José Ricardo Maia Moraes, CTO da Neotel (Foto: Divulgação)
Lembro de quando a nuvem se tornou uma novidade e um tópico altamente debatido pelo mercado, anos atrás. Naquela época, a nuvem era tratada como terra de ninguém no setor público. Todo mundo falava sobre suas vantagens, mas poucos se atreviam a encarar os riscos de frente. A publicação da Instrução Normativa GSI/PR nº 8, no início de outubro, me fez sentir que finalmente saímos da inércia.
Esta não é apenas mais uma norma para engavetar. É um marco histórico. Pela primeira vez, o governo assume o leme da segurança de dados com regras claras e exigências concretas. Criptografia de ponta a ponta, controle absoluto das chaves criptográficas, autenticação em múltiplos fatores e registros que não podem ser alterados. O recado é claro: a era da responsabilidade compartilhada de qualquer jeito acabou.
As chaves voltaram para casa
Um dos aspectos que mais me entusiasma é o fim da terceirização das chaves criptográficas. Durante anos, aceitamos passivamente que provedores de nuvem guardassem as chaves dos nossos cofres digitais. Soa absurdo quando pensamos bem, não?
Agora, os órgãos públicos recuperam o controle. É como se o governo estivesse dizendo: "os nossos segredos são nossa responsabilidade". Essa mudança vai além da técnica que representa o resgate da soberania digital. E era isso que estávamos esperando desde o primeiro dia em que um servidor público armazenou dados sensíveis na nuvem.
Só entra quem precisa
Outro ponto que merece aplausos é o retorno do bom e velho princípio do "necessário saber". Na correria do dia a dia, muitos órgãos públicos acabaram criando culturas de acesso liberalizado aos dados. Era mais fácil dar permissão geral do que gerenciar controles granulares.
Soube de casos em que pessoas sem a devida autorização acabam tendo acesso a informações altamente sensíveis. A nova norma enterra essa prática perigosa. A partir de agora, cada acesso precisará ser justificado por função e necessidade real. Sim, vai dar mais trabalho. Mas é o tipo de trabalho que separa países sérios digitalmente dos demais.
O fim dos rastros que desaparecem
Quem já participou de investigações sabe: é comum encontrar rastros apagados, corrompidos ou convenientemente ausentes. A exigência de registros imutáveis é como um soco no estômago da impunidade digital.
Saber que nenhum administrador, nem mesmo o mais bem intencionado, poderá apagar seus rastros muda completamente o jogo da responsabilidade. Cada clique, cada acesso, cada consulta ficará registrado para sempre. É a materialização digital do conceito "pra sempre responsável".
Oportunidade disfarçada de exigência
Alguns colegas do mercado reclamaram das novas regras. Dizem que são rígidas demais. Eu discordo. Vejo isso como a maior oportunidade já criada para empresas sérias de tecnologia no Brasil.
Quem realmente investe em segurança está comemorando. Finalmente poderemos mostrar nosso valor sem precisar competir com quem vende segurança de faz de conta. As empresas que entenderem que transparência e controle não são obstáculos, mas sim vantagens competitivas, sairão na frente.
O Brasil que queremos ser
No final do dia, esta norma me dá esperança. Ela mostra que aprendemos com os erros do passado e que estamos dispostos a fazer diferente. Em um mundo onde países correm para entregar seus dados a terceiros, o Brasil escolheu o caminho da responsabilidade.
A mensagem que fica é clara: a nuvem é bem vinda, mas em nossos termos. E isso, caros colegas, não é teimosia. É maturidade digital. É o Brasil entendendo que alguns atalhos não valem o risco e que a verdadeira segurança se constrói com transparência, controle e, acima de tudo, coragem para assumir as rédeas do próprio destino digital.
Escrevo estas palavras não como analista, mas como alguém que acredita que a tecnologia deve servir aos cidadãos, não os colocar em risco. E hoje, sinto que estamos no caminho certo.
*Por José Ricardo Maia Moraes, CTO da Neotel.