Post convidado: A segurança dos sistemas informáticos
O texto que segue é da autoria de Jaime Roriz
Sendo hoje jurista fui, durante muitos anos, especialista em tecnologias da informação. Sou titular dos cursos da certificação MicroSoft e dirigi importantes departamentos de IT, cuja responsabilidade incluía algumas das maiores empresas nacionais e organismos responsáveis pelo processamento de contra ordenações. Nessa medida conheço bem as questões de segurança que envolvem as aplicações informáticas.
Para tornar a explicação mais simples podemos sempre comparar a segurança de uma aplicação ou de uma base de dados ao seu correspondente em papel ou ficheiro cartonado. Efectivamente, quer o suporte informático – ou electrónico – quer o suporte em papel, são suportes físicos e, no caso dos computadores, suportes físicos bastante barulhentos.
Não existe nenhuma aplicação informática inviolável. Um especialista que tenha ao seu dispor os meios necessários, que esteja determinado e que tenha tempo, consegue contornar a maioria dos sistemas, introduzir-se numa rede informática pública e aceder a dados confidenciais.
Pior. A manutenção e operação da maioria dos sistemas informáticos, mesmo os mais críticos, são efectuadas por pessoas mal pagas, a maioria das vezes subcontratadas e cujo nível de responsabilidade corresponde aos parcos vencimentos que auferem. Essa é, a meu ver, a situação mais explosiva de qualquer plano de segurança. Os operadores dos sistemas operativos são, bastas vezes, detentores de credenciais de administração que, se não permitem aceder aos dados mais sensíveis, permitem, pelo menos, destruí-los ou copiá-los para outro tipo de suporte físico (uma pendrive por exemplo) e fornecê-los a especialistas que desencriptem essa informação.
Repito que para aceder a esse dados será necessário ser especialista, ter os meios, os conhecimentos técnicos necessários, a determinação e a disponibilidade de tempo. Cumulativamente.
Face ao exposto acima atrevo-me, sem fazer cálculos muito complexos, a afirmar que a possibilidade de acesso não permitido a uma aplicação ou base de dados, com regras de segurança implementadas, é extremamente remota mas, sem dúvida nenhuma, possível.
Mas detenhamo-nos sobre a possibilidade de o mesmo acontecer no suporte clássico, ou seja, o papel.
Os processos estão guardados em locais de fácil acesso ao público, em locais que não são guardados durante a noite, em locais que não são à prova de fogo. Os advogados e os juízes podem transportar esses processos para os seus escritórios ou para casa. Desconhecemos, em absoluto, quais as medidas de segurança existentes nesses escritórios ou em casa dos juízes.
A possibilidade de um processo desses ser destruído, copiado ou falsificado é, em minha opinião, muito superior àquela que existe num sistema informático.
Se um documento em papel for transportado de um local para outro não deixa rastos. Ao contrário, num sistema informático, o simples rodar do apontador do “rato” gera uma linha de registo. Tudo aquilo que acontece num sistema operativo com regras de segurança implementadas é susceptível de ser registado. As bases de dados estão em DataCenters à prova de fogo, guardados 24 horas por dia, com câmaras que filmam tudo o que lá se passa. Os dados estão replicados e todos os dias se fazem cópias se segurança incrementais e diferenciais. Significa que todos os dias é possível comparar os documentos electrónicos com os dos dias anteriores em alguns casos até 2 anos antes.
A hora do dia, as credenciais do utilizador, todo o caminho – via sistemas de rede – até se ter chegado ao documento está meticulosamente registado. De tal forma a quantidade de registos é grande que costumamos dizer que é “not human readable”. Ou seja, a informação sobre quem, como, onde e com que direito, consultou ou alterou aquela informação é tanta que tem que ser lida com um programa.
Em conclusão. Sim os sistemas informáticos podem ser violados. Porém, são, a meu ver muitos milhares de vezes mais seguros que os suportes em papel.
pub.
