Introdução às Questões de Segurança

Por que as pessoas devem se importar com a segurança?

Como a informação é parte crítica de qualquer trabalho a ser feito e consolidado, é preciso estar atento a vulnerabilidade da informação criada. Quando as pessoas falam sobre segurança, isso na verdade é uma questão de expectativa de segurança e de capacidade de comunicação pela internet – uma estrutura que é extensivamente monitorada e insegura. Segurança é uma parte crítica para a conclusão do trabalho de qualquer grupo que use computadores ou a internet.

Ao que devemos estar atentos ao nos comunicarmos pela internet?

Antes de mais nada, se você está usando o e-mail para se comunicar, faça isso de uma forma que seja difícil para as pessoas terem acesso a informação enviada e recebida. E-mails são transmitidos em “linguagem compreensível,” o que siginifica que estes percorrem a internet em um formato que é legível para qualquer um que esteja monitorando a rede. Então caso você queira segurança quando enviar os seus e-mails, você deverá criptografá-los, assim eles estarão ilegíveis durante a transmissão e apenas serão legíveis quando estiverem na caixa de e-mail do destinatário.

E quanto aos computadores propriamente ditos?

No mínimo, qualquer computador com quaisquer dados importantes e/ou confidenciais devem ter senhas em todos os níveis: senha de login ao ligar o computador, ao retornar do modo suspenso (sleep) ou hibernação (hibernate), e quando for interromper o protetor de tela (screensaver). Essas medidas não farão o seu computador a prova de tudo, mas lhe ajudarão a manter uma expectativa de segurança. Você está deixando claro que não quer ninguém bisbilhotando seus dados. As leis são feitas em torno dessa expectativa. De certo modo, quanto mais você demonstrar que possui uma expectativa de privacidade, mais privacidade você terá.

Dito isso, é possível para um adversário habilidoso roubar seu computador e ter acesso aos seus dados independente do seu computador possuir senha. Por isso é importante criptografar o seu HD, assim alguém com acesso físico ao seu computador será incapaz de tornar legíveis as informações armazenadas nele. Similarmente, você necessitará criptografar seus backups, e guardá-los off-line. É recomendado adotar essa prática com pendrives também.

No que consiste a expectativa de privacidade?

Grande parte da nossa proteção está baseada em termos uma expectativa de privacidade aceitável. Isso inclui coisas como guardar informações em um quarto fechado, protegendo com diversas senhas, ou criptografando.

Pessoas desistem frequentemente da expectativa de privacidade sem ao menos se dar conta disso. Um exemplo é o Gmail. Parte dos termos de uso do Gmail permitem ao Google vasculhar seu e-mail para direcionar propagandas específicamente a você; o fato de você ter permitido ao google esse acesso é praticamente desistir de sua expectativa de privacidade (maioria dos serviços de e-mail tem práticas semelhantes). Então é muito importante, ao armazenar informações e usar tecnologia, assegurar sua expectativa de privacidade. Desse modo você tem uma defesa jurídica contra uma ordem judicial para produção de informação (como uma intimação).

É correto dizer que deixar de proteger o computador com uma senha, ou usar o Gmail, é como deixar a porta de casa escancarada e convidar um Serviço de Inteligência Bolivariano para entrar, ao invés de exercer o direito de não abrir a porta?

Exato, isso é uma ótima maneira de explicar a coisa.

Que tipos de vulnerabilidades temos ao armazenar nossos dados e como podemos determinar que tipo de dados não devem ser armazenados de jeito nenhum?

Práticas de armazenamento de dados são complexas porque sempre são baseadas nas necessidades da sua organização. É preciso pensar na necessidade da informação a ser guardada – e o que se pode fazer sem ela. Qualquer informação que você guarde pode ser usada contra você, mesmo no futuro, ou de maneiras não pretendidas.

Um tipo de dado que jamais deve ser guardado são informações detalhadas sobre quem visita seu website. É importante configurar o servidor de modo que ele, no decorrer do tempo, jamais guarde informações exclusivas de identificação de visitantes individuais do seu website, assim protegendo a privacidade dos seus visitantes.

Outro lugar onde há preocupação é na retenção de dados referente a doações. Captadores de recursos desejam reter o máximo de informação que podem sobre seus colaboradores, afim de fazer seu trabalho de forma mais eficaz. No entanto, essa informação é potencialmente reveladora sobre os seus doadores, e é preciso proteger a privacidade deles. Não há uma resposta correta, mas é importante para as organizações descobrirem como atingir o equilíbrio entre reter os dados que precisam enquanto protegem a privacidade das pessoas que os apoiam.

Como foi mencionado nos exemplos anteriores, sobre visitantes do seu website e doadores, os dados que você armazena não são apenas problema seu. Se você for investigado no futuro, os terceiros que possuem dados arquivados por você também podem ser investigados, apenas por estarem associados a você.

O importante é ter certeza de que a sua organização pondera sobre a retenção de dados e implementa uma política de retenção de dados que além de seguir as melhores práticas de privacidade e segurança, também honram a privacidade das pessoas cujos dados você armazena.

No geral a “segurança” que as organizações fazem consiste em algumas mudanças operacionais aleatórias – como comprar uma máquina trituradora e alterar senhas antigas. Como podemos abordar de forma significativa a segurança digital?

 

Você pode pensar sobre conscientização de segurança da mesma maneira que pensaria em tornar sua casa segura: fechar suas portas, janelas, colocar grades nas janelas ou um trinco na porta. Com a internet e os computadores há um número muito grande de observadores virtuais vendo remotamente o que você faz – e, por vezes, no seu próprio computador através de vírus e spyware. Assim, da mesma maneira que você trancaria sua casa para proteger seus pertences, você deve pensar de forma holística sobre a segurança na gestão de informação e uso de tecnologia. Dessa forma você estará protegendo não só a si mesmo, mas os dados de seus aliados e colegas que você está armazenando.

Pode ser desgastante olhar para uma lista enorme de práticas aleatórias de “segurança.” É mais eficaz pensar nas necessidades e nos adversários de sua organização, descobrir suas principais vulnerabilidades e começar a saná-las. Dito isto, criptografar dados e pensar na comunicação on-line é relevante para quase todos os grupos organizados.

 

Como você responde às pessoas que dizem que não têm nada a esconder, e pensam que ocultar dados ativamente implica em estar fazendo algo errado?

O ato de criptografar implica apenas em assegurar a expectativa de privacidade. É como enviar uma carta em envelope lacrado, em vez de escrever uma mensagem na parte de trás de um cartão postal. Se você receber uma intimação para descriptografar suas mensagens, você pode optar por fazê-lo, o que é melhor do que deixar o governo ou corporações lerem suas mensagens, sempre que lhes convir.

Há também uma idéia de solidariedade aqui. Parte da razão pela qual todos devem usar a criptografia é para que as mensagens criptografadas por razões “importantes” misturem-se com as comunicações cotidianas também criptografadas. Agora, as pessoas que vigiam a rede podem ver quais e-mails são criptografados, e assumir seguramente que essas comunicações são "importantes", e em seguida, mirar nessas pessoas que enviam e recebem mensagens. Quanto mais usarmos criptografia, mais forte seremos como um grupo, rivalizando com o governo e as corporações que controlam a infra-estrutura da internet assistindo a atividade online alheia.

Pessoas que dizem não ter nada a esconder devem considerar a possibilidade de que no futuro poderão optar por privacidade, e para tanto devem começar a exercer sua expectativa de privacidade agora. Enquanto alguns dizem, “não tenho nada a esconder,” ninguém acredita que estas pessoas que proferem tal afirmação não tenham algo que queiram manter privado.

Quais são as 3 recomendações mais importantes para aprimorar a segurança de dados?

1. Eduque-se. Informe-se sobre os conceitos de segurança, porque você não pode fazer nada enquanto desconhecer o assunto.

2. Proteja seu computador e seus dados. Coloque senhas em seu computador em todos os níveis de acesso para que qualquer um que venha tentar usar seu computador precise de autenticação para acessá-lo. E se possível, criptografe seus dados para que mesmo no caso de roubo (ou acesso indevido), seja praticamente impossível ler as informações guardadas no computador (criptografe os backups também).

3. Pense nas formas de comunicação feitas na internet. Seja pró-ativo no uso de criptografia, e reconsidere que serviços online (como Google scheduling e collaborative writing) você usará.

Algo mais?

Qualquer pessoa ou organização está sujeita a ser monitorada/espionada pelo governo, grupos adversários, corporações e etc. Estes estão ávidos por dados seja pela via do acesso físico ao computador ou pela internet.

Um grupo organizado para se consolidar precisa estar atento a sua própria vulnerabilidade e tomar as medidas cabíveis.

* * * * *
Leia também:
Dicas e Recursos de Segurança
Dicas de Segurança e Medidas Defensivas
Quais são as Vulnerabilidades da Criptografia e como se Previnir
Contas Hackeadas
Redes Sociais