Foto: Edison Fontes. Museu, Gdansk, Polônia. Edison Fontes, CISM, CISA, CRISC, Ms. 2023 Metaverso é um ambiente para o qual o ser humano pode se transportar mentalmente, atuando neste universo de maneira exclusiva ou interagindo com a realidade, utilizando ou não a tecnologia. (Edison Fontes, 2023). Existem várias definições de Metaverso. Acima descrevo […]
Foto: Edison Fontes. Museu, Gdansk, Polônia.
Edison Fontes, CISM, CISA, CRISC, Ms. 2023
Metaverso é um ambiente para o qual o ser humano pode se transportar mentalmente, atuando neste universo de maneira exclusiva ou interagindo com a realidade, utilizando ou não a tecnologia. (Edison Fontes, 2023).
Existem várias definições de Metaverso. Acima descrevo minha definição, reconhecendo que o Metaverso existe com ou sem tecnologia. Quando sonhamos entramos em um universo mental paralelo á realidade. Quando os homens e mulheres das cavernas desenhavam suas figuras capturando animais, querendo prever uma caça de sucesso, ao desenhar estavam mentalmente em um outro ambiente.
Simplificando, o Metaverso se tornou uma realidade no ambiente (negócio) dos jogos eletrônicos. O usuários destes jogos se transporta mentalmente para aquele universo. Eu consigo jogar com meu neto ou a minha neta, jogos tipo Roblox, cada um com seu dispositivo em locais diferentes: quarto e sala ou quilômetros de distância.
Com a tecnologia permitindo o barateamento do armazenamento dos dispositivos, facilidade de solução em nuvem e a rapidez das telecomunicações a um custo acessível, a utilização do Metaverso ganhou um potencial de negócio e soluções em busca de problemas. Haja vista que o Facebook alterou sua marca comercial para Meta e investe bilhões de US$, apesar dos atuais prejuízos.
Mas a verdade é que o Metaverso permite uma facilidade para uma séries de aplicações e tipos de negócios (novos e antigos). Com o uso crescente do Metaverso, sem sabermos ainda qual vai ser a velocidade de implantação de soluções, é necessário considerar a questão da segurança da informação, em conjunto com a segurança cibernética e a privacidade da pessoa humana. Como tratar este assunto? Como desenhar uma estrutura ou uma arquitetura de segurança e privacidade para o tratamento da informação no Metaverso?
Faço aqui algumas considerações iniciais, com certeza não completas, mas que tenho tomado por direcionadoras nos trabalhos que realizo e oriento. Gosto muito de estruturar, separar, arquitetar, pois, entendo que assim a compreensão do assunto será facilitado.
Com certeza o leitor poderá complementar. Se possível gostaria de receber suas considerações e observações.
Direcionadores:
Podemos estruturar o Ambiente utilizado pelo Metaverso em pelo menos três grandes blocos:
1.1. Ambiente de Informação Plataforma do Metaverso
Este ambiente plataforma suporta as aplicações que serão executadas considerando o Metaverso. Atualmente, com exceção de situações de laboratórios e pesquisas em empresas e na área acadêmica, somente grandes empresas como Meta, Google e similar estão ofertando estas soluções.
1.2. Ambiente de Informação Dispositivos Metaverso
Já existem inúmeros dispositivos para uso pelas aplicações de Metaverso. Atualmente o custo ainda é um empecilho, mas logo este custo ficará acessível.
A diversidade de tipos de dispositivos é inimaginável. Dispositivos que nem pensamos atualmente, estarão disponíveis em curto prazo, permitindo que o tratamento e sensação da informação aconteça de maneira mais realista e com a sensação de que estamos no mundo real.
1.3. Ambiente de Informação Aplicação Metaverso
As aplicações utilizando o ambiente de Metaverso é o que mais conhecemos e o que mais será a nossa realidade de negócio, acadêmica ou de diversão (mas de negócio para os fornecedores de solução.
As aplicações são e serão de uma diversidade quase que infinita. Pessoalmente entendo que as primeiras áreas que crescerão em Metaverso são Jogos, eventos artísticos, eventos esportivos, área acadêmica tradicional, cursos e treinamentos livres, realidade aumentada (setor imobiliário) e outros seguimentos em que a tratamento remoto da informações seja essencial.
Tenho utilizado esta tríade de controles, pois é assim que as Normas ISO 27001 e 27002 nas suas versões de 2022 definem.
Entendo que todos os controles das normas ISO/IEC 27001 e 27002, e as demais da família 27000, devem ser seguidos por estes três ambientes. Porém para facilitar, também entendo que alguns controles têm maior relevância para cada um dos ambientes. Destaco:
2.1. Ambiente de Informação Plataforma do Metaverso
– Alta Disponibilidade do ambiente.
– Mais alto nível de proteção de segurança cibernética.
– Garantia de integridade do ambiente.
– Garantia de proteção contra invasões de criminosos.
– Copias de segurança com alto grau de confiabilidade e confidencialidade.
– Não conhecimento de identificações de pessoas. Controle das aplicações.
– Utilização de aplicação apenas após aprovação e uma Gestão de Mudanças.
– Gestão de Resiliência Operacional: Gestão de problemas, Gestão de Capacidade.
– Existência de Gestão de Incidentes.
– Existência de Política de Segurança. Política de Uso do Site, Política de Privacidade para o Titular de Dados Pessoais.
– Identificação e conformidade com as leis existentes e também com os normativos das agências reguladoras, a quem este ambiente deve se submeter.
2.2. Ambiente de Informação Dispositivos Metaverso
– Utilização de dispositivos certificados garantindo a segurança e proteção.
– Mais alto nível de proteção de segurança cibernética.
– Garantia de proteção contra invasões de criminosos.
– Garantia de uso adequado por ser humano: parâmetros de uso.
– Garantia de não rastreamento e guarda de rastreamento de uso pelo usuário.
2.3. Ambiente de Informação Aplicação Metaverso
– Usuário: autenticação individual e intransferível.
– Definição de uso de identificação relacionada a pessoa humana ou não.
– Garantia de controle de autenticação rígida. Biometria, dois fatores, similar.
– Definição da guarda de rastreamento de uso da identificação na aplicação: regras claras, tempo de guarda, similar.
– Autorização para uso de dados pessoais.
– Explicitação de quais dados pessoais são tratados e armazenados.
– Criptografia dos dados armazenados.
– Possibilidade de apagar dados do usuário, se o mesmo solicitar.
– Definir regras de compartilhamento de dados pessoais com os demais usuários da aplicação.
– Classificação de informações em relação ao sigilo.
– Utilização de aplicação apenas após aprovação e uma Gestão de Mudanças.
– Gestão de Resiliência Operacional: Gestão de problemas, Gestão de Capacidade.
– Existência de Gestão de Incidentes.
– Desenvolvimento da aplicação seguindo metodologias de desenvolvimento de sistemas e obrigatoriamente em conformidade com os Controles de Desenvolvimento Seguro.
– Existência de Política de Segurança para o desenvolvedor. Política de Uso da Aplicação , Política de Privacidade para o Titular de Dados Pessoais.
– Identificação e conformidade com as leis existentes e também com os normativos das agencias reguladoras, a quem esta aplicação deve se submeter.
– Explicitação para o usuário de todas as leis e regulamentos que a aplicação está em conformidade.
– Explicitação do Profissional ou Equipe de Profissionais responsáveis pela Aplicação desenvolvida.
CONCLUSÃO
Confesso que chego à conclusão com a sensação de que se passasse mais algumas horas, mais controles identificaria e com certeza faria uma melhor distribuição, tipo uma Matriz de Controles e Aplicação nos Ambientes de Informação do Metaverso. Mas, o ótimo é inimigo da perfeição. Então compartilho de imediato estas minhas “primeiras considerações” sobre Metaverso: segurança da informação, segurança cibernética e proteção à privacidade.
Grande abraço.
Edison Fontes, CISM, CISA, CRISC, Ms.
CyberSecurity Evangelist – NTT DATA Europe & LATAM
edison@pobox.com.br
