Publicação

Consultório Portal GSTI #11

foto de
Bruno Horta Soares CONTEÚDO EM DESTAQUE

Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br



“As recentes eleições em Portugal em 47,4% de abstenção. Teria a utilização da tecnologia e a votação eletrónica ajudado? Teria a Segurança deixado?"

ISACA Lisbon Chapter

Caros leitores,

Esta semana no Consultório Portal GSTI partilho convosco algumas das conclusões que resultaram do debate organizado pelo ISACA Lisbon Chapter sobre o contributo da tecnologia no processo democrático, nomeadamente na utilização do voto eletrónico. A escolha da questão “47,4% de abstenção, teria a utilização da tecnologia e a votação eletrónica ajudado? Teria a Segurança deixado?” pretendeu colocar em cima da mesa o problema (abstenção) e uma proposta de solução (voto eletrónico), procurando analisar esta questão complexa com o contributo de três perspetivas: 1) a visão da Sociedade da Informação; 2) a visão da Auditoria; e 3) a visão da Segurança da Informação. Para tal foram convidados alguns profissionais com experiência profissional e associativa na área da sociedade da informação, bem como alguns especialistas em segurança e auditoria de sistemas de informação.

Tendo em consideração as limitações de tempo para o debate, bem como o âmbito de atuação da ISACA, procurou-se contrariar o princípio básico defendido em qualquer sistema de informação de “análise do problema através de uma reflexão das suas causas” , tendo-se avançado diretamente para a reflexão sobre o papel que a tecnologia poderia ter na resposta ao problema da abstenção (e até desinteresse!), o qual afeta não apenas a sociedade Portuguesa mas de uma forma geral grande parte dos sistemas democráticos.

O debate iniciou-se apresentando um cenário onde a tecnologia passaria a desempenhar um papel central no processo democrático: “Um sistema de opção, em que o eleitor poderia escolher votar eletronicamente e com isso poderia, por exemplo, votar descansadamente enrolado numa manta aconchegante ou duma esplanada à beira mar” . Será este um cenário real ou uma mera ficção?

É curioso ressalvar que apesar de se tratar de um cenário aparentemente futurista, a utilização de meios informáticos em processos eleitorais não é novidade, existindo países onde estas soluções são adotadas (com diferentes graus de dependência tecnológica), países onde este tipo de soluções já foram testados (onde se inclui Portugal) e outros onde este tipo de soluções já foram abandonaram tendo-se regressado a modelos de votação tradicional [1].

Tendo este contexto em consideração, e focando a análise no âmbito da ISACA, foi importante avaliar qual o contributo que profissões das áreas de risco, controlo, auditoria ou segurança poderão ter em futuras decisões sobre a adoção deste tipo de soluções .

Antes de se entrar a fundo na componente tecnológica, foi importante enquadrar o fenómeno democrático e o seu expoente máximo: O voto. Não entrando numa análise demasiado detalhada, foi dada relevância a um aspeto fundamental em qualquer fenómeno que envolve os interesses de uma comunidade ou sociedade: A responsabilidade. O tema da responsabilidade foi apresentado como sendo um dos principais desafios na vertente da sociedade da informação. A tecnologia pode ser uma ameaça séria quando se sobrepõe aos valores fundamentais do contexto onde é utilizada, deixando de ser encarada como um meio para alcançar um fim maior e passando a ser o fim em si mesma . Estaria um regime democrático preparado para transformar o processo de reflexão e a solenidade do momento do voto num contexto de simplicidade onde votar seria tão simples como colocar um Like na página de Facebook do candidato? Qual seria o resultado para uma democracia se a tecnologia fosse utilizada como arma de arremesso por grupos marginais ou anti-sistema para ganharem escala à conta de fenómenos mediáticos de curto prazo?

Tal como referido no filme do Homem Aranha, “com grande poder vem grande responsabilidade” , e como qualquer advento tecnológico no passado, a utilização de tecnologias de informação e comunicação no processo eleitoral terá necessariamente de ser acompanhada de uma enorme sensibilização de todo o contexto com vista a uma maior literacia democrática.

Ultrapassada a questão fundamental dos pressupostos da utilização da tecnologia, foi importante ressalvar as propriedades intrinsecamente ligadas à democracia, as quais configurariam requisitos fundamentais para a implementação de qualquer sistema de suporte ao processo eleitoral: Autenticidade, Singularidade, Direito de Voto, Anonimato, Integridade dos votos, Não-Coercibilidade e Privacidade .

Tendo em consideração este conjunto de requisitos, foi evidente que a tecnologia pode desempenhar um papel fundamental na resposta ao requisito “Direito ao Voto”. A acessibilidade aos locais de voto continua a ser, em alguns contextos, um desafio relevante, podendo a utilização das tecnologias de informação e comunicação desempenhar um papel determinante para levar este direito fundamental da democracia a um número mais alargado de cidadãos. Este é provavelmente o fator que leva algumas “jovens democracias” a adotar este tipo de soluções, onde o “Direito ao Voto” se sobrepõe aos outros requisitos e onde as oportunidades da tecnologia se sobrepõem às suas ameaças.

No entanto, quando as democracias apresentam uma maior maturidade e a literacia tecnológica é mais alargada, os restantes atributos ganham uma maior relevância, passando a análise a estar mais centrada nas ameaças, sobretudo nos pressupostos de Transparência e Confiança no sistema, pressupostos diretamente relacionados com as funções de auditoria e segurança.

Um sistema desta natureza envolve objetivos de enorme importância, motivo pelo qual as ameaças relacionadas, as vulnerabilidades dos recursos utilizados, os riscos inerentes e os controlos necessários deverão ser sempre objeto de análise e avaliação por forma a garantir um nível de riscos residuais aceitáveis. No entanto, a questão central esteve precisamente relacionada com a possibilidade de existência de níveis de tolerância ao risco ou a impossibilidade de utilização deste tipo de soluções caso essa tolerância não exista .
Para os auditores presentes na sala, não existem sistemas que não sejam auditáveis nem riscos inerentes que não sejam controláveis, no entanto para que tal seja possível será sempre garantir o envolvimento de especialistas e o recurso a boas práticas das áreas de auditoria, risco e controlo para dessa forma assegurar uma maior confiança e transparência do processo . Veja-se o exemplo do documento “Recommendation Rec(2004)11” [2] onde o Comité de Ministros do Conselho da Europa procurou definir alguns requisitos para a auditoria de sistemas de votação eletrónica, no entanto uma análise detalhada dos requisitos e um mapeamento com boas práticas como o COBIT permite detetar falhas que poderiam ter sido evitadas com a utilização de um maior alinhamento com referenciais de mercado [3].

Apesar de não existirem sistemas que não sejam auditáveis, as auditorias podem deixar de ser complexas e passar a ser muito complicadas à medida que deixamos as soluções mais tradicionais de votação em papel em ambiente controlado e avançamos para soluções de votação eletrónica remota em ambiente não controlado. Foi notório o desconforto existente com os cenários totalmente dependentes de tecnologia, sobretudo devido à possibilidade de aceitar que os sistemas poderão não ser auditáveis para garantir requisitos como o “Anonimato” a 100%.

E foi precisamente neste ponto que a discussão terminou, com os profissionais a concluírem que as oportunidades relacionadas com a utilização da tecnologia são inegáveis, mas será sempre necessário garantir que a dependência tecnológica não impossibilita a confiança e transparência do processo . Como tal, cenários que potenciem a utilização de tecnologia mas em ambientes controlados serão sempre os mais viáveis, pois quem conhece e trabalha com tecnologia sabe que não existe esse pressuposto de sistemas 100% seguros.

Entre a esperança e a desconfiança na tecnologia, os profissionais das áreas de risco, controlo, auditoria ou segurança terão certamente um papel determinante na evolução deste tipo de soluções, podendo contribuir de forma decisiva para apoiar na tomada de decisão, assegurando o devido equilíbrio entre as oportunidades e as ameaças.

Bruno Horta Soares, CISA®, CGEIT®, CRISC , PMP®
"The more you know, the less you no!"

Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br





[1] http://www.e-voting.cc/en/it-elections/world-map/
[ 2] Council of Europe - Committee of Ministers, Recommendation Rec(2004)11 of the Committee
of Ministers to member states on legal, operational and technical standards for e-voting,
https://wcd.coe.int/ViewDoc.jsp?id=778189, 2010
[ 3] “Plataformas de Votação Electrónica desenvolvimento e aplicação de um modelo genérico de avaliação e melhoria dos requisitos e recomendações de segurança”, Pedro Manuel Patrocínio Dias Madeira, Novembro 2012

Comentários