2009-03-04
Citius e Citius-MP: casos de insegurança?
O sistema judicial tem sido alertado, recentemente, por notícias e receios alarmantes, relativos à segurança dos sistemas informáticos utilizados nos tribunais e nos Serviços do Ministério Público.
As preocupações suscitadas têm fundamento, na medida em que os problemas tornados públicos revelam, designadamente, a ausência de uma verdadeira avaliação da segurança dos sistemas.
A abordagem tradicional dos juristas nesta matéria é realizada, normalmente, através de uma análise empírica, emergente da utilização dos aplicativos, ou de uma análise meramente jurídica. A importância destas abordagens não é despicienda.
Contudo, em matéria de segurança de sistemas computacionais e de redes informáticas, isso não basta.
Não se pode afirmar que um determinado sistema é seguro ou inseguro com a mesma ligeireza ou convicção com que se expressa a ideia que uma determinada obra de arte é, ou não, bela.
A segurança informática não pode estar dependente de avaliações subjectivas.As preocupações suscitadas têm fundamento, na medida em que os problemas tornados públicos revelam, designadamente, a ausência de uma verdadeira avaliação da segurança dos sistemas.
A abordagem tradicional dos juristas nesta matéria é realizada, normalmente, através de uma análise empírica, emergente da utilização dos aplicativos, ou de uma análise meramente jurídica. A importância destas abordagens não é despicienda.
Contudo, em matéria de segurança de sistemas computacionais e de redes informáticas, isso não basta.
Não se pode afirmar que um determinado sistema é seguro ou inseguro com a mesma ligeireza ou convicção com que se expressa a ideia que uma determinada obra de arte é, ou não, bela.
Para responder às exigências dos profissionais de segurança, foram desenvolvidos diversos sistemas métricos de segurança, cuja utilização tem sido considerada verdadeiramente crítica para o desenvolvimento de sistemas com qualidade assegurada.
As métricas de segurança constituem ferramentas de avaliação dos níveis de segurança de sistemas, produtos e processos informáticos, permitindo a previsão e a resolução das questões de segurança (vejam, na imagem supra, o elevado número de factores a considerar):
a) Identificando e avaliando as vulnerabilidades de sistemas informáticos;
b) Gerando as acções correctivas prioritárias;
A sua aplicação permitirá, ainda:
c) Facilitar a responsabilização dos administradores dos sistemas;
d) Melhorar a confiança dos utilizadores;
e) Perspectivar investimentos correctos em segurança – tanto no desenvolvimento de programas informáticos, como na definição do ambiente de operação -;
f) Aumentando o nível de maturidade da segurança da organização.
(Fonte da imagem: aqui)
O facto destas normas técnicas terem sido aparentemente ignoradas na concepção dos sistemas informáticos judiciais e judiciários constituiu para mim motivação suficiente para escrever, a propósito desta matéria, o artigo publicado, nesta data, aqui.
(Hiperligação: http://www.justicaindependente.net/opiniaoforum/jorgelangweg-seguranca-informatica-certificacao.html)
Nota: Para os estudiosos destas matérias, poderão iniciar a pesquisa bibliográfica sobre o tema aqui.
Etiquetas: citius, Citius-MP, CTCPEC, FIPS, ISO 15408, ISO 17799, ISO 27002, ITSEC, MSFR, norma TCSEC, Orange Book, segurança informática, sistemas métricos de segurança
