| Segurança informática: uma questão de certificação |
|
SEGURANÇA INFORMÁTICA: UMA QUESTÃO DE CERTIFICAÇÃO
CITIUS - UM CASO DE INSEGURANÇA ? POR DR. JORGE LANGWEG JUIZ DE CÍRCULO
Introdução O sistema judicial tem sido alertado, recentemente, por notícias e receios alarmantes, relativos à segurança dos sistemas informáticos utilizados nos tribunais e nos Serviços do Ministério Público. As preocupações suscitadas têm fundamento, na medida em que os problemas tornados públicos revelam, designadamente, a ausência de uma verdadeira avaliação da segurança dos sistemas. A abordagem tradicional dos juristas nesta matéria é realizada, normalmente, através de uma análise empírica, emergente da utilização dos aplicativos, ou de uma análise meramente jurídica. A importância destas abordagens não é despicienda.
1. A funcionalidade dos sistemas é importante, o mesmo sucedendo quanto à concepção legal da tramitação electrónica dos processos. A tramitação processual, a eficiência do trabalho dos utilizadores e o segredo de justiça podem ser afectados por erros de programação, de compatibilidade dos sistemas informáticos, de segurança, de formação dos utilizadores, de concepção física do sistema computacional e das redes de comunicação que suportam os aplicativos. Essas matérias deveriam ter sido objecto de ampla discussão, avaliação e teste - culminando com a sua certificação - antes da sua introdução e aplicação generalizada nos tribunais e nos Serviços do Ministério Público. A lei também não deveria ignorar os requisitos essenciais do sistema informático, que deveriam ter sido objecto de diplomas legislativos que concretizassem os aspectos essenciais do sistema, incluindo as garantias de segurança e de funcionamento, com a previsão dos diversos responsáveis.
2. No entanto, existem outras normas - de ordem técnica - que presidem à avaliação qualitativa e quantitativa da segurança dos sistemas informáticos. O facto destas normas técnicas terem sido aparentemente ignoradas na concepção dos sistemas informáticos judiciais e judiciários suscitou a elaboração desta pequena nótula.
Modelos de avaliação de segurança - Métricas de segurança: uma necessidade A segurança informática não pode estar dependente de avaliações subjectivas. Para responder às exigências dos profissionais de segurança, foram desenvolvidos diversos sistemas métricos de segurança, cuja utilização tem sido considerada verdadeiramente crítica para o desenvolvimento de sistemas com qualidade assegurada. As métricas de segurança constituem ferramentas de avaliação dos níveis de segurança de sistemas, produtos e processos informáticos, permitindo a previsão e a resolução das questões de segurança: a) Identificando e avaliando as vulnerabilidades de sistemas informáticos; b) Gerando as acções correctivas prioritárias; A sua aplicação permitirá, ainda: c) Facilitar a responsabilização dos administradores dos sistemas; d) Melhorar a confiança dos utilizadores; e) Perspectivar investimentos correctos em segurança - tanto no desenvolvimento de programas informáticos, como na definição do ambiente de operação; f) Aumentando o nível de maturidade da segurança da organização.
a) Avaliação de segurança a partir de boas práticas do mercado (auditoria externa); b) Avaliação de segurança a partir de práticas de segurança definidas internamente (auditoria interna); c) Modelo de Maturidade da Capacitação; d) Análise de riscos; e) Eliminação de defeitos.
1 - Modelo de avaliação de segurança a partir de boas práticas do mercado (auditoria externa): Este modelo assume que existem "melhores práticas" disponíveis para a protecção de um determinado tipo de ambiente de operação ou produto. Este modelo mede a segurança ao comparar o nível de controlo do gestor sobre o ambiente do sistema. O resultado final é constituído por uma lista de fragilidades de segurança, ou defeitos, que devem ser corrigidos para que os sistemas operem num nível aceitável de riscos de segurança. As normas técnicas aprovadas: A primeira norma de avaliação da segurança surgiu quando o governo norte-americano publicou em 1983 a norma TCSEC (Trusted Computing System Evaluation Criteria), também conhecido como Orange Booķ para a avaliação de segurança de dispositivos de segurança (avaliando, por exemplo, a criptografia e as firewalls), da autoria do Departamento de Defesa norte-americano, que viria a ser actualizada em 1985. Em relação aos programas informáticos, a norma TCSEC definia os requisitos de segurança necessários para a garantia da confidencialidade das informações.
Em
1991, uma comissão europeia conjunta da Alemanha, França, Holanda A norma europeia distingue-se da norte-americana, essencialmente, por separar a funcionalidade de segurança da garantia de segurança. Em 1992, outro organismo norte-americano (o N.I.S.T.) surge com a norma MSFR (Minimum Security Functionality Requirements), que definia um conjunto mínimo de requisitos funcionais de segurança para sistemas operacionais multi-usuário, especialmente aqueles relacionados com a garantia da qualidade do processo de desenvolvimento dos fornecedores de software nos Estados Unidos. Os seus requisitos eram baseados no TCSEC e viriam a integrar o novo FIPS (Federal Information Processing Standard) que substituiu o antigo Orange Book. Em 1993, o Canadá criou uma norma própria de certificação CTCPEC (Canadian Trusted Computer Product Evaluation Criteria), que resultou da combinação da norma norte-americana com a norma europeia. A existência desta pluralidade de normas gerou problemas e custos acrescidos para a certificação internacional dos produtos e sistemas informáticos. Por isso, os próprios países atrás citados, que desenvolveram normas próprias, encaminharam para a ISO (International Organization for Standardization) uma proposta de unificação das normas para a avaliação de segurança. Em 1999, surgiu, assim, a norma ISO 15.408, com a designação Common Criteria.
Esta
norma permite avaliar as propriedades de segurança dos sistemas de A norma ISO 15.408 define diferentes níveis de confiança e garantias na avaliação, sendo formada por um conjunto de três volumes, onde o primeiro afere as definições e a metodologia, o segundo elenca um conjunto de requisitos de segurança e o terceiro descreve as metodologias de avaliação. Mais tarde, surgiu a norma ISO 17799, que teve por objecto a segurança da informação da organização, a qual viria a ser actualizada em Julho de 2007 pela norma ISO 27002, promovendo a confidencialidade, integridade e disponibilidade dos dados. Todas essas normas são relativas a avaliações qualitativas de segurança.
2. Modelo de avaliação de segurança a partir de práticas de segurança definidas internamente (auditoria interna): Trata-se de um modelo diferente de avaliação qualitativa da segurança informática, que exige, por parte da organização de sistema computacional, uma política de segurança definida com base em critérios objectivos, mensuráveis, com o objectivo de proteger os aspectos essenciais do sistema
3. Modelo de Maturidade da Capacitação: Um terceiro modelo de análise qualitativa baseia-se no princípio de auto-protecção dos sistemas: a organização de um sistema computacional compromete-se proteger o seu ambiente, adoptando formalmente um processo que garanta esta segurança
4. Modelo de Análise de Riscos: Este modelo útil na análise qualitativa de um sistema de segurança utiliza factores-chave para essa avaliação. Um dos mais conhecidos é o factor monetário (existem outros, como o número de horas sem funcionamento do sistema, número de incidentes de segurança e outros): a partir da análise de riscos, calcula-se o montante pecuniário necessário para que o risco de segurança não ocorra. Ilustrando a aplicação deste modelo, conclui-se, facilmente, que no caso de se aplicar zero euros em segurança, esta também será nula.
Diferindo dos outros modelos - que desenvolvem uma análise qualitativa -, esta abordagem é essencialmente quantitativa: a segurança pode ser avaliada segundo parâmetros quantitativos mensuráveis, inerentes ao próprio ambiente do sistema computacional. Desta avaliação obtém-se o perfil de segurança do sistema. De uma forma simplista, dir-se-á que o mais próximo que se esteja perante um sistema sem defeitos («zero defeitos»), mais seguro será o sistema informático. Estes defeitos podem ser medidos, por exemplo, pelo número de bugs (falhas na lógica programacional) no código-fonte de um programa.
Em conclusão: Sem a aplicação de modelos de avaliação qualitativa e quantitativa de segurança, não será possível certificar, devidamente, a segurança dos sistemas informáticos da Justiça. A sua certificação, segundo as normas ISO em vigor, representará uma medida indispensável para restaurar a confiança no Citius.
Jorge M. Langweg
|
