Академический Документы
Профессиональный Документы
Культура Документы
apenas com o uso das novas tecnologias como por exemplo a compra eletrnica ou com a quebra de
paradigmas atravs de novas aplicaes como o leilo eletrnico ou os metamedirios que so
intermedirios virtuais de transaes comerciais.
Segundo IDC - International Data Corporation, as vendas atravs da Internet movimentariam
cerca de US$ 54 bilhes at o ano 2000, segundo Fajardo [FAJ98] , e at o ano 2002 US$ 327 Bilhes,
Estima Forrester Group, segundo Santos [SAN98].
O rpido crescimento do comrcio eletrnico utilizando a Internet tem sido tolhido em virtude
da sensao de falta de privacidade e de insegurana na realizao de transaes usando essa
tecnologia.
3. Privacidade
A privacidade pode ser definida como o direito que tem o usurio de um sistema - ou o direito
de um cidado- a ter preservadas suas informaes pessoais.
Entende-se por informao pessoal qualquer informao que torne o indivduo identificvel.
Portanto trata-se de dados de contato (nome completo, endereo, telefones, email, etc.), dados de
cobrana ou financeiros (nmero de carto de crdito, nvel de renda, patrimnio, etc.), documentos de
identidade e profissionais (CPF, RG, etc.), informaes scio-demogrficas (sexo, idade, estado civil,
dados tcnicos), dados mdicos (histricos ou condies de sade, etc.), escolaridade (graus e outros)
imagens da pessoa e outras informaes identificveis como hobbies, reas de interesse social,
entretenimento, etc.
Alm das informaes pessoais existem as denominadas informaes pessoais sensveis que
podem ser definidas como sendo aquelas cuja divulgao possa causar algum tipo de constrangimento
moral ou danos ou prejuzos sua pessoa ou a empresa qual pertence. Esto includos nesse critrio
os dados histricos mdicos do usurio em relao sua sade (inclusive registro de compras de
medicamentos, de pesquisa ou solicitaes de servios e informaes ligados sade), os dados que
revelem origens raciais ou tnicas, dados que revelem a opinio poltica, hbitos sexuais, religio ou
credos filosficos e os dados econmico-financeiros como nmero de carto de crditos, de contas
correntes em bancos, de senhas de acesso a servios financeiros on-line, dados sobre renda ou
patrimnio e outras informaes confidenciais que, se divulgadas em o consentimento do usurio,
possam dar origem a fraudes ou outros tipos de problemas.
Evidentemente essa questo da privacidade sempre existiu e no h novidade nenhuma com
relao ao seu sigilo. A tica mdica sempre preservou sigilo sobre a situao de seus pacientes, os
bancos suos so famosos por preservarem sigilo total sobre seus clientes. Os cadastros e bancos de
dados sobre clientes e usurios sempre existiram e sempre foram preservados. O que est ocorrendo de
diferente, entretanto que as novas tecnologias esto permitindo a integrao desses dados, tornando
quase que trivial o cruzamento de informaes de dois ou mas bancos de dados permitindo a
identificao de novas informaes sigilosas sobre o cidado. Essas informaes possuem valor
comercial e podem prejudicar o cidado ou serem usadas de maneira indevida.
Sem a tecnologia de redes, de bancos de dados e da Internet, o cruzamento de informaes sobre
uma pessoa um trabalho muito grande que, na maioria dos casos, no vale a pena fazer. Com essas
tecnologias essa atividade se torna relativamente fcil e o que vai segurar essa invaso de privacidade
so exatamente os aspectos ticos que as organizaes devem passar a adotar e respeitar.
Nesse sentido o Parlamento Europeu [DAV98] e o FTC-Federal Trade Commision dos Estados
Unidos [PIT99], [PIT98] e [DD00] desenvolveram diversos estudos para estabelecer quais seriam os
pontos a serem respeitados para um tratamento tico referente privacidade dos usurios Internet.
Desses estudos, pode-se resumir como requisitos mnimos:
aviso e conhecimento: a Organizao deve identificar-se para o usurio e informar quais
dados est coletando e para qual finalidade;
escolha: a Organizao deve informar ao usurio quais os dados mnimos necessrios para a
prestao de servio solicitado e dar a opo de escolha aos demais dados a serem fornecidos,
consentimento: a Organizao deve esclarecer ao usurio como utiliza os dados pessoais e
solicitar o consentimento para seu uso;
acesso: a Organizao deve possibilitar ao usurio o acesso a seus dados pessoais;
retificao: a Organizao deve permitir ao usurio a retificao de seus dados pessoais;
Observe-se que a Organizao possui acesso aos dados do usurio e deve, com clareza,
especificar como eles sero usados. No h nenhum problema em utilizar esses dados agregados ,ou
seja, que no identifiquem o usurio.
As Organizaes so levadas a elaborarem um Sistema da Privacidade como um meio para
cumprir a sua poltica da privacidade que obedece os princpios acima definidos. Dessa forma fica
garantido o respeito privacidade do usurio.
Hoje, particularmente nos Estados Unidos, existem muitas Organizaes que possuem e
declaram sua poltica de privacidade em seus sites. No Brasil tambm est comeando a ocorrer o
mesmo fenmeno.
4. Segurana
Segurana segundo Simson [SIM99], definida como um conjunto de procedimentos, prticas e
tecnologias usadas para proteger os servidores, usurios da Web e suas empresas e deve possuir os
seguintes aspectos segundo Hutt [HUT95]:
Integridade: a habilidade do sistema em garantir com preciso e confiabilidade os dados
que esto depositado na sua base, sendo que ( hardware, software e comunicao ) devem
possibilitar o trfego entre os pontos ( origem e destino ) sem alteraes, processando-os
corretamente , e no permitir acessos no autorizado. Sendo o desempenho essencial, e que
qualquer fracasso deveria ser previsvel, reportando todos os problemas existentes, a fim de
poder em tempo hbil tomar atitudes para uma imediata ao corretiva.
Disponibilidade : O sistema tem que prover resposta eficiente e capacidade adequada para
apoiar um desempenho aceitvel. Recuperar-se depressa de interrompimentos de longo
prazo. Cpias de segurana de dados, inclusive de equipamentos, Teste constantes do plano
de contingncia deveriam estar em lugar de destaque na administrao do ambiente
computacional. Preveno de alta prioridade , evitar sobrecarga do sistema em
determinados perodos de atividade, evitar a dependncia de equipamentos simples e ou
dispositivos simples de comunicao, Providenciar equipamentos de backup ( dispositivos
de energia, ar condicionado, e outros sistemas de suporte, limitando acesso indevido )
reduzindo a exposio a agentes indesejados e no autorizados.
Controle : Administrao deve ter a capacidade para limitar quem pode ter acesso ao
sistema, quanto de recurso pode ser usada para cada propsito ou funcionalidade, que
propsitos so permitidos, que tipo dados acessvel e transmitido para cada usurio, e que
conexes podem ser feitas. Deveriam ser utilizados controles administrativos e tcnicos.
Medidas administrativas incluem publicao de polticas de segurana, padres, e diretrizes
, treinamento sobre conscientizao sobre questes de segurana procedimentos de controle
de mudana de sistemas, inclusive critrios de segurana no desgnio de sistema, e
monitorao de atividade de sistema , medidas tcnicas incluem controle de acesso (acesso
de sistema, restries de recurso), logon e controle de senha, mtodos de identificao
alternativos (fichas pessoais, assinaturas digitais), isolamento da rede (da rede pblica),
firewalls, e segurana fsica de componentes de sistemas.
Auditoria: Administrao deve usar a funo de auditoria como um rbitro independente,
medir complacncia com polticas de segurana, padres, e diretrizes como tambm avaliar
a suficincia de proteo tcnica. O sistema deve preservar seus dados, bem como a sua
utilizao. Devem ser registrados todos os acessos e eventos solicitados ao sistema.
5. Proposta de uma poltica de segurana
A Poltica deve conter os seguintes tpicos relacionados a seguir, lembrando que no uma
regra, mas cada empresa pode definir seus requisitos de acordo com seus objetivos e necessidades,
conforme relata Caruso [CAR99].
5.1. Propsito da poltica
Apoiar os objetivos da organizao e nunca apoiar-se em ferramentas e plataformas; descrever o
programa geral de segurana da rede; demonstrar os resultados de sua determinao de risco, com as
ameaas que est combatendo e as protees propostas; definir responsabilidades para implementao
e manuteno de cada proteo; definir normas e padres comportamentais para os usurios.
5.2. Contedo da poltica
Descrever os recursos a proteger, programas permitidos; relacionar os participantes do
desenvolvimento das normas, procedimentos e padres, a quem pertence os privilgios e a quem se
Outro tipo de deficincia decorre do fato de que muitos sistemas so grandes, complicados e
difceis de configurar.
Alguns pontos fracos na configurao de sistemas so:
Contas de usurios inseguras ;
Contas de sistema com senhas originais muito conhecidas que no so alteradas ;
Servios de Internet incorretamente configurados ;
Parmetros bsicos inseguros nos produtos.
7. Comportamento versus privacidade e segurana
Do ponto de vista do usurio de sistemas computacionais, ele passa pelas seguintes fases; de
rejeio, adeso involuntria, comportamento e multiplicao. Deve ter como enfoque de trabalho a
responsabilidade com a informao, o comprometimento da informao com a atividade-fim da
organizao, a mudana do relacionamento da viso pessoal da informtica em relao a viso
profissional e o equilbrio do problema tcnico em relao ao comportamental.
O processo de segurana de informao na organizao no traz, por si s, maiores problemas,
mas aflora os problemas existentes. Muitas vezes, esses problemas existentes esto camuflados; em
virtude do ambiente existente ser bastante flexvel.
Segundo Gomes [GOM00], os usurios consideram que o assunto segurana um tema de
responsabilidade dos profissionais de informtica e no um tema que deva ser de preocupao de
todos dentro da organizao.
Os empregados trabalham com informaes, produto diretamente relacionado com a cultura
especfica de cada organizao e a rotatividade de pessoas implica em um processo de aculturao que
dura algum tempo, durante o qual o custo dos erros freqentemente ultrapassa os benefcios da
reduo de custos.
A mudana dos padres culturais no deve se iniciar por setor especfico, mas por todos os
departamentos. Deve transparecer que a preocupao com a privacidade e a segurana sempre fez
parte da cultura da organizao. necessrio vender a idia para todos os membros da organizao,
no somente para o alto escalo, mas todos devem participar efetivamente.
Todas as organizaes, segundo Caruso [CAR99], desenvolvem sua prpria cultura interna, que
guia o relacionamento interno e externo. Qualquer elemento cultural novo que venha fazer parte da
cultura organizacional , inicialmente tratado como elemento estranho. Dentre todas as que mais
sofrem resistncia, a implantao de controles em uma estrutura que normalmente funciona de forma
mais flexvel.
8. O anonimato
Privacidade, segundo a ONU [ONU00], a limitao do acesso s informaes de uma dada
pessoa, ao acesso prpria pessoa, sua intimidade, anonimato, segredos, afastamento ou solido.
Ningum estar sujeito a interferncias na sua vida privada, na sua famlia, no seu lar, ou na sua
correspondncia, nem a ataques sua honra e reputao.
Deste modo, o anonimato, segundo Gomes [GOM00], contribui para a insegurana, pois a rede
democrtica e transcende as divisas polticas geogrficas. O direito a informao, a liberdade de
expresso e o anonimato, so garantidos por qualquer nao democrtica existente. Muitas operaes
so realizadas a todo momento pela Internet como por exemplo, troca de mensagens, e todos que
utilizam este servio quer usufruir do direito de entregar a mensagem somente para o destino enviado.
Claro que existe o lado obscuro, onde pessoas inescrupulosas usam o anonimato para usufruir
em seu benefcio prprio. Mas do mesmo modo que podemos correr o risco de ter alguma informao
violada, existem tambm diversas ferramentas que ajudam a preservar a integridade das informaes
transmitidas pela rede.
Uma interveno completa na rede para inibir este tipo de problema fica complicado em virtude
da presena marcante da Internet em todas as partes, como aplicar sanes legais. So diversas
culturas diferentes. At que ponto o governo pode intervir, uma situao muito polmica, exigindo
um debate amplo e aberto por todos os setores da sociedade global, no somente de um nico pas ou
continente.
9. A Educao e aspectos legais para preveno
Felizmente, tm havido muitas iniciativas de organizaes e governos que estabelecem as boas
prticas a serem seguidas, como descreve o relatrio do FTC [FTC00], que busca a autoregulamentao do processo nos mercados on-line, para garantir a privacidade das pessoas e de suas
informaes; os diversos setores da sociedade e governo trabalham na educao dos usurios para que
estes tambm tenham comportamentos que contribuam para a criao de ambientes seguros e
privados.
A Unio Europia incentiva, segundo relatrio do International Safe Harbor Privacy Principles
[ISH00], a adequao de boas prticas e medidas que garantam a privacidade dos dados e informaes
dos usurios que utilizam servios na Internet, atravs do consenso entre as partes envolvidas no
processo, onde todos tm parcelas de responsabilidade na garantia da qualidade e integridade da
informao. Orienta a sociedade a manter algum relacionamento comercial somente com empresas
que declaram explicitamente em seus sites de comercio eletrnico como as informaes de seus
clientes sero armazenadas e protegidas - ( Poltica de Privacidade ) .
H tambm como exemplo a IBM que no anuncia mais em sites nos Estados Unidos que no
divulgam sua poltica de privacidade para os internautas. Ela tomou esta iniciativa porque muitos sites
onde os internautas forneciam seus dados, passavam a vender ou ceder para outras empresas
interessadas no envio de mala direta ou em campanhas de marketing diversas, conforme relata Saraiva
[SAR00].
No aspecto legal a maior problemtica se estende ao princpio da Territoriedade,
Extraterritoriedade e Lugar do Crime elencados nos artigos 5, 6 e 7 na parte Geral do Cdigo Penal.
Por exemplo um jovem tem acesso indevido a uma rede nos Estados Unidos e de l resolve acessar os
computadores na Alemanha, roubando e destruindo as informaes. O Artigo 6 trata do Lugar do
Crime, Considere-se praticado o crime no lugar em que ocorreu a ao ou omisso no todo ou em
parte, bem como onde se produziu ou deveria produzir-se o resultado. Como vemos, a ao foi no
Brasil e o resultado no exterior, o local do crime no Brasil, Estados Unidos ou Alemanha.
O artigo 5, diz sobre o princpio da Territoriedade Aplica-se a lei brasileira, sem prejuzo de
convenes, tratados e regras de direito internacional, ao crime cometido no territrio nacional, como
podemos perceber a ao no Brasil, mas o resultado na Alemanha, como aplicar esse artigo se existe
um conflito de Territoriedade entre a ao e o resultado da conduta.
O artigo 7 trata da Extraterritoriedade Ficam sujeitos lei brasileira, embora cometidos no
estrangeiro:
Inciso II, Os crimes a) que por tratado e conveno, o Brasil se obrigou a reprimir, - b)
praticados por brasileiros;
2 Nos casos do inciso II, a aplicao da lei Brasileira depende do concurso nas seguintes
condies: a) entrar o ageno no territrio nacional; - b) ser o fato punvel no pas em que foi
praticado.
Como aplicar o inciso II, letras a e b, se os mesmos dependem do pargrafo 2,
obrigatoriamente, como no exemplo se o agente no saiu ou entrou fisicamente no pas. E se no pas
onde os fatos ocorreram no configura crime?, podemos concluir que uma conduta criminosa aliada
Tecnologia da Informao utilizada na Internet conseguiram afrontar o conceito de espao fsico,
substituindo por um espao denominado de Virtual, que no definido na legislao brasileira,
conforme Gomes [GOM00].
10. Panorama da segurana e controle em informtica
Estima-se que em 1998, prejuzos causados por falhas de segurana da informao chegaram a
cifras da ordem de 140 milhes de dlares. Nessa pesquisa, feita por Zanini [ZAN9] e Roas[ROC00],
constatou-se que as fraudes eram relacionadas a roubo de informaes privadas, sabotagem, invases,
vrus e acesso no autorizado. A microinformtica tornou essa situao mais crtica pois os sistemas
operacionais dos computadores pessoais geralmente so muito frgeis quanto segurana de acesso. A
Internet tambm abre um flanco para invaso, porque tem a caracterstica de permitir a interligao de
praticamente qualquer mquina ao redor do mundo.
Para resolver esses problemas, existem muitas tcnicas que, em linhas bem gerais, controlam o
acesso a dados e sistemas ou codificam a informao para evitar sua leitura (criptografia), conforme
Tanembaum [TAN97]. Essas tcnicas so muito dinmicas e funcionam como uma brincadeira de
espionagem e contra-espionagem: na mquina colocada uma proteo, mas logo algum descobre
uma maneira de quebr-la e novamente o fornecedor aparece com uma nova verso mais robusta que,
aps algum tempo, tambm violada. Veja o caso dos programas anti-vrus com verses semanais, em
virtude da grande propagao de vrus, provocando grandes prejuzos, uma verdadeira ameaa,
segundo Penteado [PEN99] .
Esse um lado da questo. Existe outro lado que o aspecto do comportamento, da tica. a
Privacidade da Informao definida anteriormente.. As organizaes precisam possuir um Sistema da
Privacidade que crie mecanismos internos de forma a garantir boas prticas.
A viso de processo para essa atividade muito apropriada pois leva as organizaes a no se
preocuparem apenas com hardware e software de segurana, mas com um sistema completo. Esse
sistema envolve, alm dessa parte tcnica, a definio de uma Poltica da Privacidade, de mtodos e
procedimentos referentes privacidade e treinamento de todos os envolvidos.
Desta forma, um controle de acesso perde toda sua eficcia se o usurio divulgar sua senha.
Informaes sigilosas deixam de ser se no forem tratadas com sigilo pelos responsveis. Um
vazamento de informao pode comprometer uma empresa se no forem tomadas atitudes de correo
e feito um esclarecimento para o usurio.
Uma organizao que possui um Sistema da Privacidade, aborda de maneira mais global esses
aspectos e, no primeiro exemplo acima, gera uma campanha para que o usurio no divulgue sua
senha (que realmente os bancos fazem na utilizao do carto magntico, Home-banking ) e, no
segundo caso, treina as pessoas para que elas fiquem atentas e tenham atitudes, tais como no
deixarem documentos vista, senhas frgeis e anotadas em agenda pessoais. Todos esses
procedimentos evitaro grandes problemas, que hoje comprometem a segurana de empresas,
organismos governamentais e pessoas fsicas.
A Poltica de Segurana ,conforme Caruso [CAR99], um conjunto de diretrizes gerais
destinadas a governar a proteo a ser dada a ativos da organizao. Desenvolver polticas de
segurana, padres, diretrizes, e procedimentos devem ser feitas em consulta com as unidades
organizacionais, e tambm atravs de funes que compem o quadro administrativo das empresas
como sistemas de informao, recursos humanos, administrao de risco, e tambm departamentos
chaves. Se no possvel formar um comit gestor podemos consultar os representantes dos
departamentos. Envolvendo estas vrias unidades no processo, pode-se estabelecer as normas e
procedimentos da poltica de segurana, segundo Hutt [HUT95]. Isto mostra que, com o envolvimento
da classes de funcionrios, os resultados da sua criao sero satisfatrios, levando-os a participar com
mais ateno, este envolvimento tambm reduz as chances de problemas e falhas inesperadas depois
que a poltica promulgada.
Em qualquer atividade organizacional, a primeira tarefa a ser realizada a definio do que se
deseja e onde quer chegar, fixando objetivos, definindo os meios e recursos necessrios, estabelecendo
etapas a cumprir e os prazos das mesmas. Aps a avaliao do que necessrio fazer que se comea
a executar o necessrio. Mesmo assim no conseguimos executar com preciso os cronogramas
estabelecidos, tendo a necessidade de acertos no planejamento original.
A poltica de segurana no uma exceo, sendo necessrio seguir as mesmas etapas como
uma outra atividade qualquer dentro da empresa, pois implica em uso de capital, mo de obra, e
recursos, representando assim investimento para a organizao.
11. Concluso
Este trabalho mostrou que privacidade e segurana so dois temas que caminham juntos, so
complementares e necessrios para garantir um bom funcionamento das transaes na Internet.
A privacidade trata de aspectos de poltica e de comportamento e postura das pessoas que lidam
com informaes pessoais dos usurios e clientes da Organizao. A segurana trata de aspectos mais
tcnicos e tecnolgicos e preocupando-se com questes de integridade (invaso) e robustez dos
sistemas.
Privacidade e segurana so os pilares necessrios para que a Internet possa ser utilizada como
meio para realizao de transaes financeiras e comerciais em um mundo globalizado. O usurio
precisa se sentir seguro e ficar tranqilo com relao aos aspectos de privacidade para que as
transaes possam ocorrer de forma mais macia.
12. Bibliografia
[ANG99] ANGEHRN, A. The Strategic Implications of the Internet. Harvard Business Review,
Nov-Dec 1999.[BER97] BERNSTAIN, T.; BHIMANI, A.; B.; SCHULTZ, E.; SIEGEL, C., A.
Segurana na Internet. Tr. Insight Servios de Informtica. Rio de Janeiro: Campus. 1997.
[CAR99] CARUSO, C.; A.; A.; STEFFEN, F.; D. Segurana em Informtica e de Informaes.