Prezada Nação Bankless!

O Circuito Bankless Brasil chegou até a Guilda de Jurídico!

Como não poderia ser diferente, estamos deixando nossa singela contribuição para esse evento incrível.

Gostaríamos de agradecer a oportunidade e reiterar a importância desse evento que mobilizou toda a comunidade com o propósito de discutir um tema tão relevante.

- Guilda de Jurídico

Não é um conceito ultrapassado.

Não é um conceito novo, mas ainda está longe de ser ultrapassado… A Segurança da Informação deve ser interpretada como um mecanismo e consiste num conjunto de práticas, tecnologias e políticas que visam assegurar a integridade, a confidencialidade e a disponibilidade de informações de indivíduos ou organizações.

As informações protegidas vão desde os dados pessoais e financeiros até os segredos industriais. Na prática, tem como objetivo prevenção de casos como o acesso não autorizado, o uso irregular dos dados, a divulgação não autorizada, a indisponibilidade e a perda ou destruição de informações relevantes.

A web3 inaugurou um novo episódio no âmbito da segurança da informação e, como se não fosse o suficiente, trouxe desafios inimagináveis.

Ao contrário da web2, em que a segurança tem um formato centralizado por natureza e os processos controlados por um número seleto de empresas, a web3 é descentralizada, aberta e baseada em blockchain, de modo que as abordagens tradicionais podem parecer insuficientes. 

A Segurança da Informação é um conceito móvel e adaptativo. Dificilmente se tornará ultrapassada porque evolui e incorpora as novas necessidades.

Os padrões de Segurança da Informação, estes sim poderão e deverão ser ultrapassados e substituídos por outros que atendam melhor aos novos dilemas que surgirão.

Neste artigo, exploraremos os principais padrões de segurança da informação e como este tópico se relaciona com a web3.

Padrões de Segurança da Informação são relevantes?

Os padrões de segurança da informação são templates. Eles buscam, acima de tudo, criar um ambiente de conformidade escalável, adaptativo, acreditado e facilmente auditáveis para organizações e empresas, de modo que as boas práticas possam ser otimizadas e substituídas sem que os programas sejam comprometidos ou precisem de um reboot. 

Para se ter clareza da importância dos padrões, é necessário entender qual a dinâmica de incentivos para as empresas que o adotam, posto que estar certificada em algum dos padrões jamais será sinônimo de invulnerabilidade a ataques e ameaças. 

Do mesmo modo, é crucial entender que é necessário criar diretrizes e moldes para nortear o gerenciamento de risco pelas organizações e facilitar o modelo de auditoria interna e externa. Do contrário, a gestão de informações caminharia num ambiente nebuloso sem muita métrica para as ações, dificultando a conformidade e até eventuais sanções.

Em primeiro lugar, temos como incentivo a conformidade regulatória, já que esses padrões trazem diversos frames baseados em aspectos regulatórios relevantes de proteção de dados, isso significa que num eventual comprometimento de informações, as empresas poderão demonstrar que fizeram o possível para mantê-las seguras e isso pode ser um trunfo numa disputa judicial.

Além disso, pesquisas recentes¹ mostram que os consumidores estão cada vez mais preocupados com a segurança dos seus dados, desejando manter um maior controle sobre e eles e ter informações de como as empresas os utilizam. 

Nesse cenário, a privacidade pode ser um ativo relevante ao atrair usuários e ser diferencial competitivo num mercado em que os consumidores tornam-se cada vez mais exigentes e que os litígios avançam em direção às relações cibernéticas.

Antes de avançarmos nesse horizonte novo e alucinante que envolve os standards de Segurança da Informação na web3, é seguro falarmos um pouco sobre os padrões tradicionais. Abordaremos resumidamente os padrões mais utilizados e globalmente aceitos: ISO 27001 e NIST Cybersecurity Framework.

ISO/IEC 270001 e seguintes.

O termo ISO é um acrônimo da sigla em inglês para International Organization for Standardization ou Organização Internacional para Padronização, numa tradução livre. A ISO 27001 é uma norma internacional que estabelece um conjunto de requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI).

Em outras palavras, ela fornece uma estrutura para ajudar as organizações a protegerem suas informações e sistemas contra ameaças internas e externas. 

A norma ISO 27001 abrange todos os aspectos da segurança da informação, desde a identificação e avaliação de riscos até a implementação de controles e medidas de segurança.

Ao seguir as diretrizes da ISO 27001, as organizações podem atingir o aclamado triângulo mágico da segurança da informação (confidencialidade, integridade e disponibilidade), sendo mais eficientes para prever e conter riscos aos dados, bem como atender às exigências legais. 

O padrão ISO 27001 é atualizado regularmente para garantir que continue relevante e eficaz na proteção de informações. Como uma das principais referências em segurança da informação, a norma ISO 27001 é amplamente utilizada em todo o mundo por organizações de todos os tamanhos e setores.

Há outros padrões da International Organization for Standardization que compõem ou expandem o espectro da ISO 270001 e abordam o tema, como as ISO 27000, ISO 27002, ISO 27003, ISO 27004, ISO 27005 e ISO 27006 e ISO 22301.

A ISO 22301 é uma norma para gestão de continuidade de negócios, ajudando organizações a se prepararem para eventos (casos fortuitos e de força maior, como desastres naturais) que afetem sua operação, frequentemente utilizada em conjunto com a ISO 27001.

NIST Cybersecurity Framework

O NIST (National Institute of Standards and Technology) é um órgão dos EUA conhecido por seu trabalho no setor de segurança da informação, sendo responsável por elaborar padrões, frameworks e guias para gerenciamento de riscos e segurança cibernética. Um dos trabalhos mais conhecidos do NIST é o NIST Cybersecurity Framework, que estabelece diretrizes e práticas para ajudar as organizações a gerenciar e reduzir os riscos de segurança cibernética. 

A estrutura é composta por cinco funções, categorias ou pilares. Eles são:

Identificar - auditar a organização e conhecer os principais ativos e informações da operação; 

Proteger - desenvolver mecanismos de segurança;  

Detectar - a capacidade detectar invasões ou ameaças, adotando sistemas de gerenciamento e monitoramento;

Responder - poder de resposta e plano para gestão de crise; 

Recuperar - restabelecer rapidamente a operação e reduzir os impactos dos ataques. 

Cada uma dessas categorias implica em tarefas e métodos específicos associados para atingir a finalidade proposta.

Como exemplo, o Gerenciamento de Ativos é uma tarefa que compõe o pilar Identificar e consiste no mapeamento dos principais recursos da organização, gerenciando-os de acordo com a sua relevância para a operação e o risco que apresentam.

O template trazido pelo NIST é fruto da cooperação entre a agência e a iniciativa privada, tornando-se referência ao redor do mundo e uma excelente métrica para estabelecer se a empresa adota boas práticas de Segurança da Informação.

Outros padrões relevantes

O campo da Segurança da Informação ainda conta com outros padrões específicos, como o PCI DSS , template de SI para operações que envolvem dados de cartões de crédito. também com as instruções trazidas por leis das respectivas jurisdições, como a GDPR, a LGPD e a HIPAA, três leis que regulamentam a proteção de dados.

A web3 é autossuficiente? Normas são relevantes?

Antes de prosseguirmos, se você chegou até aqui, merece saber que bitgold é uma palavra importante para os incríveis aventureiros que estão perseverando nas missões. Ufa, vamos lá!

A web3 abre as portas para um novo mundo onde a descentralização é o pilar central das operações e isso muda o jogo. Ou será que não? Há uma parcela da comunidade cripto que não enxerga benefícios na regulamentação das atividades.

Essa máxima persegue qualquer tentativa, mesmo bem intencionada, de introduzir conceitos jurídicos importantes dentro desses espaços e inviabiliza, muitas vezes, que serviços sejam edificados com mais recursos para proteger os usuários.

A utilização de qualquer dos padrões de Segurança da Informação por protocolos de DeFi, Exchanges e outros players do mercado deve ser uma alternativa para aproximá-los de um público mais exigente. 

Isso significa dizer que nem toda padronização devem ser enxergadas com maus olhos pelos players, já que proporcionam segurança jurídica aos pares, algo que é extremamente escasso atualmente.

Em resumo, ambos têm o objetivo de garantir proteção e confiança ao usuário, integridade do serviço e disponibilidade. A descentralização não tem o condão de anular esse propósito comum.

Além disso, todos os princípios trazidos pelos padrões de Segurança da Informação são compatíveis com o que se vem propondo e construindo na web3, como discutiremos adiante.

Coalizão entre princípios

Há uma profunda identidade entre os princípios da Segurança da Informação e do que se tornou convenção na construção da web3. Na verdade, ambas têm base em uma aspiração parecida: a necessidade de garantir privacidade e liberdade ao usuário de internet, garantindo um ambiente cibernético mais justo. 

 Importa assinalar a convergência axiológica entre os princípios da Segurança da Informação e da web3, embora o segundo seja um ambiente em construção. 

Os principais princípios da Segurança da Informação são:

1. Confidencialidade: a informação deve ser disponibilizada apenas aos usuários legítimos e autorizados pelo detentor (proprietário) da informação; 

2. Disponibilidade: o usuário deverá sempre ter as informações disponíveis aos proprietário da informação; 

3. Integridade: defende que as informações deve estar integralmente disponíveis, devem ser evitados eventos que prejudiquem ou comprometam a confiabilidade; 

4. Autenticidade: deve ser garantido ao usuário que a informação é legítima e que não foi violada ou alterada.

Nesse ponto, você já deve ter notado que há muita familiaridade entre as propostas da web3 e os que a Segurança da Informação busca assegurar.

Ainda assim, iremos elencar alguns dos pilares sob os quais a web3 está edificada:

1. Descentralização: os sistemas e aplicações na web3 devem ser abertos e acessíveis a todos, evitando-se a utilização de intermediários.

2. Autonomia do usuário: o usuário deve ser o custodiante de todos os seus dados e poder utilizá-los conforme interesse próprio, isso inclui uma identidade auto soberana.

3. Interoperabilidade: os sistemas devem garantir ao usuário ampla e fácil comunicação entre os serviços e redes.

4. Privacidade: devem ser desenvolvidos e adotados mecanismos que protejam a privacidade do usuário, impedindo que haja exposição indesejada do usuário. 

5. Segurança: a adoção de criptografia e outros mecanismos para reduzir os riscos do usuário ao utilizar os sistemas.

A arquitetura da blockchain, por si só, traz significativos impactos no uso de criptografia e no armazenamento de dados, sendo uma ferramenta relevante na adoção de medidas de segurança da informação.

É possível afirmar que a segurança da informação é um elemento fundamental na construção de sistemas e aplicações que pretendem seguir o formato proposto na web3. 

Para que isso seja possível, há desafios práticos e condições que devem ser aprimoradas e seguidas.

A prática: Web3 é Segurança da Informação

Você provavelmente já parou para pensar no quão seguros e robustos parecem os sistemas da web3 e isso tem um motivo muito mais óbvio do que parece: a web3 é uma resposta positiva às necessidades abordadas na segurança da informação. 

Como já debatemos à exaustão, a Segurança da Informação e a web3 tem como objetivo comum construir uma internet livre, equilibrada e que proteja o usuário de eventuais arbitrariedades.

Ambas funcionam como ferramentas que se opõem ao abuso do domínio técnico das informações, garantindo, cada uma ao seu modo, a soberania do usuário sobre os seus dados.

Porém, é necessário ir além dos princípios e fazer um enfrentamento prático de como se comportam os sistemas e aplicações em web3.

Retomando o dilema trazido anteriormente, uma fração da comunidade de cripto parece ser avessa à ideia de que utilizar padrões e regulamentos tradicionais seja algo interessante. 

Isso dificulta o processo de adequação das próprias, pois dissuade os criadores a se preocuparem com  a adequação.

Por outro lado, as aplicações que estão surgindo preocupam-se com a implementação de recursos que automatizam todo o processo de segurança. Ou seja, o caminho natural na web3 envolve a criação de ferramentas que tragam transparência desde o design.

Além disso, as plataformas que estão erguidas por contratos inteligentes públicos que, embora sejam de difícil análise ao usuário médio, dão ampla condição de auditoria.

Isso se difere, por exemplo, de uma big tech que roda um algoritmo completamente desconhecido e que interage com os dados do usuário sem que seja possível determinar como estão sendo utilizados ou qual o resultado prático daquela interação.

O próprio conceito de comunidade e governança são trunfos importantes. A título de exemplo, o framework da NIST elenca a estruturação de métodos de governança como uma subtarefa dentro da função Identificar.

Isso não significa que a web3 é um mar de rosas. Há diversos desafios em jogo, como o dilema da privacidade, associado a elementos intrínsecos ao blockchain, como a natureza pública das transações.

Apesar disso, a comunidade cripto pareça buscar respostas rápidas e eficientes. As tecnologias envolvendo Zero Knowledge são recursos valiosos no campo da Segurança da Informação e têm sido aprofundadas pelas soluções da web3 como forma de garantir novos níveis de privacidade no uso das redes (Recomendamos a leitura do nosso artigo) . 

Outro tema que contempla os frames de SI é a construção de uma identidade digital auto soberana e também é pauta relevante para web3. As possibilidades de custódia trazidas pela web3 elevaram o debate que parecia distante e trouxeram condições de funcionamento.

Inovações como account abstraction prometem trazem ao usuário uma expansão enorme nas ferramentas de security da web3, permitindo que o usuário implemente as suas próprias regras de segurança.

Apesar de tudo, quando se trata de web3, os maiores desafios da segurança da informação estão mais associados aos métodos de engenharia social. Os usuários estão vulneráveis a fraudes ligadas à auto custódia, como a interação com contratos maliciosos, exposição a malwares e os métodos de phishing.

O cerne da questão é que a adoção dos frames de segurança da informação como referência não parece ser algo dispensável às soluções web3.

Pelo contrário, parece o caminho mais lógico, tendo em vista que possuem uma relação simbiótica.

Tem interesse em contribuir com o movimento Bankless no Brasil? Ficou com alguma dúvida depois de ler o artigo? Entre no nosso servidor do Discord e embarque também nessa jornada!

Este texto não é recomendação financeira ou fiscal. Este boletim informativo é estritamente educacional e não é um conselho de investimento ou uma solicitação para comprar ou vender quaisquer ativos ou para tomar quaisquer decisões financeiras. Este boletim informativo não é um conselho fiscal. Fale com seu contador. Faça sua própria pesquisa.

📩 Se você tem interesse em divulgar um produto, serviço ou protocolo no Bankless Brasil, mande um email para: contato@banklessbr.com

Obrigado por acompanhar o Bankless Brasil! Inscreva-se para receber mais posts como esse em seu e-mail!