Segurança da Informação com a Governança de TI para Educação
Segurança da Informação e Governança de TI na Educação: proteger dados para proteger pessoas
Em abril de 2021, o Ministério da Educação sofreu um ataque hacker que comprometeu o sistema do ENEM e expôs dados de milhões de estudantes brasileiros. A notícia circulou por alguns dias, gerou indignação nas redes sociais e depois sumiu do noticiário. O que não sumiu foram os dados que continuaram circulando em fóruns clandestinos, sendo usados para fraudes e golpes contra pessoas que nem sabiam que tinham sido expostas.
Esse episódio poderia ser tratado como um acidente isolado, uma falha técnica azarada, mas não foi, apenas o sintoma de algo estrutural: o setor educacional brasileiro não trata a segurança da informação com a seriedade que ela exige. E enquanto isso não mudar, os dados de milhões de alunos, professores e famílias vão continuar vulneráveis, não porque os ataques sejam sofisticados demais para serem evitados, mas porque as instituições simplesmente não estão preparadas.
Por que alguém atacaria uma escola
Essa é a primeira pergunta que a maioria dos gestores faz quando o assunto aparece. O que um criminoso digital quer com informações de uma secretaria municipal de educação? A resposta é mais simples do que parece. Sistemas de gestão escolar reúnem, num único lugar, um conjunto de informações extraordinariamente sensível: nome completo, CPF, data de nascimento, endereço, renda familiar, dados de saúde, situação de vulnerabilidade social, histórico disciplinar. Para redes que atendem populações em situação de risco, os dados podem incluir ainda informações sobre famílias em programas sociais, crianças sob medidas protetivas e adolescentes em conflito com a lei.
Esse pacote de informações tem alto valor no mercado ilegal de dados. Serve para fraudes financeiras, para golpes direcionados, para extorsão. E como as instituições educacionais historicamente investem pouco em proteção digital, elas oferecem uma combinação que os criminosos adoram: dados valiosos com defesa fraca. Tem mais um detalhe que torna o setor especialmente atraente. Uma única plataforma de educação a distância pode concentrar dados de milhões de usuários. Um sistema estadual de gestão escolar pode ter registros de centenas de milhares de alunos. Um ataque bem-sucedido a esses sistemas não é um crime contra uma instituição, é um crime contra uma população inteira.
O problema não é só técnico
Quando um incidente de segurança acontece numa secretaria de educação, a tendência é procurar o culpado na equipe de TI, onde o servidor foi invadido e o sistema estava desatualizado. O técnico não configurou direito o firewall, e aí contrata-se uma empresa para resolver o problema técnico, assina-se um relatório e o assunto fica arquivado até o próximo incidente.
Essa lógica está errada, segurança da informação não é um problema técnico com solução técnica, é um problema de governança, ou seja, de como a instituição toma decisões sobre tecnologia, quem é responsável pelo que, e como esses processos se alinham com o que a organização deve à sociedade. A maioria dos municípios brasileiros não tem uma política formal de tecnologia da informação, muitos dependem de um único profissional de TI, quando têm algum para cuidar de toda a infraestrutura digital da rede, as decisões sobre quais sistemas adotar, quais dados coletar e como protegê-los raramente passam por qualquer avaliação estruturada de risco. O resultado é uma colcha de retalhos de sistemas velhos, mal integrados e operados por pessoas sem treinamento adequado.
Nesse ambiente, não é preciso um hacker sofisticado para causar estrago, às vezes basta uma senha fraca, um funcionário que clicou em um link malicioso sem perceber, ou mesmo, um ex-colaborador cujo acesso nunca foi revogado depois que ele saiu.
O que a lei já exige e quase ninguém cumpre
A Lei Geral de Proteção de Dados entrou em vigor no Brasil em 2020 e se aplica integralmente ao setor público, inclusive às redes de ensino. Isso não é uma novidade, mas parece ser, considerando o quanto as secretarias de educação ainda ignoram suas obrigações.
Na prática, a LGPD exige que qualquer organização que colete e processe dados pessoais tenha base legal para isso, informe as pessoas sobre o que está sendo coletado, proteja essas informações de forma adequada e tenha um plano para quando as coisas derem errado. Para dados de crianças e adolescentes, as exigências são ainda mais rigorosas. O que acontece na realidade? Plataformas educacionais são adotadas sem que ninguém leia o contrato com atenção, aplicativos de comunicação com famílias são instalados sem política de privacidade clara, dados de alunos são compartilhados com fornecedores sem cláusulas que protejam essas informações, e quando aparece um problema que ninguém sabe ao certo quem é responsável, onde isso não é apenas um risco jurídico, embora também seja, é uma questão de confiança. As famílias que matriculam seus filhos na escola pública não imaginam que os dados daquelas crianças podem estar sendo usados para fins comerciais por empresas que elas nunca conheceram, mas quando descobrem, o dano à relação com a instituição é difícil de reparar.
A terceirização sem controle
Grande parte dos sistemas usados pelas redes públicas de educação vem de empresas terceirizadas. Isso não é necessariamente um problema, terceirizar pode ser uma decisão racional para municípios com pouca capacidade técnica interna, o problema é quando a terceirização vem sem nenhuma governança.
Quando o contrato com o fornecedor não prevê obrigações claras sobre segurança dos dados, ninguém sabe ao certo onde as informações dos alunos estão armazenadas. Quando o fornecedor encerra o serviço ou vai à falência, os dados ficam em situação indefinida, uma brecha de segurança no sistema da empresa expõe registros de milhares de estudantes, a secretaria de educação fica sabendo pela imprensa, e descobre que não tem nenhum mecanismo de responsabilização contratual.
Há ainda uma questão que raramente aparece nas reuniões de secretaria: muitos dos sistemas de tecnologia educacional comercializados no Brasil armazenam e processam dados em servidores fora do país, operados por empresas que usam essas informações para treinar seus próprios modelos comerciais. Imagens de alunos, históricos de aprendizado, padrões de comportamento, tudo isso pode estar alimentando algoritmos de empresas estrangeiras sem que ninguém tenha consciência disso. Um gestor que assina esse tipo de contrato sem fazer essas perguntas não está sendo inovador, e está sendo negligente com dados que não são seus, são das crianças e das famílias que confiam na escola pública.
As pessoas são sempre o elo mais fraco e o mais importante
Uma pesquisa da IBM de 2023 mostrou que mais de 95% dos incidentes de segurança envolvem algum tipo de erro humano. Isso não significa que as pessoas são burras ou descuidadas. Significa que sistemas de segurança que dependem de comportamento humano perfeito estão condenados a falhar.
A resposta a isso não é punição, é cultura. Uma organização que leva segurança da informação a sério cria um ambiente em que as pessoas entendem por que certas práticas importam, sabem o que fazer quando encontram algo suspeito e não têm vergonha de pedir ajuda quando não têm certeza sobre algo.
Isso é muito diferente de mandar um funcionário fazer um curso online de uma hora sobre segurança digital para cumprir tabela. Requer conversas reais, exemplos próximos da realidade de cada pessoa, e liderança que dá o exemplo, porque quando o gestor usa a mesma senha para tudo e compartilha o login com o assistente por conveniência, não adianta nenhum treinamento.
O que pode ser feito agora, sem esperar por orçamento
Uma das desculpas mais comuns para não avançar em segurança da informação no setor público é a falta de recursos. Mas boa parte do que precisa ser feito não exige investimento significativo, exige organização, vontade política e alguma dedicação de tempo.
O primeiro passo é saber o que existe, fazer um inventário dos sistemas em uso, dos dados que cada uma coleta e de quem tem acesso a quê. Parece básico, mas muitas secretarias não têm essa visão consolidada, onde sem ela é impossível proteger o que você não sabe que existe.
O segundo passo é revisar os contratos com fornecedores de tecnologia, especificamente em relação à proteção de dados. Onde estão as lacunas? Quais fornecedores precisam ser acionados para ajustar termos? Isso pode ser feito com apoio da procuradoria e não exige gasto adicional.
O terceiro passo é designar formalmente um encarregado de proteção de dados, como a LGPD exige e garantir que essa pessoa tenha acesso real à liderança da secretaria. Não precisa ser um cargo novo, que pode ser uma atribuição adicional a um servidor com perfil adequado.
O quarto passo é escrever um plano mínimo de resposta a incidentes, que acontece se um sistema for comprometido? Quem aciona quem? Como as famílias são comunicadas? Quais dados têm prioridade de proteção? Ter essas respostas escritas antes que o incidente aconteça é a diferença entre uma crise gerenciada e um caos.
Segurança da informação é uma questão de dignidade
No fim de toda essa conversa sobre firewalls, contratos e compliance, há algo muito mais humano em jogo, quando uma família matricula uma criança na escola pública, está entregando ao Estado informações íntimas sobre sua vida. Endereço, renda, estrutura familiar, condições de saúde, histórico de vulnerabilidade, onde essa entrega é um ato de confiança que muitas vezes uma necessidade e não uma escolha.
A escola não tem o direito de tratar esse dado com descuido, mas há uma assimetria de poder enorme nessa relação. A família não escolhe quais sistemas a secretaria usa, não sabe como seus dados são processados, não tem como verificar se estão protegidos, ela simplesmente confia na instituição pública que tem a obrigação de honrar essa confiança, não porque a lei manda, mas porque é isso que uma instituição que se diz a serviço do cidadão precisa fazer. Proteger os dados de alunos e professores não é uma obrigação burocrática de TI, é parte do compromisso ético que qualquer escola pública tem com as pessoas que atende. E enquanto o setor educacional não entender isso com clareza, vai continuar falhando, não apenas nos seus sistemas, mas nas pessoas que dependem deles.
