Não existe sistema
100% seguro no mundo real. Na prática, qualquer cadeado, físico ou virtual,
pode ser quebrado ou destrancado. O desafio dos técnicos que trabalham para
garantir a inviolabilidade dos dados torna-se, portanto, obter o índice mais
elevado de segurança possível.
Para aferir o grau de privacidade
e segurança de um sistema, existem métodos diversos desenvolvidos por entidades
especializadas e idôneas. Um dos sistemas mais conhecidos foi desenvolvido na
Suíça em 2002. Ele ganhou o âmbito de uma rede conhecida como IQNet.
O “objeto do desejo”
de muitas empresas que trabalham com dados sigilosos de seus clientes é o selo
de certificação de privacidade como o GoodPriv@cy. Padrão estabelecido
internacionalmente, ele abrange requisitos para o gerenciamento da proteção e
privacidade dos dados de empresas e organizações (Data Protection and Privacy –
DPP).
Esta é a quarta e última matéria
de uma série de reportagens que o IT Web
publica sobre privacidade e direitos digitais.
Acompanhe!
A obtenção da
certificação GoodPriv@cy atesta que a empresa certificada mantém em
funcionamento um sistema de gerenciamento para a proteção dos dados (Data
Management System – DMS), atende aos requisitos estatutários do DPP e promove
melhorias contínuas para a segurança das informações.
No Brasil, existem 17
certificados GoodPriv@cy emitidos. A grande maioria é composta por organizações
que lidam com dados cadastrais de uma grande quantidade de clientes e precisam
comprovar o tratamento confidencial dessas informações: as organizações
bancárias.A certificação é
processo complexo, em que há vários pontos sensíveis. “Entendo que os pontos
críticos são exatamente no levantamento do fluxo completo destas informações
dentro da própria organização, e na definição de ações que visam garantir este
tratamento confidencial”, explica Airton C. Gonzalez, gerente-técnico e de qualidade
da Fundação Vanzolini, que emite a certificação no Brasil.
O tempo de
implementação depende muito da estrutura, complexidade e recursos que a
organização dispõe para este trabalho. Mas, segundo a Vanzolini, existem vários
casos de sucesso de implantação em 12 meses de trabalho.
Esse tipo de
certificação é uma prioridade para grandes instituições do segmento financeiro. As homologações são renovadas periodicamente.
Em março do ano passado, por exemplo, o Banco Itaú recebeu o GoodPriv@acy Data
Protection Label. Ele garante que a instituição zela pela privacidade online de
clientes e não-clientes, mantendo uma “gestão de captação de dados” nas
páginas do home banking.
“Bancos e financeiras estão
entre as empresas que são constantemente atacadas por fraudadores virtuais, com
o intuito de roubar informações como logins e senhas”, explica Roberto
Mesquita, diretor-executivo e de alianças da integradora Cyberlynxx.
Não é à toa, portanto, que esse segmento invista tanto em novas soluções
tecnológicas para garantir a inviolabilidade de dados sensíveis.
Segundo Mesquita, uma
das tendências do segmento hoje é a adoção de técnicas de biometria
comportamental. Já é bastante conhecida a biometria física, capaz de
identificar pessoas por meio de métricas singulares, como as impressões
digitais, íris, DNA, formatos da face e dimensão da mão. A biometria
comportamental, por sua vez, faz a mesma coisa por meio da voz, assinatura e
padrão de digitação.
“Trabalhamos com o
tipo de biometria comportamental keystroke dynamics (dinâmica de digitação)”,
explica Mesquita. Esse método permite identificar alguém por meio de sua
maneira singular de digitar. Com isso, não há um perfil único de usuário. Ela pode ser aplicada a qualquer usuário que
tenha de usar o teclado para entrar com alguma credencial de acesso.
Mesmo que alguém tenha
roubados seu usuário e senha, o fraudador não terá o mesmo padrão de digitação
do proprietário ao tentar usar suas credenciais. Isso modifica o próprio
conceito de política de segurança de uma empresa. Não será mais necessário se
preocupar com a complexidade das senhas (hoje exigida por intermédio de letras
maiúsculas, minúsculas, números e caracteres especiais).
Nem é preciso adotar políticas
de troca periódica de senha a cada dois meses, por exemplo. Quanto mais o dono do conjunto “usuário/senha”
digitar suas credenciais, mais o sistema aprende como o usuário digita e mais
forte fica o seu padrão de digitação.
Nos Estados Unidos, a tecnologia
está sendo usada pela polícia para garantir que um acusado não se afaste do
local antes do julgamento. Nesse caso, o réu é obrigado a entrar no sistema da
polícia e digitar seu usuário e senha do computador da sua casa.
Antes da adoção da
biometria comportamental, o réu fraudava o sistema pedindo para parentes e
amigos digitar seus dados por ele. Agora,
pelo padrão de digitação biométrico comportamental, a polícia consegue identificar
se foi o acusado ou outra pessoa que forneceu os dados ao sistema.
Leia também:
