Terra Magazine

até ontem, a internet esteve sob uma onda de ataques virtuais nunca antes vista. a galera do @LulzSec mostrou que é preciso fazer muito mais do que está sendo feito para garantir a segurança de informação, sistemas e sites que estão se tornando cada vez mais essenciais para a vida, economia e sociedade contemporânea. segundo os próprios…

For the past 50 days we’ve been disrupting and exposing corporations, governments, often the general population itself, and quite possibly everything in between, just because we could. All to selflessly entertain others — vanity, fame, recognition, all of these things are shadowed by our desire for that which we all love. The raw, uninterrupted, chaotic thrill of entertainment and anarchy. It’s what we all crave, even the seemingly lifeless politicians and emotionless, middle-aged self-titled failures. You are not failures. You have not blown away. You can get what you want and you are worth having it, believe in yourself.

…toda a bagunça foi criada por diversão, e só porque era possível. o grupo anunciou, ontem, férias coletivas por período indeterminado.

este blog tratou dos ataques de @LulzSec em um texto que está neste link e sugeriu, neste outro, que está na hora de pensar não só em novos mecanismos de segurança para os sistemas mas também em novas soluções para controle de acesso aos mesmos: a velha combinação de nome e senha, usada em quase todo canto, já não dá mais conta do problema, em nossos tempos. até porque já faz tempo que os órgãos de segurança estão identificando um movimento dos crimes e criminosos para a web, como mostra este texto ["na web, o crime é mais seguro"] publicado aqui no blog há três anos.

ondas internacionais se espalham, e sites do governo do brasil, incluindo o planalto, STJ, ministério da saúde, petrobrás e um monte de outros foram invadidos, derrubados ou contaminados por @LulzSec_BR, uma galera local que "aderiu" ao esforço do @LulzSec, tendo como alvo especial o governo, estatais e políticos. ao contrário do esforço de hacking global, que talvez passe por um período mais calmo nos próximos tempos, no brasil a viagem do que se convencionou chamar de "jangada" dos lulz pode estar só começando e é capaz de trazer dor de cabeça pra muita gente.

se você acha que é difícil invadir sites e sistemas do governo brasileiro, algo que requer habilidades realmente especiais… não é. olhe a imagem abaixo, citada neste texto do blog, sobre os problemas e oportunidades do e-gov no brasil.

veja os números: 65% das instituições analisadas pelo TCU em 2010 não tinha uma política de segurança de informação e 97% não tinha um plano de continuidade do negócio em vigor. ou seja… é trivial invadir mais da metade dos sites de governo e estatais e, invadidos e/ou derrubados, vão continuar assim por algum tempo. este foi o caso do ministério da defesa no fim de semana, ainda fora do ar 13 horas depois de ser derrubado por @LulzSec_BR, um claro exemplo de completa ausência de processo para dar conta de incidentes de segurança.

e você pensaria: e se uma galera do mal resolve invadir coisas realmente importantes, como os sistemas de geração e distribuição de energia e o controle do tráfego aéreo? difícil pensar que alguém vá fazer isso só por divertimento, só por "lulz". mas, por outras –e muitas- razões, pode ser só uma questão de tempo.

o tribunal de contas da união informa: “há uma total ausência de comprometimento dos altos escalões com a área [de tecnologias de informação e comunicação do governo federal]”. o TCU vem analisando a infraestrutura e sistemas de informação de governo, sob várias perspectivas, desde 2007, de uma forma sistemática. mas o interesse do tribunal de contas e sua influência sobre os negócios federais de informática vem de longe, como mostra o gráfico abaixo.

a imagem acima vem de uma apresentação do ministro aroldo cedraz no dia 26 de maio pp., e aponta um aumento de 15 vezes no número de decisões do TCU sobre “contratações de TI” em um período de 15 anos. isso é muito e dá uma idéia da importância que o tribunal credita às tecnologias de informação e comunicação e suas aplicações na gestão e nos serviços públicos.

para entender a quantas anda a governança dos sistemas públicos de TICs e aplicações, vá ver os slides da apresentação do ministro cedraz, onde se aponta os dez órgãos de governança superior que deveriam dar conta da política, estratégia, planejamento e operações de TICs na gestão pública e nas estatais.

com tantas deliberações e órgãos para dar conta da TI federal, como anda o estado da arte da informática nas instituições federais? veja o slide abaixo, que reporta a pesquisa feita pelo TCU com 300 órgãos públicos em 2010 e tire suas próprias conclusões…

que tal ler, detalhando um pouco mais, a imagem acima?… mais da metade das instituições públicas faz software de forma amadorística; mais de 60% não tem [na prática] política e estratégia para sua informática e segurança de informação; 74% não têm nem mesmo as bases de um processo de gestão de ciclo de vida de informação; por conseguinte, há informação que detêm e não sabem e outras que não, mas que acham que sim, está em algum lugar, só não pode ser encontrada “agora”. um dia, quem sabe?…

e tem mais: 75% não gerencia incidentes de segurança de informação, como invasão de sites e sistemas e perdas ou [pior?] alteração de dados; 83% não faz ideia dos riscos a que a informação sob sua responsabilidade está sujeita, quase 90% não classifica informação para o negócio, o que significa que a instituição está sob provável e permanente caos informacional e quase 100% não tem um plano de continuidade de negócio em vigor. ‘

o que quer dizer que se o lugar for atingido por uma pane elétirca grave, enchente, raio, incêndio… a comunidade alvo dos serviços do órgão pode ficar semanas sem ser atendida e pode haver descontinuidades muito graves do ponto de vista da história da informação no [e para o] governo e os serviços públicos.

se informação e informática são tão importantes para empresas, governo e sociedade, porque estamos neste estado de coisas no governo federal? a pesquisa do TCU dá uma boa idéia das razões…

mais da metade de quem manda no lugar não se responsabiliza pelas políticas de TI, o que quer dizer, na prática, que “não estão nem aí” para o que estiver sendo feito ou acontecendo; quase metade não designou um comitê de gestão para TI, quase 60% dos altos gestores das organizações não estabeleceu objetivos de gestão e uso para a área de TI e, finalmente, 76% não estabeleceu indicadores de desempenho para a área.

observado deste ponto de vista, os resultados do slide anterior não surpreendem, não é mesmo?…

neste contexto, há razões para ser otimista? pode não parecer, mas há. a secretaria de fiscalização de tecnologia da informação do TCU está trabalhando em conjunto com muita gente para criar e manter políticas de sistemas e informação nos órgãos federais. e isso quer dizer operar o presente de forma eficaz, eficiente e segura e criar o futuro ao mesmo tempo. não estamos falando de uma área que evolui lentamente ou que tem pouca demanda interna e externa. a tendência, no governo, tem sido a de informatização do caos, coisa que este blog apontou neste texto e comentou neste áudio, na CBN.

como os dados da SEFTI/TCU mostram, estamos muito longe do ideal. neste momento, isso é uma grande oportunidade, pois as infraestruturas e sistemas de informação estão mudando de forma radical.

todos governos mundiais estão planejando, iniciando e operando federações de infra e serviços [a tal “nuvem”, veja mais aqui] que vai mudar a visão de mundo da informática pública [city of orlando CIO: “I want to get out of the server business and into the services business.”], gerando economias de escala antes inimagináveis, como a redução do custo operacional total das infraestruturas de informação federais em 2/3 ou mais.

nos EUA, o governo obama criou o posto de CIO –chief information officer- federal, responsável por pensar, planejar, orientar, articular toda a estratégia e operações federais de TICs e suas aplicações. até abril passado, só em 2011 o CIO vivek kundra havia fechado 39 data centers, dos 137 que fechará este ano. até 2015, 800 dos atuais 2094 data centers federais deixarão de funcionar.

tais centros não estão sendo fechados porque é “moda”, mas porque novas formas de coletar, processar, conectar, compartilhar e preservar dados estão disponíveis e permitem, através de seu uso criativo e inovador, realizar muito mais com muito menos, em termos de investimento em informática e sistemas de informação em rede.

há uma “nova” forma de fazer informática, baseada em “máquinas sociais”, sistemas programados e programáveis em rede, conectados e integrados pela rede. na verdade, a idéia não é nem tão nova assim: olhe aqui o que este blog escreveu sobre “informaticidade” na revista CIO em 2006 e veja aqui uma revisão de 2008 sobre o mesmo assunto.

as oportunidades de simplificação de infraestrutura e ganhos de escala nos sistemas de informação e seu desenvolvimento, manutenção e evolução. criadas por infraestrutura e software como serviço, na nuvem, deveriam ser combinadas com a necessidade de mais e melhor governança apontadas pelo TCU para abrir um amplo espaço de criatividade, inovação, operação e gestão na informática pública brasileira.

e isso pode ter pouco a ver com fazer cada órgão da informática pública federal cumprir o caderno de determinações do TCU na “sua” informática, mas começar a fazer com que uma verdadeira “rede” de infra, sistemas e serviços federais seja formada a partir dos órgão mais competentes, mais determinados e mais abertos a realizar um papel bem maior e acima do que dar conta, simplesmente, do seu quintal.

as economias de escala e a simplificação dos processos, inclusive os de controle, são óbvios. a dificuldade de implementar tal estratégia em um país como o nosso também é óbvia. seria mais fácil primeiro levar todo mundo a um nível mínimo de proficiência e, depois, fazer um processo de seleção não natural. mas esta seria a forma certa, também, de perdermos esta década fazendo o que os outros países fizeram na década passada.

com tanto poder e capacidade de articulação e alinhamento à disposição do TCU, bem que o tribunal poderia agitar o cenário um pouco mais e fazer com que as “TICs” federais gastassem bem menos e fizessem bem mais nesta década, evitando a duplicação de sistemas e equipes e, ainda por cima, um aumento significativo da informatização do caos.

este post é parte de uma série sobre educação empreendedora, derivado de uma palestra dada no sebrae nacional, em brasilia, no 27 de janeiro passado. pode até ser que você entenda o texto que se segue sem ler os posts anteriores; mas os textos foram escritos como se fossem uma palestra, uma conversa, o que significa que há uma sequência, começo meio e, espero, um fim, uma conclusão que faça sentido.

o primeiro post da série está neste link… passe por lá, até para entender o preâmbulo e contexto desta conversa.

nesta série, antes deste texto: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18; depois, nenhum, ainda. simbora.

. : . : . : .

nosso problema hoje é tentar discutir porque e como a política nacional de empreendedorismo deveria mudar…

…que é uma política de retrovisor, destinada principalmente a evitar que os "coitados" dos empreendedores em dificuldades entrem em processo falimentar, para uma de…

…que, se quisermos, é uma política de óculos [se olhar muito perto], binóculos [se pensar um pouco mais longe] ou telescópio, se realmente pensar do tamanho do país, de suas oportunidades e do papel dos novos negócios inovadores de crescimento empreendedor no aumento da performance da economia nacional.

a figura abaixo é um link para o modelo de empreendedorismo usado no global entrepreneurship monitor [GEM], página 13 deste documento.

caso você não vá lá’ver em melhor resolução do que o formato deste blog permite, saiba o GEM estuda o que está na parte verde escura da figura, que recebe o nome de "total early-stage entrepreneurship activity, TEA", o período que vai desde a criação do negócio até seus 3,5 anos de vida.

onde está o brasil neste cenário? a figura abaixo está na página 25 do relatório, que mostra a porcentagem da população entre 18 e 64 que está "em TEA", ou nos estágios iniciais do processo empreendedor.

o brasil não está mal; nas economias em desenvolvimento [o grupo da esquerda do gráfico], a maioria das pessoas que está empreendendo e o alto grau de TEA se deve à pobreza, falta de oportunidades de trabalho ou colapso econômico do país em pauta. o ponto mais alto da curva, mais de 50% em TEA, está vanuatu. o brasil tem TEA perto de 20%… com um problema, mostrado na figura abaixo…

…que mostra nosso nível de empreendedorismo por necessidade em relação ao PIB per capita em termos de poder paritário de compra: estamos "fora da curva" e para estar nela deveríamos diminuir em 50% a galera empreendendo por necessidade. pra lembrar, este é povo que está montando um negócio porque não encontra outra ocupação econômica… muito provavelmente a galera atendida pelo "retrovisor" da políticas públicas de empreendedorismo. será que é por causa do que o gráfico abaixo demonstra?…

o histograma acima diz que só 20% dos empreendedores em estágio inicial de construção de seus negócios, por aqui, acha que vai criar 20 ou mais empregos. igual a à zâmbia e bolívia. e metade da áfrica do sul, e menos da metade de chile e colômbia.

nosso "pequeno empreendedor" pensa muito pequeno e, pelo visto, não gera tantos empregos quantos poderia gerar. por que? pela percepção de risco nas relações trabalhistas? sentimento de incapacidade empreendedora? falta de preparo? falta de recursos, baixa densidade da cadeia de valor de investimentos, excesso de impostos sobre a folha ou sobre todo o negócio?… é preciso descobrir e agir sobre as causas… senão sempre estaremos muito abaixo do potencial de empreendedorismo do país. e, como se sabe, mais empreendimentos significa mais trabalho, mais empregos.

se você achou que nossos problemas terminavam aí, lamento desapontá-lo. dos 59 países analisados no relatório GEM 2010, temos o menor índice de inovação na avaliação dos próprios empreendedores, e ficamos abaixo de uganda!…

… seguido do menor índice de internacionalização entre nossos pares, globalmente acima apenas de gana e índia, e por muito pouco, como mostra o histograma abaixo.

aí não dá mesmo; sem inovar e sem pensar no mundo como mercado, reféns de uma política paleolítica de "substituição de importações", usufrutuários de reservas de mercado resultantes de barreiras injustificáveis criadas e mantidas por nós e para nós que estamos aqui, porque o brasil é um país "difícil"… tem como resultado, no cenário global de inovação e empreendedorismo… que não iremos para lugar nenhum. e, óbvio, que não vai levar muito tempo para a propaganda oficial desqualificar o relatório do GEM e dizer que não… pelos "nossos" dados, somos os tais.

se somos mesmo, se fôssemos, porque a balança comercial de tecnologia é tão desfavorável aos nossos interesses?…

o diagrama abaixo [do paper foresight in economic development policy: shaping the institutional context for entrepreneurial innovation, de colwell e narayanan, neste link] descreve um cenário que pode explicar porque nós, no brasil, estamos onde estamos.

somos uma economia emergente, então estamos na coluna do meio. e nosso ambiente para empreendedorismo e investimento empreendedor se situa entre a base e o topo desta coluna, mais para a base do que para o topo, na minha opinião. ou seja, estamos no estágio de desenvolvimento de uma cultura empreendedora que encoraja ações criadoras e aceita a falha e o sucesso empreendedor, com algumas poucas e desarticuladas ações destinadas  a desenvolver as macro instituições que apóiam a atividade empreendedora ao mesmo tempo em que gradualmente se remove as barreiras para tal.

sem querer ser pessimista ou desnecessariamente desestimular ninguém, por aqui fala-se muito na [e da] micro e pequena empresa e seus problemas, nas dificuldades e do quase heroísmo do pequeno empreendedor, dos cabeludos problemas da malha burocrática e fiscal, sabidamente complexas demais, e toda uma ladainha que não precisamos repetir.

aí, entra governo e sai governo, há promessas muitas de se criar condições efetivas para diminuir [em muito] a mortalidade das empresas nascentes e aumentar seu potencial econômico [e de geração de empregos]… e o resultado disso tudo é… a criação de um ministério para micro e pequenas empresas. ou seja, resolve-se aumentar o tamanho do governo, como se a única forma de realizar políticas públicas fosse através do aumento do tamanho da máquina estatal. será que o novo ente federal vai, pelo menos, se articular com o SEBRAE?… ou irá competir com ele? no brasil, ninguém nunca sabe, pois nossos governos parecem ser feitos de estrutura só na coleta de impostos; todo o resto é conjuntura.

uma coisa é certa: precisamos subir a escada das políticas de suporte ao empreendedorismo, em escala nacional, e uma das coisas que isso deveria implicar seria um foco, político, estratégico, tático, operacional, objetivo, determinado e de longo prazo em micro e pequenas empresas promissoras.

e quem são elas? pense… e claro, você acertou: são os novos negócios inovadores de crescimento empreendedor. são as iniciativas que podem mudar para melhor nossa posição em todos os gráficos acima… e que dependem, entre muitos outros, da solução dos problemas apontados pelos gráficos abaixo.

aidis et al. fizeram um estudo que considera os vários fatores que definem o grau de liberdade de um mercado e o compararam ao tamanho do governo…

…num monte de países. e olhe só o que eles encontraram:

o tamanho do governo em relação à economia, no brasil, é maior que na argentina e méxico e o grau de liberdade do mercado é menor que na áfrica do sul e jordânia.

isso não pode ser bom, não é? o que aidis et al. concluem, na sua pesquisa, usando dados do mesmo GEM que mencionamos acima?… que "entrepreneurial entry is inversely related to the size of the government, and more weakly to the extent of corruption". que quanto maior é o estado [e a corrupção] menores são as chances de que se comece novos negócios. poderíamos adicionar que menores ainda são as chances de se começar negócios inovadores e que empregam mais gente, se a geografia onde estariam tem um estado grande, confuso e instável.

por isso que a tese desta série, desde lá do segundo capítulo, é que o estado tem tres papeis principais no  apoio à inovação e empreendedorismo: 1. educar gente; 2. criar oportunidades e 3. sair da frente. e o que fica cada vez mais claro é que precisamos de um conjunto de políticas públicas –e não necessariamente de um ministério a mais- que efetivamente realizem estas tres coisas, senão vamos continuar chovendo no molhado e vendo, ainda por muito tempo, gráficos e histogramas como os desta página.

passando a limpo nossa conversa, apoiar as MPEs [ou SMEs, na terminologia inglesa] mais promissoras quer dizer 1. educar mais gente, com mais qualidade, com uma visão de mundo e não de seu quintal, gente muito melhor educada e com uma visão global a partir do seu local; 2. criar oportunidades efetivas de empreender, reescrevendo de forma radical as regras para tal no país, incentivando o empreendedorismo e o investimento de risco em novos negócios empreendedores de crescimento inovador e redesenhando os mecanismos já existentes de apoio e suporte ao empreendedorismo, visando empresas mais inovadoras e capazes de gerar mais trabalho, emprego, renda e sua distribuição e 3. sair da frente.

sair da frente, claro, é uma "meia palavra". pra um bom governo, meia palavra basta. o governo, um bom governo, tem muito o que fazer para estar gastando sua preciosa energia se metendo em tudo. um bom governo se concentra no que tem que fazer e só pode ser feito pelo governo e sai da frente e abre espaço para quem sabe, pode e quer fazer o resto melhor do que ele.

ficou longa, nossa conversa de hoje? ficou, desculpem. mas o assunto não era simples não. talvez seja mais fácil e direto falar, no nosso próximo encontro, da formação das…

…de seu negócio. não saia daí… e até lá.

passei o dia inteiro ontem, em brasília, no julgamento do prêmio finep de inovação. o terra estava com problemas na interface de publicação e acabei enviando meu "relatório" das apresentações do prêmio para meu twitter. vá ver. há mais de vinte twits e links por lá. e um bom número de companhias faz coisas que vale a pena ver. [nada de novo, no entanto, no quesito tecnologias e plataformas de informação para o usuário final].

em brasília, e em ocasiões como esta, sempre se conversa com muita gente, gente que tem coisas a dizer [e não pode aparecer] e gente que, querendo aparecer, acaba inventando coisas que não deveria estar dizendo. um passarinho, do primeiro grupo, e dos muito bem informados no primeiro grupo, me cantou que o SBTVD, padrão brasileiro de TV digital, está a caminho de ser aceito como o padrão de TV digital de nada menos do que… argentina, paraguai, chile e peru, com outras conversas, em outros países, em andamento mas menos avançadas.

caso se confirme tamanha adesão, é capaz de estabelecermos o padrão de TVD aérea e aberta da américa latina, até porque o uruguai [segundo a mesma fonte] está morrendo de arrependimento por ter escolhido o padrão europeu. o que serve de muito mau exemplo para outros que estejam considerando o mesmo caminho.

esta coluna, claro, está vendendo a informação pelo preço que comprou. ninguém quer seu nome associado a tais declarações, até porque se este for mesmo o caminho das pedras… anunciá-lo antes de assinar tudo pode atrapalhar, e muito, o desfecho das negociações. depois, no futuro, a gente vê se era isso mesmo…

não faz muito tempo que este blog publicou dois textos onde se discutia segurança e privacidade de informação digital. em um deles, o assunto era o sigilo das informações do imposto de renda [nos EUA] e o que poderia vir a ser o equivalente brasileiro. no nosso caso, não há quem desconheça a lenda urbana [que passou na TV...] da venda das informações do IR no meio da rua. vá ver o texto sobre este assunto.

e foi só a gente falar disso e uma galera invadiu a conta bancária do presidente da frança, o que abriu espaço pra se discutir a segurança das finanças na rede, em um contexto onde se diz [por aí] que o rombo via rede, nas maiores instituições bancárias do país, ronda os R$1M por dia. sei não. mas conheço gente que perdeu, de fato, tudo o que tinha na sua conta bancária e mais o cheque especial entre dormir e acordar. e o crime financeiro, na rede, vai aumentar muito. segundo a polícia federal, os criminosos estão achando que a web é um "ambiente mais seguro"… para o trabalho deles, malfeitores. no futuro, só criminosos realmente primários vão cometer roubos físicos. os competentes estarão no mundo virtual.

o problema, do lado bom da força, é como tornar a web um ambiente mais seguro para quem entrega seu imposto online, usa seu cartão de crédito para fazer compras e pra quem usa o banco virtual. até porque, nos últimos anos, o tamanho do buraco por onde somem nossos dados tem se tornado difícil de medir e controlar. no caso da inglaterra, por exemplo, sucessivos vazamentos em órgãos do governo resultaram na perda de dezenas de milhões de registros de contribuintes, usuários e beneficiários de ações do governo. clique na imagem abaixo pra ver o tamanho do estrago em alguns casos.

no brasil,o TCU realizou um estudo sobre TICs no governo e concluiu que… "a situação da governança de TI na Administração Pública Federal é bastante heterogênea e preocupante".em particular, não há planejamento estratégico de TICs em 59% das instituições e não há política de segurança de informação em 64% dos órgãos de governo. pouco tempo depois, e quase que certamente motivado pelo estudo do TCU, o gabinete de segurança institucional da presidência da república resolveu decretar uma nova "Metodologia de Gestão de Segurança da Informação e Comunicações" para todos os órgãos da administração pública federal, direta e indireta, tomando por base a norma ISO/IEC 27001:2006. 

o blog resolveu perguntar a um especialista em segurança de informação, o professor ruy queiroz, do centro de informática da ufpe [disclosure: eu também sou professor do CIn/UFPE] o que ele acha da norma e do movimento do governo para aumentar a segurança da informação que lhe é confiada, em boa parte vinda de nós mesmos, cidadãos e contribuintes aqui fora. a entrevista está a seguir.

blog: o que mais chama a atenção na instrução normativa do GSI/PR?

RQ: Sem dúvida, é positiva a ênfase na conscientização do usuário e na constante avaliação dos riscos a que está submetida a informação que se supõe protegida. Os pontos fracos estão invariavelmente no agente humano, seja por negligência ou por ignorância. Do outro lado, os agentes da ameaça dispõem do benefício do acesso irrestrito à criatividade.

blog: você nota alguma omissão importante?

RQ: Não obstante a simplicidade do modelo, não há menção ao fato corriqueiro de grande importância nesse contexto: a tendência é assumir que ao usar os melhores produtos da mais recente tecnologia de segurança da informação obtém-se a garantia de proteção.  Mais grave, ao depositar toda a confiança em artefatos robóticos numa guerra contra agentes de ameaça humanos, obtém-se um álibi para a fuga da responsabilidade: “houve falha no anti-vírus”, “o firewall falhou”, “a configuração não era a mais apropriada”, “o último patch de segurança não foi aplicado”, etc.

blog: que outro aspecto mereceria destaque nesta discussão de segurança no governo?

RQ: Tal qual numa situação de guerra, é no mínimo ingênuo supor que os agentes da ameaça são agentes racionais. A racionalidade deve estar a serviço da diligência, e nunca da auto-indulgência. A lista de possíveis “ataques” deve estar sempre “correta” para evitar o desgaste com falsos positivos, mas, ao mesmo tempo, precisa ser considerada como, por definição, “incompleta”.

blog: ao que parece, a metodologia é algo "pesada", com muitas regras e procedimentos, quando a boa esperteza e a criatividade também devem ter papel fundamental…

RQ: Aqui continua valendo o princípio de que regras e procedimentos nos servem, mas não os servimos. Rotinas e metodologias, embora úteis, não devem passar ao agente da ameaça a impressão de que o agente defensor é previsível. Aliás, um dos princípios da criptografia moderna é exatamente o de que como é impossível fazer com que o resultado de uma primitiva criptográfica seja realmente aleatório, pelo menos que se faça “parecer” aleatório (ou “pseudoaleatório”): mesmo com tempo e espaço razoáveis deve ser inviável ao adversário distinguir do aleatório.

blog: até que ponto se pode entender a instrução normativa também como uma resposta ao caso recente de vazamento de informações sensíveis sobre a ex-presidentes?

RQ: Vazamento de informações sensíveis é coisa séria. Sabemos que é grande a dependência dos serviços da internet por parte de governos, negócios, atividades de lazer e entretenimento, serviços públicos, etc. Isso tem levado a uma enorme disponibilização pública de dados sensíveis, que, se manipulados inapropriadamente, podem causar sérios prejuízos aos sujeitos associados a tais informações. Cabe perguntar quem, como, e em que grau deve-se responsabilizar pelo vazamento de informações sensíveis? A lei americana responsabiliza o “proprietário” da base de dados, e exige que, ao ser confirmado um vazamento, os sujeitos sejam notificados em curtíssimo prazo (24h). Toda a responsabilidade pelos danos, materiais ou imateriais, decorrentes do vazamento das informações deve pesar única e exclusivamente sob os ombros de quem, sob compromisso de manutenção do sigilo dos dados vazados com o usuário, recolhe e mantém tais informações.

pois é. além de normas, processos e ferramentas, precisamos de leis e uma boa dose de sagacidade, esperteza [do bem], eficiência e eficácia para lidar com a fuga de informação das bases governamentais. parece que a nova resolução do GSI/PR está indo na direção certa. mas vai ser necessário muito investimento [em educação, inclusive, além de processos, métodos e ferramentas] e uma inédita -até agora- continuidade de propósitos na administração federal. além de gente vestindo -na alma, além do corpo- a camisa da segurança nos seus órgãos da administração federal. sem um compromisso radical das pessoas, pouca coisa vai mudar. e há muito o que fazer. melhor começar logo, que o caminho é longo.

para seguir o que ruy queiroz pensa e escreve, seu blog sobre segurança de informação e domínio público está neste link. boa leitura.