Conformidade, ética e questões profissionais na cibersegurança
Introdução
As tecnologias não são eticamente “neutras”, pois refletem os valores que definimos através das nossas escolhas de conceção, bem como os valores que guiam a nossa utilização das mesmas. As tecnologias revelam e moldam o que o ser humano valoriza, o que pensamos ser “bom” e que vale a pena procurar. As práticas de cibersegurança têm como objetivo a segurança – de dados, de sistemas e de redes informáticas (software e hardware). Embora esses dados, sistemas e redes possam ter algum valor económico ou outro em si mesmos, o que as práticas de cibersegurança protegem principalmente é a integridade, funcionalidade e fiabilidade das instituições/práticas humanas que dependem desses dados, sistemas e redes.
Nenhum código único e detalhado de ética de cibersegurança pode ser adaptado a todos os contextos profissionais; as organizações devem, portanto, ser encorajadas a desenvolver políticas, procedimentos, diretrizes e boas práticas internas explícitas de ética de cibersegurança que sejam especificamente adaptadas às suas próprias atividades e desafios.
Um regulamento de cibersegurança inclui diretivas que salvaguardam as tecnologias da informação e os sistemas informáticos, para forçar as empresas e organizações a proteger os seus sistemas e informações de ciberataques como vírus, worms, cavalos de Troia, Phishing, ataques de negação de serviço (DOS), acesso não autorizado (roubo de propriedade intelectual ou informações confidenciais) e ataques aos sistemas de controlo. Existem numerosas medidas disponíveis para prevenir ciberataques.
Têm-se observado tentativas de aperfeiçoar a cibersegurança através de regulamentação e de esforços de colaboração entre os governos e o setor privado para encorajar melhorias voluntárias da cibersegurança. Os reguladores do setor, incluindo os bancários, têm perfeito conhecimento do risco da cibersegurança e, deste modo, incluem-na como um aspeto essencial e que monitorizam regularmente.
No final deste módulo, irá saber:
- a visão geral da Conformidade e dos Regulamentos de Cibersegurança ao nível mundial e na EU;
- a visão geral das questões éticas na Cibersegurança;
- algumas sugestões de boas práticas.
Conformidade e regulamentos de cibersegurança ao nível mundial e na UE
Em geral, a conformidade é definida como o cumprimento de regras e de requisitos. Na cibersegurança, significa a criação de um programa que estabelece controlos baseados no risco para proteger a integridade, confidencialidade e acessibilidade da informação armazenada, processada ou transferida. Contudo, a conformidade da cibersegurança não se baseia numa norma ou regulamento autónomo. Dependendo do setor, diferentes normas podem sobrepor-se, o que pode resultar numa complexidade para as organizações que utilizam uma abordagem baseada numa verificação de uma checklist. Por exemplo, o setor da saúde precisa de cumprir os requisitos de conformidade da Health Insurance Portability and Accountability Act (HIPAA), mas se um fornecedor também aceitar pagamentos através de um dispositivo point-of-service (POS), também necessita de cumprir os requisitos da Payment Card Industry Data Security Standard (PCI DSS). E não é raro que as empresas tenham de cumprir múltiplos regulamentos em simultâneo, o que torna ainda mais difícil manter-se em conformidade. Estes regulamentos incluem:
- NIST– National Institute of Standards and Technology;
- CIS Controls – Center for Internet Security Controls;
- ISO – International Organization for Standardization;
- HIPAA– Health Insurance Portability and Accountability Act/HITECH Omnibus Rule;
- PCI-DSS – The Payment Card Industry Data Security Standard;
- RGPD – Regulamento Geral de Proteção de Dados;
- CCPA – California Consumer Privacy Act;
- AICPA -American Institute of Certified Public Accountants;
- SOX – Sarbanes-Oxley Act;
- COBIT– Control Objectives for Information and Related Technologies;
- GLBA – Gramm-Leach-Bliley Act;
- FISMA – Federal Information Security Modernization Act of 2014;
- FedRAMP – The Federal Risk and Authorization Management Program;
- FERPA– The Family Educational Rights and Privacy Act of 1974;
- ITAR – International Traffic in Arms Regulations;
- COPPA – Children’s Online Privacy Protection Rule;
- NERC CIP Standards – NERC Critical Infrastructure Protection Standards.
Evidentemente, é extremamente importante cumprir os requisitos regulamentares. As empresas necessitam de cumprir as leis e os regulamentos estatais, federais e internacionais que são relevantes para as suas operações. O não cumprimento poderá resultar em potenciais processos judiciais e responsabilidade financeira, para não mencionar a quebra de confiança com clientes e parceiros, entre outros. No entanto, é dispendioso, complexo e requer as competências certas apenas para cumprir as normas existentes, quanto mais acompanhar o surgimento de novas normas. Deste modo, as empresas concentram-se frequentemente no cumprimento dos requisitos mínimos, em vez de implementar as políticas adequadas de cibersegurança, o que, no contexto atual, onde os hackers estão sempre um passo à frente das defesas, não é aconselhável.
As organizações utilizam frequentemente estruturas para o cumprimento da cibersegurança e conformidade regulamentar. Estas estruturas disponibilizam as melhores práticas e orientações para ajudar a melhorar a segurança, otimizar os processos empresariais, cumprir os requisitos regulamentares e executar outras tarefas necessárias para alcançar objetivos empresariais específicos, tais como entrar num nicho de mercado ou vender os seus serviços a agências governamentais.
Os regimes de conformidade regulamentar estabelecem geralmente requisitos altamente específicos e muitas vezes rigorosos a cumprir pelas organizações nos vários setores, para cumprir as normas estabelecidas e as leis existentes. Estes requisitos podem ser numerosos e complexos, pelo que os quadros concebidos para ajudar a satisfazer as exigências de conformidade são um acréscimo aos recursos e à base de conhecimentos da maioria das empresas. Alguns exemplos típicos incluem:
| Normativo
legal |
O que regula | Empresas a que se destina |
| NIST | Criado para disponibilizar um guia personalizável sobre como gerir e reduzir o risco relacionado com a cibersegurança, combinando as normas, diretrizes e boas práticas existentes. Também ajuda a fomentar a comunicação entre as partes interessadas internas e externas, criando uma linguagem de risco comum entre diferentes setores. | Pode ser implementado por qualquer organização que deseje reduzir o seu risco global, de forma voluntária. |
| CIS Controls | Protege os bens e dados da organização de ataques cibernéticos conhecidos. | Empresas que procuram reforçar a segurança na Internet das Coisas. |
| Família ISO 27000 | Família de normas que fornece requisitos de segurança em torno da manutenção de sistemas de gestão de segurança da informação (ISMS – information security management systems), através da implementação de controlos de segurança. | Regulamentos amplos, podendo, por isso, servir um vasto conjunto de empresas. Todas as empresas podem utilizá-los para avaliar as suas práticas de cibersegurança. |
| Família ISO 31000 | Conjunto de regulamentos que rege os princípios de implementação e gestão de risco. | Regulamentos amplos, podendo, por isso, servir um vasto conjunto de empresas. Todas as empresas podem utilizá-los para avaliar as suas práticas de cibersegurança. |
| HIPAA/ HITECH | Constitui uma lei estruturada em duas partes. A Parte I protege os cuidados de saúde das pessoas que se encontram em transição entre empregos ou que são despedidas. A parte II destina-se a simplificar o processo de cuidados de saúde através da passagem para dados eletrónicos. Também protege a privacidade de pacientes individuais. Foi ampliado através da regra HITECH/Omnibus. | Destinado a qualquer organização que trate de dados relativos a cuidados de saúde. Inclui consultórios médicos, hospitais ou companhias de seguros. |
| PCI-DSS | Conjunto de 12 regulamentos concebidos para reduzir a fraude e proteger as informações dos cartões de crédito dos clientes. | Empresas que lidam com informações de cartões de crédito. |
| RGPD | Regula a proteção de dados e a privacidade dos cidadãos da União Europeia. | Qualquer empresa que faça negócios na União Europeia ou que trate dados de um cidadão da União Europeia. |
| CCPA | Direitos de privacidade e proteção do consumidor para os residentes da Califórnia. | Qualquer empresa, incluindo entidades com fins lucrativos, que faça negócios na Califórnia e recolha os dados pessoais dos consumidores. |
| AICPA
SOC2 |
Segurança, disponibilidade, integridade e privacidade dos sistemas de processamento de dados dos utilizadores e confidencialidade destes sistemas. | Organizações de serviços que processam dados de utilizadores. |
| SOX | Exige que as empresas mantenham registos financeiros por um período máximo de sete anos. Foi implementado para evitar outro escândalo com o da Enron. | Conselhos de administração, gestão e empresas públicas de contabilidade dos EUA. |
| COBIT | Desenvolvido para ajudar as organizações a gerir a governação da informação e da tecnologia, ligando objetivos empresariais e de TI. | Organizações que são responsáveis pelos processos empresariais relacionados com a tecnologia e o controlo de qualidade da informação. Inclui áreas como auditoria e garantia, conformidade, operações de TI, governação e segurança e gestão de riscos. |
| GLBA | Permitiu que as companhias de seguros, bancos comerciais e bancos de investimento pertencessem a um mesmo grupo. Quanto à segurança, determina que as empresas assegurem a informação privada dos clientes. | Define “instituições financeiras” como: “… empresas que disponibilizam produtos ou serviços financeiros a particulares, como empréstimos, aconselhamento financeiro ou de investimento ou seguros.” |
| FISMA | Reconhece a segurança da informação como uma questão de segurança nacional. Assim, determina que todas as agências federais desenvolvam um método de proteção dos seus sistemas de informação. | Todas as agências federais dos EUA são abrangidas pelo âmbito de aplicação deste projeto de lei. |
| FedRAMP | Serviços em nuvem em todos os Governos Federais dos EUA. | Departamentos e agências executivas. |
| FERPA | A secção 3.1 da lei preocupa-se com a proteção dos registos educacionais dos estudantes. | Qualquer instituição pós-secundária incluindo, mas não exclusivamente, academias, colégios, seminários, escolas técnicas e escolas profissionais. |
| ITAR | Controla a venda de artigos de defesa e serviços de defesa (capacidade militar ou de inteligência crítica). | Qualquer pessoa que produza ou venda artigos de defesa e serviços de defesa. |
| COPPA | Recolha online de informações pessoais sobre crianças com menos de 13 anos de idade. | Qualquer pessoa ou entidade sob jurisdição dos Estados Unidos. |
| NERC CIP Standards | Melhorar a segurança do sistema energético da América do Norte. | Todos os proprietários e operadores de sistemas de energia a granel. |
Questões éticas na cibersegurança
A base de todos os sistemas de segurança é formada pelos princípios e práticas morais das pessoas envolvidas e pelas normas profissionais. Ou seja, embora as pessoas sejam parte da solução, constituem também a maior parte do problema. Os problemas de segurança com que uma organização pode ter de lidar incluem a tomada de decisões responsáveis, confidencialidade, privacidade, pirataria, fraude e uso indevido, responsabilidade, direitos de autor, segredos comerciais e sabotagem. Com o aumento das tecnologias interligadas ao nível profissional, tende a aumentar.
O pessoal de segurança informática tem frequentemente acesso a dados e informação confidencial sobre redes e sistemas de indivíduos e empresas que lhes conferem um grande poder e responsabilidade. Esse poder pode ser mal utilizado, de forma deliberada ou inadvertida. Mas não existem normas obrigatórias para questões de ciberética que os profissionais de cibersegurança sejam obrigados a seguir. De facto, muitos profissionais de TI nem sequer se apercebem de que o seu trabalho envolve questões éticas. No entanto, tomam diariamente decisões que levantam questões éticas, muitas das quais envolvem privacidade. Por exemplo:
- Deve ler um e-mail privado dos utilizadores da sua rede só porque pode? É correto ler os e-mails dos colaboradores como medida de segurança para garantir que as informações sensíveis da empresa não estão a ser divulgadas? É correto ler um e-mail dos colaboradores para garantir que as regras da empresa (por exemplo, contra o uso pessoal do sistema de e-mail) não estão a ser violadas? Se ler o e-mail dos colaboradores, deve revelar-lhes que o faz? Se sim, antes ou depois de o fazer?
- É correto monitorizar os sítios web visitados pelos utilizadores da sua rede? Deverá manter registos de rotina dos websites visitados? É negligente não monitorizar a utilização da Internet, para prevenir a possibilidade de pornografia no local de trabalho, o que pode criar um ambiente desagradável?
- É correto colocar key loggers em máquinas na rede para capturar tudo o que os utilizadores digitam? E os programas de captura de ecrã para que se possa ver tudo o que é mostrado? Os utilizadores devem ser informados de que estão a ser observados desta forma?
- Há problema em ler os documentos e ver os ficheiros gráficos que estão armazenados nos computadores dos utilizadores ou nos seus diretórios no servidor de ficheiros?
Lembre-se que não se trata das questões legais. Uma empresa pode ter o direito legal de controlar tudo o que um colaborador faz com o seu equipamento informático. Trata-se dos aspetos éticos ao fazê-lo.
Um conceito comum em qualquer discussão ética é o de “caminho perigoso”. Refere-se à facilidade com que uma pessoa pode passar de fazer algo que não parece realmente antiético, tal como digitalizar o e-mail dos colaboradores “só por diversão”, para fazer algo cada vez mais antiético, tal como fazer pequenas alterações nas suas mensagens de correio ou desviar mensagens para o destinatário errado. O conceito de caminho perigoso também pode ir além da utilização das suas competências informáticas. Se não houver problema em ler o e-mail de outros colaboradores, também não há problema em passar pelas gavetas da sua secretária quando eles não estão lá? Ou em abrir as suas pastas ou malas?
Depois, existem as questões financeiras. A proliferação de ataques de rede, hacks, vírus e outras ameaças às suas infraestruturas informáticas tem levado muitas empresas a ter receio. Como consultor de segurança, pode ser muito fácil utilizar esse receio para convencer as empresas a gastar mais dinheiro do que o efetivamente necessário. Será errado cobrar centenas ou mesmo milhares de euros por hora pelos seus serviços ou será um caso de “seja o que for que o mercado der”?
Outra questão ética envolve a manipulação de dados para obter valores mais elevados pelos seus serviços. É possível instalar tecnologias e efetuar configurações para tornar a rede de um cliente mais segura, mas nunca se pode torná-la completamente segura.
Sugestões de boas práticas
Nenhum código único e detalhado de ética de cibersegurança pode ser adaptado a todos os contextos profissionais; as organizações devem, portanto, ser encorajadas a desenvolver políticas, procedimentos, diretrizes e boas práticas internas explícitas de ética de cibersegurança que sejam especificamente adaptadas às suas próprias atividades e desafios. Algumas das orientações são referidas seguidamente:
- Manter a ética da cibersegurança em destaque – A ética é um aspeto omnipresente da prática da cibersegurança. Devido ao imenso poder social da tecnologia da informação, as questões éticas são um aspeto determinante quando nos esforçamos por manter essa tecnologia e o seu funcionamento seguro.
- Considerar as vidas e interesses humanos por detrás dos sistemas – Em contextos técnicos, é fácil esquecer o que a maioria dos sistemas com que trabalhamos são: formas de melhorar as vidas humanas e de proteger os interesses humanos.
- Estabelecer cadeias de responsabilidade ética e de prestação de contas – Em ambientes organizacionais, o “problema de muitas mãos” é um desafio constante à prática responsável e à responsabilização.
- Praticar o planeamento de cibersegurança em caso de catástrofe e resposta a crises – A maioria das pessoas não quer antecipar falhas ou crises; quer concentrar-se no potencial positivo de um projeto ou sistema.
- Promover valores de transparência, autonomia e fiabilidade – É importante preservar uma relação saudável entre os profissionais da segurança e o público, compreendendo a importância da transparência, autonomia e confiança na relação.
Tornar a reflexão ética & prática padrão, pervasiva, iterativa e recompensadora – Reflexão ética e prática, como já dissemos, é uma parte essencial e central da excelência profissional em cibersegurança.
Algumas boas práticas para a ética na cibersegurança
No single, detailed code of cybersecurity ethics can be fitted to all contexts and practitioners; organizations and professions should, therefore, be encouraged to develop explicit internal policies, procedures, guidelines and best practices for cybersecurity ethics that are specifically adapted to their own activities and challenges. Some of the popular guidance are as suggested below:
- Praticar a autorreflexão – Implica despender regularmente tempo a pensar na pessoa que se quer tornar comparativamente à pessoa que é hoje.
- Procurar exemplos morais – Muitos de nós gastamos muito do nosso tempo, muitas vezes mais do que nos apercebemos, a julgar as deficiências dos outros.
- Exercitar a imaginação moral – Pode ser difícil perceber as nossas obrigações éticas ou a sua importância porque temos dificuldade em imaginar como o que fazemos pode afetar os outros.
- Reconhecer a nossa própria força moral – Viver bem no sentido ético torna a vida mais fácil, não mais difícil.
- Procurar a companhia de outras pessoas com moralidade – Muitos notaram a importância da amizade no desenvolvimento moral; no século IV a.C., o filósofo grego Aristóteles argumentou que um amigo virtuoso pode ser um “segundo eu”, que representa as próprias qualidades de carácter que valorizamos e aspiramos preservar em nós próprios.