contedos permaneam inalterados durante seu transporte. Em outras pala- vras, a informao recebida precisa ter o mesmo contedo e organizao que a informao enviada. Enquanto a confi- dencialidade protege contra a monitoria passiva de dados, os mecanismos para integridade tm que prevenir os ataques ativos envolvendo a modificao de da- dos. Autenticao/identificao do emissor da mensagem: para comrcio eletrni- co importante que os clientes se au- tentiquem para os servidores, que os ser- vidores se autentiquem para os clientes e que ambos se autentiquem um ao ou- tro. A autenticao um mecanismo pelo qual o recebedor de uma transao ou mensagem pode ter certeza da iden- tidade do emissor e/ou da integridade da mensagem. Em outras palavras, a auten- ticao verifica a identidade de uma en- tidade, um usurio ou um servio, utili- zando certas informaes criptografadas transferidas do emissor para o destina- trio. R AE v. 38 n. 2 Abr./Jun. 1998 A maioria das ameaas de segurana de executar software cliente resulta da nature- za da Internet, que permite que estes progra- mas interpretem dados carregados de servi- dores arbitrrios. Na ausncia de checagem destes dados, o risco subverter programas rodando no sistema. As ameaas a clientes surgem, principalmente, de dados ou cdi- gos prejudiciais, que se referem a: Vrus: um segmento de cdigo que re- plicado atravs da anexao de cpias de si mesmo nos executveis existentes. A nova cpia do vrus executada quando o usurio ativa o programa hospedeiro. Cavalo de Tria: um programa que de- sempenha uma tarefa desejvel mas tam- bm inclui funes inesperadas e inde- sejveis. Worm: um programa auto-replicante que autocontido e que no necessita de um programa hospedeiro. O programa cria uma cpia de si mesmo e causa sua exe- cuo, no requerendo a interveno do usurio. A ADOO DO COMRCIO ELETRNICO AINDA EST ASSOCIADA CULTURA E, PRINCIPALMENTE, AO QUE ESTE SISTEMA IR OFERECER PARA QUE AS TRANSAES PROPOSTAS, E QUE ATUALMENTE SO REALIZADAS DE FORMA CONSOLIDADA E CONHECIDA, POSSAM SER PRATICADAS DE FORMA SEGURA. Uma outra ameaa de segurana que est surgindo no mundo do comrcio eletrnico o cdigo mvel, agente de software, que em muitas maneiras pode ser comparado com as tradicionais ameaas de vrus. O cdigo m- vel um programa executvel que tem a ha- bilidade de mover-se de mquina para mqui- na e tambm se invoca sem influncia exter- na. Estas ameaas podem ser divididas em 4, MARTINS, 1., GUROVITZ, H, Iluso de privacidade, Ex ame, ano 30 , n.Z, maro 1997, 5 , KALAKOTA, R" WHINSTON, A, Op, cit. 5 1 duas categorias: ameaas para o ambiente computacional local de software mvel; controle de acesso e ameaas a servido- res que incluem imitao, bisbilhotice, negao de servio, substituio e modi- ficao de pacotes. As ameaas a servidores consistem em modificaes no autorizadas de dados do servidor, bisbilhotice ou modificao no au- torizada de pacotes de dados de entrada e comprometimento do sistema servidor pela disseminao de falhas no software e atua- o dos hackers. Alguns exemplos: acesso potencial a um grande nmero de sistemas; utilizao de programas UNIX popula- res, como Finger, rsh ou rush, para des- cobrir nomes de contas e ento tentar adivinhar senhas simples, utilizando um dicionrio ou mtodos mais sofisticados; utilizao de bisbilhotice eletrnica para capturar nomes de usurios e senhas no criptografadas enviadas pela rede; poder burlar, ou configurar, um sistema para mascar-lo como um outro sistema, ganhando acesso no autorizado a recur- sos ou informaes. As tecnologias de segurana se protegem desses riscos atravs dos protocolos de se- gurana do tipo SSL ou S-H1TP. O primeiro deles usa um grupo de regras que diz aos computadores os passos a serem seguidos para melhorar o nvel de segurana das co- municaes. Essas regras so: criptografia, que protege contra espreita; integridade de dados, que protege contra manipulao; autenticao, que protege contra perso- nificao. Contudo, esses efeitos protegem os da- dos somente durante a transmisso. Ou seja, os protocolos de segurana de rede no pro- tegem os dados antes de serem enviados ou depois de recebidos. Da mesma forma como se confia nos comerciantes em no divulga- rem as informaes dos cartes de crdito, deve-se confiar nos receptores dos seus da- dos on-line. Preocupaes com segurana As preocupaes com segurana no co- mrcio eletrnico, como mostra a Figura I, podem ser divididas em trs categorias. 5 2 Figura 1 - Preocupaes com segurana Transmisso . &.J' de dados ; ; " ,IJ Defeitos Segurana fsica Software Prtica inconsistente Privacidade 1. Segurana em cliente-servidor: utiliza vrios mtodos de autorizao para ter cer- teza de que somente os usurios e progra- mas vlidos tero acesso a recursos de in- formaes, tais como bases de dados. Me- canismos de controle de acesso precisam ser estabelecidos para assegurar que os usurios apropriadamente autenticados tero acesso a somente aqueles recursos previamente a eles autorizados. Tais me- canismos incluem proteo de senha, car- tes inteligentes criptografados, biometrics e firewalls. 2. Segurana de dados e transmisso: assegura a privacidade e a confidencia- lidade em mensagens eletrnicas e pa- cotes de dados, incluindo a autenticao de usurios remotos nas transaes em rede para atividades, tais como pagamen- tos on-line. O objetivo invalidar qual- quer tentativa de assumir uma outra iden- tidade quando correio eletrnico ou ou- tras formas de comunicao de dados es- to envolvidos. Medidas preventivas in- cluem criptografia de dados utilizando vrios mtodos. 3. Os problemas de segurana de rede cli- ente-servidor podem se manifestar de trs maneiras: defeitos de segurana fsica: originam- se quando indivduos ganham acesso f- sico no autorizado de um computador; defeitos de segurana de software: ori- ginam-se quando programas escritos de forma ruim ou software privilegiado so comprometidos em fazer coisas que eles no deveriam; defeitos de prtica inconsistente: origi- nam-se quando um administrador de sis- tema agrupa uma combinao de hardware e software de tal forma que o sistema seriamente violado do ponto de vista de segurana. As organizaes tm que utilizar produ- R AE v. 38 n. 2 Abr./Jun. 1998 6. LUNT, T. Securing lhe informalion infraslruclure. Communications 01 the ACM. v.39, n.6, p.130 , June 1996. COMRCIO ElETRNICO: SEUS ASPECTOS DE SEGURANA E PRIVACIDADE tos destinados a segurana dos sistemas e precisam de:" medidas de segurana e ferramentas de avaliao de produtos; estratgias para tratar os problemas iden- tificados, considerando os pontos fortes e fracos dos produtos; estratgias de diversificao e redundn- cia, como proteo contra ataques loca- lizados; estratgias de adaptabilidade, permitin- do que os sistemas se reconfigurem quan- do atacados; diagnsticos de segurana e gerencia- mento automatizados. A PROTEO DE REDE MAIS COMUMENTE ACEITA UMA BARREIRA, UM FIREWALI., ENTRE A REDE CORPORATIVA E O MUNDO EXTERNO. Existem muitas razes para ficar atento s propostas atuais de criar uma nova forma de proteo legal para os contedos das ba- ses de dados." At o momento, existe um consenso geral, pelo menos entre os profis- sionais ligados propriedade intelectual, sobre a necessidade de alguma proteo le- gal adicional para os contedos das bases de dados. Mas, uma vez que essa lei mudaria profundamente as regras existentes sobre a extrao e reutilizao de dados, existe a necessidade de ter um cuidado considervel para que no passe inadvertidamente de um estado de pouca proteo de contedos de bases de dados para um estado de superproteo. Considera-se que no momento deve-se construir, na comunidade internacional de criao de polticas sobre a propriedade in- telectual, um tratado que proteja as bases de dados comercialmente significativos do surgimento de mercados, nos quais os pira- tas de dados poderiam minar a habilidade dos produtores de bases de dados de rea- justar seus grandes investimentos para com- pilar e manter os dados. Dada a natureza R AE v.38 n. 2 Abr./Jun. 1998 global da Internet e outros elementos da infra-estrutura de informao emergente, o argumento de alguns autores que o me- lhor enfoque adotar uma norma geral nes- te momento e redefinir os detalhes de sua aplicao no futuro. M~TODOSDEPROTEO Alguns mtodos de proteo, tambm cha- mados de autorizao ou controle de acesso, tm sido desenvolvidos para resolver os pro- blemas de segurana, como por exemplo: Segurana baseada na confiana: sig- nifica confiar em todo mundo e no fazer nada extra para proteo. Segurana atravs de obscuridade: utiliza a noo de que qualquer rede pode ser segura, uma vez que ningum de fora do grupo de administrao poderia ter acesso a informaes operacionais e que os usurios so providos apenas de in- formaes necessrias para suas ativida- des. Esquemas de senha: provm uma bar- reira em primeiro nvel para a intruso acidental, sendo que estes esquemas fa- zem pouco no caso de ataques delibera- dos, especialmente quando palavras co- muns ou nomes prprios so seleciona- dos como senhas. Sistemas biomtricos: so considerados como o nvel mais seguro de autorizao, envolvendo alguns aspectos nicos da pessoa, incluindo comparao de impres- so digital, impresses da palma da mo, padres de retina, verificao de assina- tura e reconhecimento de voz. Estes sis- temas so muito caros. Uma soluo de segurana para proces- samento de transao deve satisfazer os se- guintes requisitos fundamentais de segu- rana:" Confiabilidade: todas as comunica- es entre as partes esto restritas s partes envolvidas na transao. A confiabilidade um componente essen- cial na privacidade do usurio, assim como na proteo da informao pro- prietria e na inibio de roubo de ser- vios ou informao. Autenticao: ambas as partes tm que se sentir seguras de que elas esto se comunicando com a parte com a qual 7. SAMUELSON, P. Legal protecton for dalabase contente. Communications 01 the ACM. v.39, n.12, p.17-23, December 1996. 8. BHIMANI, A. Securing lhe commercial Inlernet. Communications 01 the ACM. v39. n.6. p.29-35 , June 1996. 53 Firewalls 9. APPLEGATE, L M., GOGAN, J. Paving lhe informalion superhighway: an inlroduclion lo lhe Inlernel. Boslon: Harvard Business School Publishing, 1995 . 10 . APPLEGATE, L. M., McFARLAN, F. w., McKENNEY, J. L Corporale informalion syslems management: texts and cases. Boslon: Irwin, 1996. 5 4 elas pensam que esto fazendo negcio. A autenticao usualmente provida atravs de assinaturas e certificados di- gitais. Integridade de dados: o dado enviado como parte de uma transao no deve ser modificvel em trnsito. Similarmen- te, no deve ser possvel modificar um dado enquanto armazenado. Reconhecimento: nenhuma parte pode ser capaz de negar ter participado de uma transao aps o fato. Aplicao seletiva de servios: pode ser desejvel que parte de uma transao seja escondida, enquanto o restante da mes- ma transao fique a vista. Os principais aspectos referentes a se- gurana para os sistemas interorganizacio- nais.? e que foram adaptados por Applegate, McFarlan e Mckenney," esto apresenta- dos no Quadro 1. A seguir sero descritas algumas das so- lues adotadas para tratar do problema de segurana. Quadro 1 - Aspectos de segurana A proteo de rede mais comumente acei- ta uma barreira, um firewall, entre a rede corporativa e o mundo externo. Ofi rewa li um mtodo de proteo que visa a colocar equipamentos, um computador ou um roteador, entre a rede e a Internet, a fim de controlar e monitorar todo o trfego entre o mundo externo e a rede local. Tipicamente, o equipamento permite que os usurios in- ternos da organizao tenham acesso total a servios do lado externo, enquanto fornece acesso seletivo para quem estiver acessando de fora da organizao. Para isto, permite acesso atravs de identificao, senha, en- dereo de IP e outros identificadores. Osfirewalls abrangem desde simples sis- temas de trilhas, que registram todo o trfe- go de rede que passa atravs dofirewall, atra- vs do registro num arquivo ou base de da- dos para finalidade de auditoria, at mto- dos mais complexos, tais como IP packet screening routers, ou seja, um servio de PROBLEMA ASPECTO DE NEGCIO SOLUO Autorizao O usurio tem a permisso de Nome do usurio e senha, ou outro acessar o computador especfico tipo de mecanismo de controle de ou o conjunto de informaes? acesso. Autenticao O usurio verdadeiramente quem Sistema de hardware e software ele diz ser? especfico gera um nmero randmlco, o qual o usurio ir usar para autenticar a Identidade. Integridade A pessoa mandou a mensagem Assinatura digital. como foi recebida? O destinatrio pode ter certeza de que a mensagem no foi alterada? Privacidade A conversao, ou transao de Algoritmos de criptografia de negcio, privada? chave pblica ou privada. Tem algum espionando? Fraude/Furto Tem algum roubando? Polticas e procedimentos de gerenciamento de sistemas, log'e auditoria. Sabotagem Algum pode entrar no sistema e Firewalls e flrebreaks. destruir ou alterar uma informao? Fonte: APPLEGATE, L. M., McFARLAN, F. W., McKENNEY, J. L. Corporate information systems management: texts and cases. Boston: Irwin, 1996, adaptado de APPLEGATE, L. M., GOGAN, J. Paving the information superhighway: an introduction to the Internet. Boston: Harvard Business School Publishing, 1995 . RAE v.38 n.2 Abr./Jun.1998 COMR CIO ELETR NICO: SEUS ASPECTOS DE SEGUR ANA E PR IVACIDADE roteamento esttico de trfego colocado en- tre o roteador do provedor de servio de rede e a rede interna; hardened firewall hosts, mquina stripped-down que tem sido confi- gurada para aumentar a segurana; e proxy application gateways, um servidor especial que tipicamente roda nas mquinas de ftrewall. A Figura 2 apresenta uma estrutura de conexo com a Internet utilizando segu- rana por firewall. Figura 2 - Conexo com a Internet utilizando frewall Internet FirewaJ / 11 Nlio permhido desviar do f/rew:J lI Fonte: KALAKOTA, R., WHINSTON, A. Frontiers of electronic commerce. New York: Addison-Wesley, 1996. o mtodo de proteo baseado em firewall vive em permanente conflito entre facilidade de uso e parania de segurana. Antes de colocar umfirewall, o administra- dor que tem a responsabilidade de projetar, especificar, implementar Ou supervisionar a instalao precisa considerar alguns aspec- tos gerenciais: Poltica de segurana da organizao. Ofirewall instalado para negar todos os servios, exceto aqueles necessrios para atender a misso de conectar a Internet ou oftrewall instalado para prover um m- todo medidor e auditor para regular o aces- so de maneira no ameaadora? Qual o nvel de monitoria, redundn- cia e controle? Tendo estabelecido o n- vel de risco aceitvel para resolver o pri- meiro aspecto, um checklist feito com o que deve ser monitorado, permitido ou negado. A po1tica de firewall deve refletir rea- listicamente o nvel de segurana na rede como um todo. As empresas geralmente designam um ou mais computadores como servidores de rede e procuram proteger cuidadosamente os sis- temas internos com a implantao de um firewall. Em alguns casos, em que requerida R AE v. 38 n.2 Abr./Jun. 1998 segurana em alto nvel, as empresas insta- lamfirebreaks, que so barreiras fsicas atra- vs das quais no existem conexes eletr- nicas entre o servidor e os sistemas de infor- maes internos da empresa. Senhas Em adio aosfirewalls e firebreaks (es- paos protegidos entre doisfirewalls), as se- nhas podem selecionar os usurios prospectivos e garantir que somente aqueles pertencentes a uma lista pr-aprovada pos- sam entrar no sistema. Certamente, isso re- quer um custo administrati vo adicional e s vezes se torna inconveniente para certas reas de comrcio eletrnico. Os benefcios de abrir uma loja eletrni- ca, por exemplo, so muito reduzidos se for necessrio reslringir o acesso somente que- les que j so conhecidos. Por outro lado, pode ser mais apropriado marcar eletronica- mente as mercadorias; assim, poderia ser dado um sinal de alerta se algum tentar dei- xar a loja com uma mercadoria que no te- nha sido comprada ou que no para venda. Mas at mesmo estes esquemas de autori- zao podem ser violados. As senhas podem ser criptografadas, mas tambm podem ser fa- cilmente interceptadas num ambiente de com- putao em rede, no qual existem usurios tecnologicamente sofisticados. Alm disso, em muitas empresas as senhas no so tratadas como propriedade privada e alienvel, e h a possibilidade de as pessoas divulgarem suas senhas para outras. Quando isso no acontece, ainda existe o problema do usurio usar senhas de fcil adivinhao, como nome de familia- res, seqncia de nmeros ou letras etc. Em algumas situaes, as empresas po- dem desejar solicitar aos indivduos que com- provem que eles so quem dizem ser. Um enfoque para autenticar usurios de rede combina hardware e software especiais. Os usurios autorizados a acessar um servidor especfico ou a passar pelo firewall da em- presa recebem um equipamento especial a ser guardado, na forma de um carto magntico que contm um algoritmo de criptografia. Quando o usurio autorizado tenta conectar-se a outro computador da empresa ele recebe um nmero de cinco dgitos, ge- rado randomicamente, como um pedido de senha de autenticao. O usurio alimenta o nmero no equipamento, recebe um outro 5 5 nmero de cinco dgitos e, ento, responde com este nmero como a chave para o pedi- do de senha. Se o sistema remoto ficar satis- feito com a resposta, o usurio ter permis- so de acessar o servidor. OS BENEFCIOS DE ABRIR UMA LOJA ELETRNICA SO MUITO REDUZIDOS SE FOR NECESSRIO RESTRINGIR O ACESSO SOMENTE QUELES QUE J SO CONHECIDOS. Criptografia Criptografia para a maioria das pessoas refere-se a manter as comunicaes priva- das. De fato a proteo de comunicaes sen- sveis tem sido a nfase da criptografia du- rante boa parte da sua histria. Contudo, hoje em dia esta apenas uma parte da criptografia. A encriptao a transformao de da- dos em uma forma no possvel de ser lida. O seu propsito de assegurar privacidade mantendo a informao escondida de qual- quer pessoa a quem ela no destinada, mes- mo queles que podem t-la encriptado. A decriptao o reverso da encriptao: a transformao dos dados encriptados de vol- ta a uma forma inteligvel. A encriptao e a decriptao requerem o uso de informao secreta, referida usual- mente como chave. Dependendo do meca- nismo de encriptao usado, a mesma chave pode ser usada para ambos, encriptao e decriptao, enquanto para outros mecanis- mos as chaves usadas para encriptao e decriptao podem ser diferentes. Mas a criptografia usada hoje em dia mais do que escrita secreta, mais do que encriptao e decriptao. Autenticao uma parte to fundamental da vida como pri- vacidade. Normalmente, a autenticao usada no dia-a-dia, quando se assina o nome para algum documento, por exemplo, e como se est movendo para um mundo em que as 56 decises e contratos so comunicados ele- tronicamente. A criptografia prov mecanismos para tais procedimentos. Uma assinatura digital junta um documento ao possuidor de uma determinada chave, enquanto um carimbo di- gital junta um documento sua criao em um determinado momento. Esses mecanis- mos de criptografia podem ser usados para controlar acesso a um drive compartilhado, a uma instalao de alta segurana ou a um canal de TV pay-per-view. Com apenas poucas ferramentas bsicas possvel construir elaborados esquemas e protocolos que possibilitam pagar usando di- nheiro eletrnico, para provar o conhecimen- to de certas informaes sem revelar a pr- pria informao e compartilhar uma quantia secreta de modo que no menos que trs pes- soas de um grupo de cinco, por exemplo, po- dem reconstruir o segredo. Assim como o campo da criptografia tem avanado, as linhas divisrias para o que e o que no criptografia tm comeado a fi- car confusas. Criptografia hoje pode ser su- mariada como o estudo de tcnicas e aplica- es que dependem da existncia de proble- mas difceis. Um criptologista balanceia mecanismos criptogrficos, e criptologia (do grego krypts lgos) a disciplina de criptografia e criptoanlise combinadas. As informaes sensveis que precisam viajar atravs de canais pblicos, tal como a Internet, podem ser protegidas pela sua criptografia. A criptografia a mutao de informao em qualquer forma (texto, vdeo ou grficos) em uma representao no le- gvel por qualquer pessoa sem uma chave de criptografia. Genericamente, existem dois mtodos de criptografia: com chave secreta (secret key) e com chave pblica (public key). A criptografia com chave secreta envolve o uso de uma chave compartilhada para a criptografia pelo transmissor e a decriptografia pelo destinatrio. As tcnicas de chaves compartilhadas sofrem com o pro- blema de distribuio de chave, uma vez que as chaves compartilhadas precisam ser segu- ramente distribudas para cada par das partes da comunicao. A distribuio segura de cha- ve toma-se um incmodo nas grandes redes. Uma implementao amplamente adota- da de criptografia de chave secreta o Data Encryption Standard (DES), que foi introdu- zido em 1975 pela IBM, National Security R AE v. 38 n. 2 Abr./Jun. 1998 COMRCIO ElETRNICO: SEUS ASPECTOS DE SEGURANA E PRIVACIDADE Agency (NSA) e National Bureau of Standards (NBS, que passou a ser chamado de NIST). O DES um sistema de criptografia de chave secreta simtrico, ou seja, o emissor e o destinatrio precisam conhecer a mesma chave secreta, que utilizada para criptografar e decriptografar a mensagem. Atualmente, os softwares que utilizam o DES esto pronta- mente disponveis e sem custo para qualquer um que acesse a Internet. A criptografia com chave pblica uma forma mais forte e envolve o uso de chaves pblicas. As tcnicas de chave pblica envol- vem um par de chaves, uma chave privada e uma chave pblica associadas com cada usu- rio. A informao criptografada pela chave privada pode ser decriptografada somente uti- lizando a chave pblica correspondente. A chave privada, usada para criptografar a informao transmitida pelo usurio, mantida secreta. A chave pblica utilizada para decriptografar no destinatrio e no mantida secreta. Uma vez que somente o autor legtimo de uma mensagem criptografada tem conhecimento da chave privada, uma decriptao com sucesso, uti- lizando a chave pblica correspondente, ve- rifica a identidade do autor e assegura a in- tegridade da mensagem. A criptografia com chave pblica pode ser utilizada para autenticao de emissor, conhecida como assinatura digital. O RSA um sistema de chave pblica para criptografia e autenticao desenvolvido em 1977 por Ron Rivest, Adi Shamir e Leonard Adleman. O sistema de RSA utiliza um par casado de chaves de criptografia e decriptografia, cada uma desempenhando uma transformao de uma direo dos da- dos. O RSA est tambm desenvolvendo as- sinaturas digitais, que so algoritmos mate- mticos que criptografam um documento in- teiro e que podem ser usados para autenticar documentos eletrnicos da mesma forma que as assinaturas manuscritas so usadas para autenticar documentos em papel. Algumas aplicaes tm utilizado a com- binao de RSA e DES para tomar a comuni- cao mais segura num ambiente de canais no seguros. Um chip, denominado Clipper, foi desen- volvido para desempenhar as funes de criptografia de forma mais segura. Este chip pode ser utilizado da mesma maneira que o DES, mas, devido ao seu projeto, prev a utili- RAE v.38 n.2 Abr./Jun. 1998 zao de chaves de 80 bits e trata os dados em 32 passos (o DES utiliza 56 bits e 16 passos). Considera-se que a criptografia seja a so- luo para os problemas de segurana. No en- tanto, apesar de a criptografia ser necessria para uma segurana forte, ela no suficien- te. Na Internet, a maioria das criptografias utilizada em aplicaes tais como e-mail e browsers da Web. Mas ataques comuns aos sistemas operacionais podem superar as apli- caes de criptografia e mesmo a autentica- o de sistema operacional. O uso de criptografia isoladamente no aumenta a re- sistncia invaso dos sistemas. AS INFORMAES SENSVEIS QUE PRECISAM VIAJAR ATRAVS DE CANAIS PBLICOS, TAL COMO A INTERNET, PODEM SER PROTEGIDAS PELA SUA CRIPTOGRAFIA. Alm disto, importante mencionar que o custo de recuperao de uma informao criptografada alto. A empresa precisa con- trolar a chave de criptografia, ou seja, a custdia da chave. Cada uma das chaves pes- soais de criptografia usadas na empresa tem uma cpia em lugar seguro e acessvel ape- nas ao administrador do sistema. Para se ter uma relao do custo deste sistema podemos dizer que para cada mquina o investimento dez vezes maior do que uma cpia de um programa de correio eletrnico. Assinatura digital No caso de transaes de negcio, reco- menda-se o uso de assinaturas digitais, que desempenham uma funo para documentos digitais similar quela desempenhada pelas assinaturas manuscritas para documentos im- pressos. A assinatura digital permite verifi- car se um documento transmitido eletroni- camente por uma pessoa foi realmente envia- do por esta pessoa e permite a possibilidade de se provar posteriormente. 5 7 SEGURANA NA INTERNET 11. MARTINS, 1., GUROVITZ, H. Op. cil. 58 Uma assinatura digital usada no lugar de uma assinatura manual. Essas assinaturas digitais so usadas como prova de inteno quando atividades como comrcio eletrni- co so envolvidas e apresentam algumas ca- ractersticas como: no so forjveis; provm autenticao ao documento, iden- tificando o autor ou originador; provm integridade ao documento, que no pode ser alterado sem que a altera- o seja detectada; previnem que o documento no seja re- pudiado, ou seja, o assinante no pode alegar posteriormente que no assinou. A FALTA DE SEGURANA DE DADOS E MENSAGENS NA INTERNET TEM SE TORNADO UM PROBLEMA CRTICO DEVIDO AO CRESCENTE NMERO DE EMPRESAS QUE ESTO TENTANDO COLOCAR SEUS NEGCIOS COMERCIAIS NA REDE. A traduo da prova de autoria e inten- o na forma digital requer as seguintes sal- vaguardas: software para suportar assinatura digital; autenticao e identificao convencio- nal, cdigo de identificao e senha, para proteger uma chave privada de indivduo ou organizao; um processo que fornea uma autntica e confivel assinatura digital, que nica para o indivduo ou organizao. As assinaturas digitais devem ser implementadas em um sinal fsico (jIoppy disk, PC Card, Smart Card etc.) que pode ser removido do computador e da rede quan- do no estiver em uso. A proteo do cdi- go de assinatura deve incluir criptografia de forma que no seja possvel para um indi- vduo usar a assinatura digital de outro in- divduo. A falta de segurana de dados e mensa- gens na Internet tem se tornado um proble- ma crtico devido ao crescente nmero de empresas que esto tentando colocar seus negcios comerciais na rede. Esta situao uma das maiores preocupaes das organi- zaes comerciais, especialmente para a alta gerncia. Pela conexo com a Internet, uma rede local de uma organizao pode tornar- se exposta para a populao inteira da Internet. Segundo alguns hackers america- nos, a Internet brasileira muito frgil, po- dendo ser comparada apenas s redes do Chile e da Rssia. 11 A Internet inerentemente insegura. Ne- nhum mtodo de segurana pode reivindi- car impenetrabilidade. A segurana de qual- quer conexo de rede depende dos dois la- dos da conexo, ou seja, o lado do cliente (browser) e o lado do servidor (http:// www.servidor.com). Os seguintes passos so recomendados para aumentar a proteo dos usurios da Internet: Usar sempre as ltimas verses de software, independentemente do fabrican- te. A descoberta de falhas de segurana uma das mais significativas razes para os fabricantes lanarem novas verses de software. Usar a verso de mais alta segurana do software utilizado. Existem softwares que possuem verses com chave de 40 bits e de 128 bits. Os riscos bsicos de segurana nas co- municaes via Internet so: espreita: intermedirios escutando con- versa privada; manipulao; intermedirios mudando a informao em conversa privada; personificao: um remetente ou recep- tor se comunicando sob falsa identifica- o. A situao anloga a compras feitas por telefone a serem entregues pelo correio. Os compradores querem certificar-se de que ne- nhum terceiro ir ouvir o nmero de seu car- to de crdito (espreita), de que ningum pode inserir informao adicional ao pedido ou mudar o endereo de entrega (manipula- o) e de que realmente a empresa vendedora que est do outro lado da linha e no um impostor de carto de crdito (per- sonificao). RAE v.38 n.2 Abr./Jun. 1998 COMRCIO ElETRNICO: SEUS ASPECTOS DE SEGURANA E PRIVACIDADE Algumas das maneiras pelas quais os pro- blemas de segurana na Internet comercial se manifestam SO: 12 Os ataques de bisbilhoteiros na rede po- dendo resultar no roubo de informaes de contas, tais como nmeros de cartes de crdito, nmero de contas de clientes ou informaes sobre saldo e extrato de contas. Similarmente, tais ataques podem resultar no roubo de servios, normal- mente limitados a subscritores, tais como produtos baseados em informao. Os ataques de espionagem de senha po- dendo ser utilizados para obter acesso em sistemas nos quais informaes proprie- trias so armazenadas. O uso crescente de algoritmos fortes de criptografia tem inibido este tipo de ataque. Os ataques de modificao de dados po- dendo ser utilizados para alterar os con- tedos de certas transaes, por exemplo, alterar o sacador em um cheque eletrni- co ou alterar o valor que est sendo trans- ferido para uma conta bancria. Tais ata- ques tambm podem ser utilizados para modificar certos pedidos atravs da rede. Os ataques de falsificao podendo ser utilizados para permitir que uma das par- tes no processo possa ser mascarada. Em tal situao, um indivduo mal intencio- nado pode estabelecer uma "loja de fa- chada" e coletar milhares e s vezes mi- lhes de nmeros de cartes de crdito, nmeros de contas e outras informaes de clientes sem levantar suspeitas. O no-reconhecimento de transaes po- dendo causar maiores problemas com sis- temas de faturamento e acordos de pro- cessamento de transaes. Por exemplo, se uma parte no cumprir um acordo aps o fato, a outra parte pode incorrer no cus- to de processamento de transao sem se beneficiar da transao. A manuteno da segurana e integrida- de de informao atravs das fronteiras in- terorganizacionais sempre um desafio na Internet, entretanto, que ainda se configura como um pesadelo. Lembrando que a Internet cresceu de uma maneira no con- trolada, qualquer pessoa em praticamente qualquer pas pode conectar-se Internet com um computador pessoal, um modem, um endereo na rede e uma conexo com um servidor da Internet. Em analogia ao proble- ma de quantas fechaduras se coloca na porta R AE v. 38 n. 2 Abr./Jun. 1998 de uma residncia, o nvel de segurana de- pende de como o sistema utilizado se exis- tem algumas ligaes diretas entre a Internet e os sistemas de informaes das empresas. Para reduzir estas ameaas de seguran- a, vrios mtodos de proteo so utiliza- dos. O problema no caso do comrcio ele- trnico muito simples: se consumidores e clientes conectam um computador na Internet, eles podem se conectar facilmente a qualquer lugar que a rede alcance. Esta a boa notcia. A m notcia que, sem um con- trole de acesso apropriado, qualquer pessoa pode faz-lo tambm. OS ADMINISTRADORES QUE SO CONTEMPLADOS COM A CONDUO DE COMRCIO ELETRNICO ATRAVS DA INTERNET PRECISAM ASSUMIR QUE QUALQUER PESSOA NO MUNDO PODE VIR E BATER SUA PORTA. No existe, atualmente, nenhum padro de segurana para a Internet. Existem vrias em- presas, como Netscape, EIT/Terisa, Spyglass e outras, propondo vrias solues de segu- rana. A Netscape tem uma proposta de pro- tocolo submetida ao Consrcio W3, chama- do Secure Sockets Layer (SSL), que foi pro- vido para a comunidade Internet na forma de implementao de referncia. Um outro exemplo de protocolo o S-H1TP, da em- presa EIT/Terisa, mas nenhum deles um padro oficial de segurana definido pelo W3C. O W3C um consrcio de empresas cuja misso desenvolver e distribuir software da prxima gerao para a WWW. O desen- volvimento de tecnologia pelo W3C vai aju- dar na expedio de processos de estabele- cimento de padres Internet na IEFT (Internet Engineering Task Force) para a WWW.AIEFTobraodeengenhariae12.BHIMANI.A.Op.cil. 5 9 13. SIPIOR, J. C., WARD, B. T. lhe ethical and legal quandary 0 1 email privacy. Communications of lhe ACM. v.38, n.12, p.48-5 4, December 1995 . 60 desenvolvimento de protocolo da Internet. Ela uma grande e aberta comunidade in- ternacional de desenvolvedores de rede, ope- radores, fabricantes e pesquisadores preocu- pados com a evoluo da arquitetura da Internet e sua suave operao. Os administradores que so contempla- dos com a conduo de comrcio eletrnico atravs da Internet precisam assumir que qualquer pessoa no mundo pode vir e bater sua porta. Eles precisam preservar as redes corporativas internas contra elementos exter- nos no desejados. Em relao a compras pela Internet, a for- ma mais comum de pagamento eletrnico atravs de cartes de crdito. Isto levou as administradoras de carto de crdito Visa e Mastercard a elaborarem um modelo padro de segurana, denominado SET (transao eletrnica segura). PRIVACIDADE Um outro problema grave com o comr- cio eletrnico proteger a privacidade das informaes pessoais. Por exemplo, uma empresa criou uma aplicao Web interna para permitir o compartilhamento de infor- mao entre os empregados internos. Ape- sar do fato de o servidor estar protegido por umfirewall e de o fornecimento de uma se- nha ser requerido, a empresa achou que al- gum poderia quebrar a segurana, entrar no sistema e roubar informaes altamente confidenciais. As transaes financeiras ele- trnicas so tambm uma grande preocupa- o. Muitas empresas, incluindo a Microsoft Corporation e a Visa International, tm anun- ciado parcerias para prover segurana ade- quada para as transaes financeiras on-line. Algumas esto utilizando assinaturas digitais e chaves de criptografia para autenticar da- dos de transaes financeiras, outras reque- rem que as informaes de carto de crdito sejam enviadas por telefone, criando, desta forma, umfirebreak. O mundo on-line do comrcio eletrnico tambm levanta muitos novos aspectos so- bre a privacidade de informao. Quando se compra um livro publicado, assume-se que a proteo de direito autoral e os direitos de propriedade intelectual tenham sido tratados pelo autor e pela editora. Cada livro enca- dernado para garantir que todas as partes do livro sejam consideradas e protegidas como um todo. Contrastantemente, no mundo on-line a in- formao transmitida em pequenos bits e pe- daos que podem ser reconstrudos por mui- tos diferentes usurios em diferentes formas. Leis de direito autoral ainda tm que ser es- critas para acomodar esta situao, e manter a propriedade intelectual e os direitos de pri- vacidade torna-se um pesadelo de logstica. O aumento do nmero de usurios de com- putadores, aplicaes e interconexo de siste- mas, juntamente com o aumento da complexi- dade das capacidades tecnolgicas como um todo, significam uma grande chance para que a privacidade do correio eletrnico (electronic mail ou e-mai/) fique comprometida." As invases de privacidade de e-mail so caracterizadas por duas dimenses: fontes de invaso e tipos de invaso. As comuni- Quadro 2 - Tipos de invaso de privacidade de correio eletrnico Monitorao de Interceptao interna desempenho de Bisbilhotice FONTES DE empregado INVASO Interceptao externa Investigao Hackers legal Interceptao Interceptao autorizada no autorizada Fonte: SIPIOR, J. C., WARD, B. T. The ethical and legal quandary of email privacy. Communications of the ACM. v.38, n.12, p.48-5 4, December 1995 . RAE v.38 n.2 Abr./Jun. 1998 A precificao de uma opo torna-se par- ticularmente complexa quando se pretende aplicar o modelo de Black-Scholes a situa- es particulares, em que as hipteses ini- ciais no so verificadas. Da surge a neces- sidade de alterar a frmula, de modo a acomod-la s carac- tersticas reais da operao. Entre os modelos que surgi- ram, relaxando as hi- pteses de Black- Scholes, podem-se destacar o trabalho de Cox , Ross & Rubiristein," que apresentam um mo- delo de avaliao de opes para tempo discreto (Modelo Bi- nomial). Os mtodos nu- mricos de soluo envolvem uma abor- dagem de programa- o dinmica para a determinao do valor de uma opo. Tra- balha-se na soluo de sistemas de equaes que determinam o valor de uma opo a qual- quer momento em termos do valor da opo no prximo perodo. O mtodo inicia-se por clculos na data de vencimento da opo e vai voltando no tempo cronologicamente, pe- rodo por perodo, para estimar o valor da opo em cada estgio. Ele inicia-se na data de vencimento do contrato de opo, pois nesse momento que o valor "justo" da opo idntico ao seu valor intrnseco. Genericamente," existem dois tipos de mtodos numricos de clculo do valor de uma opo: (1) aqueles que procuram intui- tivamente aproximar-se do processo estoctico subjacente ao valor de uma opo e (2) aqueles que se aproximam pela resolu- o de equaes diferenciais parciais. .................................. o CONCEITO DE OPES REAIS UMA EXTENSO DO CONCEITO DE FLEXIBILIDADE, SENDO QUE COM AS OPES REAIS PROCURA-SE MENSURAR A FLEXIBILIDADE QUANTITATIVAMENTE. .................................. 8. COX, J., ROSS, S., RUBINSTEIN, M. Option pricing: a simplilied approach, J ournal of FinanciaI Economics. 7, p. 229-63, 1979. 9. Uma reviso ampla das tcnicas de mensurao de uma opo pode ser en- contrada no artigo: GESKE. R., SHASTRI, K. Valuation by approximation: a comparison 01alternative option valuation techniques, J ournal of FinanciaI and Ouantitative Analysis. p.15 11-24, March 1985 . 40 ANALISANDO A APLICABILIDADE DA PRECIFICAO DE OPES NA ANLISE DE INVESTIMENTOS (REAL OPTIONS) A maioria das organizaes utiliza crit- rios quantitativos para capturar o custo esti- mado e os benefcios associados com deter- minado projeto. Os mtodos mais populares so a taxa interna de retorno, o valor presen- te lquido e o payback. Entretanto, esses mtodos partem de premissas incorretas, as- sumindo uma posio passiva da administra- o diante das contingncias durante a vida esperada do projeto. Acrescente-se que es- ses mtodos tambm ignoram os efeitos sinrgicos que um projeto de investimento pode proporcionar. Em sntese, os instrumen- tos tradicionais no avaliam corretamente a flexibilidade gerencial. O VPL tradicional estima o valor de um projeto por meio de estimativas do fluxo de caixa futuro de um determinado projeto, sendo esse fluxo posteriormente desconta- do por uma taxa apropriada que mensure o risco ajustado pelo custo de oportunidade do capital. Entre as dificuldades desse m- todo est a previso com exatido e antece- dncia de qual ser o fluxo de caixa futuro, bem como a definio da taxa de desconto a ser utilizada. Na prtica, o fluxo de caixa descontado (DCF) subavalia investimentos, na medida em que ignora aspectos estrat- gicos na tomada de decises, bem como a existncia de determinadas flexibilidades operacionais. As rvores de deciso garantem uma maior flexibilidade sobre os mecanismos tradicio- nais na medida em que as decises so defi- nidas com um maior grau de flexibilidade. Nas rvores uma srie de eventos pode ser mapeada ao longo dos diversos ramos, envol- vendo vrias decises de seqenciamento. Como exemplo de uma rvore de deciso apresentamos simplificadamente o modelo a seguir (Figura 3): Figura 3 - rvore de deciso W .1 investir inves ~ .1 no investir 1 W .1 investir 1(1-P1~ no inves ~ .1 no investir 1 R AE v. 38 n. 2 Abr./Jun. 1998 COMRCIO ElETR6N1CO: SEUS ASPECTOS DE SEGURANA E PRIVACIDADE caes de e-mail correm o risco de intercepo de fontes internas e externas da organizao. As fontes internas so pes- soas empregadas pela organizao, incluin- do executivos, gerentes e colaboradores. As fontes externas so pessoas com as quais a organizao interage, atravs de relaciona- mentos formais e informais. Os relaciona- mentos formais podem ligar provedores de servios, consultores, fornecedores e clien- tes. A interao pode tambm ocorrer na ausncia de relacionamentos informais, com concorrentes, espies corporativos e hackers. A invaso pode ser autorizada ou no autorizada, isto , ela pode ser justificada por uma autoridade interna, tal como um gerente, uma autoridade externa, tal como uma investigao legal, ou ela pode ser uma violao de privacidade totalmente no autorizada. Essas combinaes so or- ganizadas em quatro clulas, conforme apresentado no Quadro 2, que mostra os ti- pos de invaso de privacidade no correio eletrnico. Considera-se que os avanos rpidos da TI obrigam que os sistemas legais resolvam conflitos para os quais no h precedentes. TICA O estudo dos aspectos ticos e sociais na computao tem uma natureza interdiscipli- nar. ticos, historiadores, analistas sociais, socilogos, antroplogos e psiclogos tm contribudo nas pesquisas dessa rea. Ao in- vs de sugerir que se estude cada disciplina separadamente, sugere-se que, da perspecti- va da cincia da computao, todo aspecto tico esteja localizado em um nvel particu- lar de anlise social. Somente a anlise que considera pelo me- nos trs dimenses - tcnica, social e tica - pode representar os aspectos como eles afe- tam a cincia de computao na prtica. Con- siderar cada dimenso separadamente prov alguma viso, mas somente sua interao revela a complexidade desses aspectos. A anlise de qualquer aspecto tambm tem que especificar e examinar a anlise social e o contedo tcnico relacionados. 14 A Figura 3 apresenta a definio de duas dimenses - anlise social e aspectos ticos associados com tecnologia. Uma terceira di- RAE v.38 n.2 Abr./Jun. 1998 menso indicada, mas no especificada por incluir as vrias tecnologias que requerem anlise de alguma parte das primeiras duas dimenses. Uma vez que as mudanas de tec- nologia ocorrem muito rapidamente, espe- cificar as tecnologias limitaria a utilizao do esquema conceitual. Figura 3 - Anlise social e aspectos ticos Global Naes Setores institucionais Culturas Organizaes Comunidades e grupos Indivduo Tecnologias Responsabilidade Individual Profissional Aspectos ticos Qualidade de vida Uso do poder Riscos e confiana Direitos de propriedade Privacidade Eqidade e acesso Honestidade e decepo Fonte: HUFF, C., MARTIN, D. Computing consequences: a framework for teaching Ethical Computing. Communications of the ACM, v.38, n.12, p.75 -84, December 1995 . CONCLUSO Enquanto assinaturas digitais,firewalls, algoritmos de criptografia e senhas podem auxiliar a proteger nossos direitos, eles no so suficientes. Procedimentos e prticas atuais de segurana, privacidade e integri- dade de informao precisam ser exami- nados e as polticas de informao e co- municao interorganizacionais precisam ser estabelecidas. Regulamentaes gover- namentais e aspectos legais precisam ser tratados. Embora todas essas adaptaes ainda devam ser feitas, atualmente os progres- sos conseguidos com as tcnicas de segu- rana e privacidade permitem que as em- presas passem, cada vez mais, a utilizar co- mrcio eletrnico, inclusive como forma de obter vantagem competitiva. O 14, HUFF, C" MARTIN, D, Computing consequences: a framework for teaching Ethical Computing, Communications ot the ACM. v,38, n,12, p,75 -84, December 1995 , 6 1