Começar a Construir a Casa Pelo Telhado



 

Por Tito de Morais

 

Na primeira quinzena de Julho de 2008, o Parlamento Português aprovou por unanimidade um diploma que recomenda ao Governo a criação de uma "campanha de prevenção dos riscos da Internet para as crianças". A iniciativa é positiva, mas parece-me um exemplo típico de se "começar a construir a casa pelo telhado".

Positivo é o facto de, pela primeira vez na sua história, o Parlamento Português ter analisado e decidido por unanimidade um diploma relacionado com a segurança dos mais novos na Internet e ter recomendado ao governo uma campanha de prevenção. Mas as boas notícias acabam praticamente aí. Isto porque a segurança é bastante mais do que uma campanha publicitária.

Processos, Pessoas e Tecnologias


Já em Março de 2005, no artigo "Segurança Internet: Tecnologias, Pessoas e Processos", abordei esta questão, mas importa explicitá-la. Qualquer especialista em segurança informática lhe dirá que esta se baseia na interacção entre processos, pessoas e tecnologias. No seu livro "Surviving Security: How to Integrate People, Process, and Technology", Amanda Andress explica bem esta interacção entre processos, pessoas e tecnologias.

 

Os processos, as políticas e os procedimentos definem como uma organização encara a segurança, como os seus funcionários devem actuar e como determinadas situações devem ser tratadas. Sem processos, politicas e procedimentos definidos, nenhuma organização pode afirmar dispor uma infra-estrutura de segurança, pura e simplesmente porque estes são a base sobre a qual se constrói essa infra-estrutura. Segundo Amanda, as pessoas são o segundo componente mais importante da segurança. As pessoas são geralmente consideradas como o elo mais fraco numa infra-estrutura de segurança, colocando muitas vezes em risco o tempo, a energia e o dinheiro dispendido a avaliar, adquirir e implementar uma solução de segurança. A educação dos utilizadores e a sua sensibilização para a segurança, recompensando-os quando seguem os procedimentos, desempenha um papel importante e da máxima importância. Por fim, vem a tecnologia, o componente menos importante numa infra-estrutura de segurança.

 

De facto, como afirma Amanda Andress no seu livro, a tecnologia limita-se a ser um meio que permite a implementação das políticas de segurança. Não é que não seja importante, afirma, mas é menos importante que políticas, processos e procedimentos fortes e do que funcionários sensibilizados para a segurança. Por tudo isto, Bruce Schneier, um especialista de renome internacional no domínio da segurança informática e autor de vários livros sobre o tema, costuma afirmar, que "a segurança é um processo e não um produto".

 

Diagnosticar o Problema

 
Para se arranjar uma solução para um problema é de toda a conveniência diagnosticá-lo de uma forma científica e credível. A investigação, os estudos, os dados estatísticos jogam aí um papel da maior importância. No que toca à segurança online de crianças e jovens esta é uma das grandes lacunas em Portugal.

 

Se existe investigação, estudos e dados estatísticos sobre o uso das tecnologias por crianças e jovens, esta é muito escassa relativamente aos aspectos que se prendem com a segurança. No entanto, esta é uma situação que já havia sido diagnosticada em Janeiro de 2005. A este nível é de salientar o trabalho meritório que tem sido desenvolvido pela equipa portuguesa do projecto EuKidsOnline ao inventariar a investigação, estudos e dados estatísticos existentes com informação relativa a Portugal. No entanto, é necessário mais apoio a este tipo de actividades, sob pena de estarmos a desenvolver soluções para um problema que na realidade não conhecemos ou conhecemos mal.

 

Processos, Legislação e Regulamentação

 
Quando falamos de processos, políticas e procedimentos, refiro-me também ao quadro legislativo vigente. A legislação em Portugal sobre a criminalidade informática data de 1991, tendo sido alvo de uma ligeira alteração em 2001.

 

Portugal subscreveu a Convenção Sobre o Cibercrime mas não a rectificou, não a transpondo para a legislação nacional. Tal como não transpôs a última directiva europeia sobre dados de tráfego. A este nível, era importante o legislador dar ouvidos a quem trabalha no campo e não nos gabinetes e tem de fazer investigação criminal, para ficar a conhecer que tipo de obstáculos se levantam em resultado de uma legislação obsoleta e ineficaz para fazer face à criminalidade informática actual.

 

A este nível, é particularmente relevante o relatório exploratório publicado em Março de 2008 pelo "Grupo de Prevenção do Abuso e do Comércio Sexual de Crianças Institucionalizadas" (PDF - 256 KB) constituído por despacho do Procurador-Geral da República, Conselheiro Pinto Monteiro, e liderado pela Procuradora-Geral Adjunta, Maria José Morgado. Mas este é apenas um dos aspectos. Outras áreas há que exigem trabalho idêntico. Mas a nível regulamentar, por exemplo, importa também ajudar dotar as famílias portuguesas de modelos de utilização, processos e procedimentos de segurança que possam ser adaptados às circunstâncias de cada família.

 

O mesmo deve acontecer relativamente às escolas, fornecendo-lhes orientação a este nível. Sobre este aspecto, considero mesmo ser esta a grande lacuna do Plano Tecnológico da Educação. Mas não só as escolas. O mesmo deve acontecer noutros espaços públicos de acesso à Internet, tais como as bibliotecas. Mas pode-se e deve-se ir mais longe, abrangendo organismos públicos e da dependência directa do Estado.

 

Deve-se igualmente estimular as empresas privadas a fazerem o mesmo. No entanto, importa que tudo isto seja feito de forma coerente e não de forma a cumprir determinados requisitos só porque tem de ser. De outro modo, assistiremos na segurança informática a algo de semelhante ao que se passou quando as escolas foram obrigadas a dispor de planos de segurança. Isto é, os professores não tinham sido formados no assunto e como tal muitas escolas tinham grande dificuldade no desenvolvimento dos seus planos de segurança, resolvendo o problema copiando planos de segurança de outras escolas.