Consultório Portal GSTI #11

Caros leitores,

Esta semana no Consultório Portal GSTI partilho convosco algumas das conclusões que resultaram do debate organizado pelo ISACA Lisbon Chapter sobre o contributo da tecnologia no processo democrático, nomeadamente na utilização do voto eletrónico. A escolha da questão “47,4% de abstenção, teria a utilização da tecnologia e a votação eletrónica ajudado? Teria a Segurança deixado?” pretendeu colocar em cima da mesa o problema (abstenção) e uma proposta de solução (voto eletrónico), procurando analisar esta questão complexa com o contributo de três perspetivas: 1) a visão da Sociedade da Informação; 2) a visão da Auditoria; e 3) a visão da Segurança da Informação. Para tal foram convidados alguns profissionais com experiência profissional e associativa na área da sociedade da informação, bem como alguns especialistas em segurança e auditoria de sistemas de informação.

Tendo em consideração as limitações de tempo para o debate, bem como o âmbito de atuação da ISACA, procurou-se contrariar o princípio básico defendido em qualquer sistema de informação de “análise do problema através de uma reflexão das suas causas” , tendo-se avançado diretamente para a reflexão sobre o papel que a tecnologia poderia ter na resposta ao problema da abstenção (e até desinteresse!), o qual afeta não apenas a sociedade Portuguesa mas de uma forma geral grande parte dos sistemas democráticos.

O debate iniciou-se apresentando um cenário onde a tecnologia passaria a desempenhar um papel central no processo democrático: “Um sistema de opção, em que o eleitor poderia escolher votar eletronicamente e com isso poderia, por exemplo, votar descansadamente enrolado numa manta aconchegante ou duma esplanada à beira mar” . Será este um cenário real ou uma mera ficção?

É curioso ressalvar que apesar de se tratar de um cenário aparentemente futurista, a utilização de meios informáticos em processos eleitorais não é novidade, existindo países onde estas soluções são adotadas (com diferentes graus de dependência tecnológica), países onde este tipo de soluções já foram testados (onde se inclui Portugal) e outros onde este tipo de soluções já foram abandonaram tendo-se regressado a modelos de votação tradicional [1].

Tendo este contexto em consideração, e focando a análise no âmbito da ISACA, foi importante avaliar qual o contributo que profissões das áreas de risco, controlo, auditoria ou segurança poderão ter em futuras decisões sobre a adoção deste tipo de soluções .

Antes de se entrar a fundo na componente tecnológica, foi importante enquadrar o fenómeno democrático e o seu expoente máximo: O voto. Não entrando numa análise demasiado detalhada, foi dada relevância a um aspeto fundamental em qualquer fenómeno que envolve os interesses de uma comunidade ou sociedade: A responsabilidade. O tema da responsabilidade foi apresentado como sendo um dos principais desafios na vertente da sociedade da informação. A tecnologia pode ser uma ameaça séria quando se sobrepõe aos valores fundamentais do contexto onde é utilizada, deixando de ser encarada como um meio para alcançar um fim maior e passando a ser o fim em si mesma . Estaria um regime democrático preparado para transformar o processo de reflexão e a solenidade do momento do voto num contexto de simplicidade onde votar seria tão simples como colocar um Like na página de Facebook do candidato? Qual seria o resultado para uma democracia se a tecnologia fosse utilizada como arma de arremesso por grupos marginais ou anti-sistema para ganharem escala à conta de fenómenos mediáticos de curto prazo?

Tal como referido no filme do Homem Aranha, “com grande poder vem grande responsabilidade” , e como qualquer advento tecnológico no passado, a utilização de tecnologias de informação e comunicação no processo eleitoral terá necessariamente de ser acompanhada de uma enorme sensibilização de todo o contexto com vista a uma maior literacia democrática.

Ultrapassada a questão fundamental dos pressupostos da utilização da tecnologia, foi importante ressalvar as propriedades intrinsecamente ligadas à democracia, as quais configurariam requisitos fundamentais para a implementação de qualquer sistema de suporte ao processo eleitoral: Autenticidade, Singularidade, Direito de Voto, Anonimato, Integridade dos votos, Não-Coercibilidade e Privacidade .

Tendo em consideração este conjunto de requisitos, foi evidente que a tecnologia pode desempenhar um papel fundamental na resposta ao requisito “Direito ao Voto”. A acessibilidade aos locais de voto continua a ser, em alguns contextos, um desafio relevante, podendo a utilização das tecnologias de informação e comunicação desempenhar um papel determinante para levar este direito fundamental da democracia a um número mais alargado de cidadãos. Este é provavelmente o fator que leva algumas “jovens democracias” a adotar este tipo de soluções, onde o “Direito ao Voto” se sobrepõe aos outros requisitos e onde as oportunidades da tecnologia se sobrepõem às suas ameaças.

No entanto, quando as democracias apresentam uma maior maturidade e a literacia tecnológica é mais alargada, os restantes atributos ganham uma maior relevância, passando a análise a estar mais centrada nas ameaças, sobretudo nos pressupostos de Transparência e Confiança no sistema, pressupostos diretamente relacionados com as funções de auditoria e segurança.

Um sistema desta natureza envolve objetivos de enorme importância, motivo pelo qual as ameaças relacionadas, as vulnerabilidades dos recursos utilizados, os riscos inerentes e os controlos necessários deverão ser sempre objeto de análise e avaliação por forma a garantir um nível de riscos residuais aceitáveis. No entanto, a questão central esteve precisamente relacionada com a possibilidade de existência de níveis de tolerância ao risco ou a impossibilidade de utilização deste tipo de soluções caso essa tolerância não exista .

Para os auditores presentes na sala, não existem sistemas que não sejam auditáveis nem riscos inerentes que não sejam controláveis, no entanto para que tal seja possível será sempre garantir o envolvimento de especialistas e o recurso a boas práticas das áreas de auditoria, risco e controlo para dessa forma assegurar uma maior confiança e transparência do processo . Veja-se o exemplo do documento “Recommendation Rec(2004)11” [2] onde o Comité de Ministros do Conselho da Europa procurou definir alguns requisitos para a auditoria de sistemas de votação eletrónica, no entanto uma análise detalhada dos requisitos e um mapeamento com boas práticas como o COBIT permite detetar falhas que poderiam ter sido evitadas com a utilização de um maior alinhamento com referenciais de mercado [3].

Apesar de não existirem sistemas que não sejam auditáveis, as auditorias podem deixar de ser complexas e passar a ser muito complicadas à medida que deixamos as soluções mais tradicionais de votação em papel em ambiente controlado e avançamos para soluções de votação eletrónica remota em ambiente não controlado. Foi notório o desconforto existente com os cenários totalmente dependentes de tecnologia, sobretudo devido à possibilidade de aceitar que os sistemas poderão não ser auditáveis para garantir requisitos como o “Anonimato” a 100%.

E foi precisamente neste ponto que a discussão terminou, com os profissionais a concluírem que as oportunidades relacionadas com a utilização da tecnologia são inegáveis, mas será sempre necessário garantir que a dependência tecnológica não impossibilita a confiança e transparência do processo . Como tal, cenários que potenciem a utilização de tecnologia mas em ambientes controlados serão sempre os mais viáveis, pois quem conhece e trabalha com tecnologia sabe que não existe esse pressuposto de sistemas 100% seguros.

Bruno Horta Soares, CISA®, CGEIT®, CRISC ^™ , PMP®