http://www.cic.unb.br/~rezende/sd.htm > ICP: Debate-FAQ

Sobre Modelos de Confiança

Debate sobre Modelos de Confiança para Segurança em Informática

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
Junho de 2008

Entre 20 e 30 de Junho de de 2008, o autor e um participante do Curso de Especialização em Gestão da Segurança da Informação e Comunicações da UnB debateram por e-mail temas da lista de exercícios apresentada no texto de referência (Modelos de Confiança para Segurança em Informática). Este debate teve sua edição anonimizada e publicação autorizadas pelo debatedor, na forma transcrita abaixo.


email 1:

Estive lendo a primeira pergunta da lista de exercícios do "Modelos de Confiança" e fiquei com algumas dúvidas.  A questão colocada, "compare o caso da aviação com o caso dos medicamentos no que se refere a práticas normativas", diz das práticas normativas referentes a segurança da informação?

Desconheço siginificado nesse último termo. No contexto da pergunta, um processo normativo é visto como um mecanismo que busca equilíbrio social entre percepção coletiva dalgum tipo de risco e sentimento coletivo de adequação a esses riscos.

Ou seriam normativas referentes à segurança em geral? Ou será que toda norma já traz implícita algum conceito de segurança?

Sob o prisma pelo qual os processos normativos são abordados no texto de referência (capítulo 1), uma norma social traz implícita um conceito de segurança (1.1) que engloba um plano interno, de sentimento pessoal, e um externo, de processo real (1.2). 

Minha questão é: como mapear o interesse normativo no cenário acima? Terei que fazer uma pesquisa sobre normas na indústria de medicamentos, ou posso usar apenas a minha intuição sobre o problema?

Considerando que a venda de fármacos é regulamentada, os interesses que merecem atenção nesta pergunta são:
Não precisa de pesquisa, não precisa de citar fontes, não precisa de fatos ou estatísticas concretas. Basta a intuição e a percepção oriundas da observação leiga e da cultura geral. O objetivo da pergunta é permitir que quem responda busque uma comparação subjetiva entre duas práticas sociais (transporte aéreo e saúde) nas quais o conceito de risco, ou sua aferição, são difíceis de serem banalizados ou separados de sentimentos íntimos. Entre cinco e dez linhas deve caber o suficiente para o objetivo citado acima.

O que isso tem a ver com gestão da segurança da informação e comunicações?

Isso tem a ver com o teatro da segurança, que por sua vez tem a ver com segurança de quem se informa e se comunica. Tem isso a ver num mundo em que o desafio de identificar reais interesses de interlocutores e intermediadores virtuas se assemelha cada vez mais ao de identificar reais efeitos de substâncias ingeríveis, injetáveis ou inaláveis.



email 2

Acho bastante provocador seu comentário sobre "segurança da informação" ser um termo desconhecido. Considerando o fato que a grande maioria dos que se reconhecem especialistas em segurança na área de informática usam o termo "segurança da informação", isto sem dúvida merece uma discussão específica, que me daria prazer discutir, talvez em um fórum mais amplo, talvez na forma de escrita de "position papers" de vários autores sobre "segurança da informação x segurança em informática".

O que eu quis dizer foi que desconheço significado no termo "segurança da informação" como empregado em sua pergunta, isto é, como objeto de processos normativos. Disse-o porque o termo é ali empregado como um referente por demais vago, impreciso. Eu conheço bem o termo "segurança da informação", tenho que lê-lo e ouvi-lo ad-nauseum. Reconheço-o, frequentemente, como um termo útil no teatro da segurança, para personificar objeto direto de proteção que se representa.

Considero por demais arriscado presumir sentidos implícitos para segurança "da informação" em debates, pois tais presunções podem nos levar a nos enredar em tramas imprevisíveis nesse teatro. Se há aqui percebido um sentido de provocação, remeto o leitor, para o motivo desta minha posição, ao terceiro parágrafo da sessão 2.1 (Criptografia e a Arte da Guerra) do texto de referência. No mais, sob a perspectiva da proposta que lá apresento, a diferença entre "segurança da informação" e "segurança na informática" pode ser resumida no seguinte:

O termo "segurança da informação" personifica, pela sua estrutura gramatical, um objeto de proteção numa informação per se, e não em algum valor que esta informação significa para algum interesse. Portanto esta escolha pressupõe, (já ou ainda) no plano sintático, o interesse que motiva o emissor a comunicar tal informação, o interesse que motiva o destinatário a aceitá-la e/ou a engajar-se na interlocução, como sendo compatíveis entre si e/ou compatíveis com o interesse comunicável, este explícito ou implícito na informação comunicada.

Tal escolha limita as possibilidades de refinamento na análise semântica de riscos (de abordagens bipolares para uma abordagem multipolar), nela descartando a priori, por meio do viés linguístico introduzido com a escolha do objeto da proteção, dentre outras as possibilidades da situação em análise contemplar interesses motivadores indizíveis e conflitantes entre si, e/ou conflitantes com o interesse comunicável (explícito ou implicito) na tentativa de interlocução. Situações, por exemplo, nas quais "proteção" significa integridade (no sentido de transparência) para um interlocutor principal, e confidencialidade (no sentido de sigilo) para o outro interlocutor principal.

Se tal limitação é consciente ou inconsciente, proposital ou acidental, compreensível ou incompreensível por parte de quem prefere usar o termo "segurança da informação" para qualquer situação envolvendo segurança informacional, isso não vem ao caso para o fato de tal escolha pressupor uma limitação a priori, artifical e desnecessariamente debilitante, para a proposta de modelagem lá oferecida. Uma escolha que "torna cinza" todas as bolinhas e perímetros que representam interesses nesta modelagem.

Enquanto não se chega aos modelos Multipolar (semântico) e de Rede Aberta (sintático), "segurança da informação" e "segurança na informática" funcionam como sinônimos, e tal escolha não representa nenhum problema. Entretanto, é justamente nesses modelos (multipolar e de rede aberta) que a proposta tem alguma contribuição significativa a oferecer. Donde a minha percebível extremada reserva em relação à escolha do termo. Pois em situações nas quais tais modelos podem ou devem ser contemplados (por exemplo, em processos normativos), "segurança da informação" se torna por demais vago e impreciso. Para os meus motivos ao dizer "devem", remeto o leitor ao capítulo VI do texto de referência.

Neste caso, você concorda com a afirmação de que não há segurança, no âmbito social, sem o uso de normas? em outras palavras, a segurança em qualquer espaço social depende do uso de normas?

Esta é, em outras palavras, a tese defendida na referência bibliográfica número 1 do texto de referência. Concordo ao resumi-la no primeiro parágrafo da apostila. Usando os conceitos vistos no módulo, poderíamos afirmá-la dizendo que o interesse motivador inicial para o uso de normas sociais é o desejo por algum sentido de segurança.



email 3

Creio que uma resposta pertinente à pergunta 7 demanda a plena compreensão de um conjunto de conceitos interessantes. Há uma forma politicamente neutra de descrever os interesses dos agentes? Na minha visão, o modelo de confiança em informática proposto procura mostrar o inevitável antagonismo de interesses que sempre vai existir entre dois grupos: clientes de tecnologia e provedores de tecnologia. E isto ocorre no uso de qualquer produto ou serviço de alta tecnologia, como medicamentos, automóveis, informática etc. A diferença básica, no tocante à informática, se dá devido à complexidade e mutabilidade da solução informática, que é composta por uma grande quantidade de camadas, bem como uma complexa cadeia de fornecedores. De forma geral existe alguém que detém um certo conhecimento sobre um certo processo ou produto de tecnologia, e que busca valer-se deste conhecimento ou bem para auferir uma vantagem sobre alguém interessado em usar este processo ou produto para resolver um problema seu. Temos então, na minha visão superficial do modelo, dois tipos de interesses em jogo: 1 - o cliente ou usuário de uma tecnologia quer resolver seu problema e 2 - o provedor da tecnologia que deseja obter um lucro ou vantagem ao oferecer esta tecnologia. Entre clientes e provedores cria-se uma cadeia, onde um provedor de um serviço/produto X é cliente de outro serviço fornecido por outro provedor Y. O provedor Y é por sua vez cliente de um provedor Z, e assim por diante. Num dos limites da cadeia existem aqueles que fornecem os insumos básicos extraídos na natureza, de baixa tecnologia. No outro limite, existem aqueles que, do ponto de vista do Estado, não provê serviço para ninguém, apenas pagam impostos. Estes são os cidadãos, consumidores dos serviços públicos. Entre os dois extremos estabelece-se uma sociedade de fornecimento-consumo.

Por favor observe que a questão 7 está pedindo apenasuma lista de partições de um conjunto de cinco elementos, ditas conformes. O objetivo oculto (interesse motivador inicial) desta questão é que é o de motivar a compreensão desses conceitos, mas não o objetivo explícito (interesse inicial comunicável), que é o de completar as listas parciais nas formas possíveis.

Os alunos poderiam apresentar um exemplo de um canal de confiança no tempo? E quanto a um canal de confiança no espaço? Qual a diferenta entre eles?

Em aula foram abordados e discutidos vários exemplos, a partir das dúvidas apresentadas por alunos que estavam interessados em participar da aula. Uma outra das questões da lista é justamente sobre isto.

A fim de entender o que seriam estas premissas mínimas, li o texto na seção 4, onde você introduz os conceitos de interesse inicial motivador, interesse comunicável e interesse íntimo. Você poderia apresentar exemplos?

Durante as aulas houve várias perguntas neste sentido, e procurei responde-las todas no contexto da sequência dos conceitos e dos exemplos reais/concretos que ali estávamos abordando. Creio que foram gravados pelo assistente que me aparelhava com gravador e microfone, e portanto, devem estar disponíveis em áudio.

Você conhece ou acha que valeria a pena criar classes de descrições destes interesses?

Como disse aos alunos, ainda não tive tempo de sedimentar e organizar melhor meus pensamentos e material a respeito dos modelos semânticos. No texto de referência, são detalhados apenas os modelos sintáticos. Sim, acho que vale a pena, porém noutro contexto.

Volto então à pergunta original: existe um conjunto de interesses de agentes em modelos de confiança em informática que seja ao mesmo tempo canônico e neutro?

O modelo minimal de cinco agentes "no radar" da análise semântica de riscos está, até onde sei, sendo originalmente introduzido neste trabalho que preparei para o Curso de Especialização CEGSIC. Numa análise mais refinada, X, Y e B são substituídos por listas Xi, Yi, Bi.

No modelo multipolar a análise de risco tem como vetor de refinamento, a partir de modelagens bipolares, os riscos de conluio, perante os quais o conceito de neutralidade se torna instável e relativo (a ponderações de riscos que interagem sob catálise dos riscos de conluio). Seguindo a pista dos seus comentários iniciais neste email (referentes à pergunta 7 da lista de exercícios), considero a análise semântica de riscos que considera, nesta modelagem, os interesses de X e Y, sui generis na situação das TIC, a começar pela sua complexidade.

Quanto a conjunto canônico de interesses, não sei bem o que poderia significar; algo parecido pensei apenas em relação a conjuntos minimais. Em relação à direção do refinamento, sobre isto já pensei bastante, e acretido que o invariante principal a definir o gradiente no modelo multipolar seja alguma medida de equilíbrio entre transparência (integridade) e sigilo (confidencialidade), capaz de projetar-se em equilíbrio de riscos e responsabilidades entre os principais.