Possíveis riscos e substituição da pesquisa on-line

Na última década, houve uma avalanche de softwares, ferramentas, sistemas e serviços na Internet para a realização de pesquisas on-line, de empresas como SurveyMonkey, QuestionPro e até mesmo o próprio Google, todos eles se esforçaram para mudar a forma como os dados das pesquisas quantitativas são coletados e armazenados, oferecendo servidores de Internet para milhares de usuários começarem a criar suas pesquisas e fazer upload de dados para repositórios hospedados principalmente nos Estados Unidos. Embora essa mudança tenha sido positiva, especialmente por causa do impacto favorável no preço das pesquisas de opinião em geral, a verdade é que ela forçou os usuários a expor seus dados, que podem ser sensíveis à visão das redes, dos servidores e dos funcionários das mesmas empresas que fornecem esses serviços de pesquisa on-line. Embora a pesquisa quantitativa on-line por meio de um serviço contratado de terceiros ou SaAS (Software as a Service) tenha seu espaço bem justificado, queremos saber se há maneiras mais seguras de realizar pesquisas nos casos em que precisamos garantir que a confidencialidade das informações e dos dados não seja violada. Dado o estado atual da tecnologia da informação, é possível encontrar opções que substituam os serviços tradicionais de SaAS para hospedar nossa pesquisa on-line confidencial, mas primeiro vamos esclarecer dois conceitos fundamentais para preparar o terreno: "Off-primesses" (fora do local) e "On-Premises" (no local).

OFF-PREMISES VS. ON-PREMISES

Off-premises significa que quando você usar um Serviço de Pesquisa On-line (SAS), como QuestionPro, Google ou SurveyMonkey, seus dados serão armazenados nos servidores da empresa que você esta contratando, desse jeito seus dados irao ser expostos à vista dos funcionários dessas empresas, e podem estar sujeitos às vulnerabilidades de seus sistemas, incluindo hackers e possíveis roubos de informações. Você tem de estar ciente de que usando esses sistemas, você está cedendo o controle de seus dados para essas empresas, você esta atribuindo para eles a responsabilidade pelo armazenamento, backup e segurança dos dados. Por outro lado, o software ON-Premises significa que, ao usar esses sistemas, você tem acesso exclusivo aos seus dados, que estão sendo armazenados em seus próprios servidores, será a sua responsabilidade controlar a segurança, o armazenamento e backups de dados. A vantagem dos sistemas On-Premises é que seus dados não estão sendo vistos pelos funcionários do fornecedor do Software de Pesquisa.

É possível que a sua empresa estiver interessada em aplicar uma pesquisa quatitativa on-line, mas quiser ter os dados armazenados em seus próprios servidores, não na nuvem da empresa fornecedora. Assim, em vez de contratar um serviço SAS genérico como o SurveyMonkey, sua empresa pode ter seus próprios servidores (Linux ou Windows) em casa, sejam esses servidores máquinas físicas localizadas em seus próprios escritórios, ou máquinas virtuais contratadas a terceiros ao nível local ou global. Armazenar os dados em seu próprio servidor (On Premises) garante que há menos olhos vendo seus dados, especialmente se conseguirmos usar um sistema que garanta que o que é armazenado no servidor não seja compreensível por pacotes de software comerciais. Daí a necessidade de codificar, criptografar e não usar bancos de dados comerciais, ou estruturas de dados compreensíveis pelos pacotes de software comerciais.

Embora o software de pesquisas Rotator seja um aplicativo desktop o qual permite criar pesquisas em um PC Windows, quando se trata de publicar um questionário online, nossos usuários têm 3 opções para selecionar: 1) Publicar em um servidor de sua própria propriedade (seu próprio servidor Linux, ou em uma hospedagem contratada por você a um terceiro.) 2) Publicar para um servidor privado administrado por nossa empresa, o que significa que você pode contratar com nossa empresa um servidor para seu uso exclusivo, e 3) Publicar para qualquer um dos servidores da nuvem do Rotator, o que equivale a processar sua pesquisa exatamente como a SurveyMonkey ou a QuestionPro faz, isto é. Sua pesquisa seria hospedada em um servidor de propriedade da Rotator Software. Tipicamente nossos servidores estão localizados no Canadá e nos EUA, contratados a fornecedores globais de alta qualidade. Vamos dar uma olhada nas definições abaixo:

SERVIDOR PROPRIO - CONTROLADO PELO USUÁRIO FINAL

Como o nome implica, um servidor "PROPRIO" é uma máquina física, virtual ou um hosting contratado a um terceiro pelo usuário do Rotator mesmo. Neste caso, A Rotator Software não tem nenhum envolvimento técnico ou administrativo nele e todas as tarefas de administração, configuração, monitoramento e backup são de responsabilidade do usuário final. Ao adicionar seu próprio servidor ao software Modelador de Estudos, a comunicação é feita de forma unidirecional MODELADOR <-> SERVER PROPRIO, e em nenhum momento os dados ou questionários são enviados para servidores propriedade da Rotator Software. Assim, o benefício de instalar seu servidor próprio é o total controle centralizado e a confidencialidade de seus dados. Além destes benefícios, o usuário pode usar seu próprio hardware e dimensioná-lo de acordo com suas necessidades, bem como aplicar políticas corporativas de uso, segurança e backups de servidores.

SERVIDOR PRIVADO - CONTROLADO PELA ROTATOR SOFTWARE

Um servidor PRIVADO é um servidor gerenciado pela empresa Rotator Software, mas que destina-se exclusivamente a um determinado usuário, ao contratar um servidor privado é oferecida uma configuração média (2 GB de RAM, 2 CPU e disco SSD), que pode ser dimensionada na medida da necessidade do cliente. A vantagem do servidor privado é que é garantido que não há outras pesquisas em paralelo de outros usuários, e que seu uso é exclusivo da empresa contratante. Embora o servidor "privado" seja utilizado única e exclusivamente pelo cliente final, sua administração é de responsabilidade da Rotator Software, e, da mesma forma, embora a Rotator Software monitore constantemente os servidores privados para garantir sua disponibilidade, cabe a nossos fornecedores agir e assumir a responsabilidade quando ocorrerem falhas de hardware ou software.

SERVIDORES DA NUVEM - CONTROLADOS PELA ROTATOR SOFTWARE

Um servidor de nuvem é um servidor compartilhado onde diferentes clientes podem armazenar suas pesquisas. Os servidores de nuvem do Rotator são servidores de alto desempenho, permitindo que cerca de 10 pesquisas de tamanho médio sejam executadas nele paralelamente. À medida que nossa empresa cresce em clientes e pesquisas, estaremos adicionando novos servidores à nuvem. Para diferenciar os servidores de nuvens, lhes demos nomes de deuses gregos, por exemplo ARES, ARTEMIS, ADONIS, HERMES, EROS, POSEIDON, HADES, CHRONOS, ZEUS, APOLO, etc. Todos eles operam sob o domínio "ROTATORSERVER.COM", por exemplo: "HTPS://ZEUS.ROTATORSERVER.COM". Quando um usuário publica um questionário na nuvem, o sistema verifica qual servidor é o mais desocupado e publica o questionário lá. A desvantagem de usar a nuvem Rotator é seu desempenho, especialmente para usuários que precisam publicar muitos estudos simultaneamente, ou quando os estudos a serem publicados são muito grandes, seja em termos de perguntas, base de participantes, casos ou número de respondentes concorrentes (ou operadores CATI). Nestes casos, recomendamos optar por um servidor "PRIVADO" ou um servidor "PRÓPRIO".

Pesquisas ultraconfidenciais. Podemos usar um serviço SAS de pesquisa on-line, tipo SurveyMonkey ou QuestionPro?

Recentemente, um usuário da Colômbia entrou em contato conosco porque sua organização (anônima) queria realizar uma pesquisa com as vítimas de sequestros de grupos paramilitares colombianos para analisar a frequência desses eventos e os tipos de abusos que vítimas relataram, o lugar dos eventos onde ocorreram, entre outros aspectos relacionados com a violência e criminalidade desses grupos armados. O problema era que a organização que executava a pesquisa, queria permanecer anônima para evitar retaliações e problemas subsequentes, caso as informações coletadas nas pesquisas fossem divulgadas por algum meio antes de ser entregue ao cliente final, que era um organismo internacional a partir do qual eles também queriam permanecesse anônimo.

Outro caso que chegou ao nosso escritório foi o de um usuário do Brasil, que estava realizando uma pesquisa quantitativa sobre uma investigação processual que estava sendo seguida por um renomado político naquele país, eles queriam medir vários aspectos relacionados aos atos de corrupção real e percebida, em que esse personagem estava envolvido. O problema era que os entrevistados da pesquisa eram personalidades de alto posto social e político do Brasil, muitos dos participantes do estudo se recusaram a responder a pesquisas on-line autoaplicada, respondida em seus computadores, em seus dispositivos móveis ou em computadores de terceiros ligados a internet.

Esses dois casos de pesquisas com dados altamente confidenciais nos fazem pensar, não só sobre a metodologia correta para usar em esses Estudos, mas nas tecnologias de software mais apropriadas para coletar e analisar os dados, a fim de garantir em um 100% de que o os dados coletados não ião ser divulgados, roubados, extraídos ou vistos por piratas tecnológicos, nem pelos mesmos funcionários que dao suporte a infraestrutura tecnológica da empresa que fornece o serviço de pesquisa on-line.

Como é que os dados em uma pesquisa on-line podem ser roubados?

Há vários jeitos pelos quais a extração de informações confidenciais de uma pesquisa pode ser feita, aqui mencionamos alguns dos métodos que hackers ou pessoas maliciosas que querem roubar os dados para uso em atos de extorsão, black-mailing ou publicá-lo em meios de comunicação de massa, como jornais, sites sensacionalistas tipo Wikileaks, etc.

1. Os funcionários de empresas que prestam serviços de pesquisa on-line

Funcionários de empresas como a SurveyMonkey, QuestionPro que atendem ao mercado de massa de pesquisas on-line e que coletam anualmente milhares de pesquisas quantitativas de todos os tipos, como pesquisas de lançamentos de novos produtos, pesquisas electorais, pesquisas altamente confidenciais como as mencionadas neste artigo. Qual é a probabilidade dessas pesquisas altamente confidenciais, como as mencionadas aqui, de serem vistas, ou pior, tiradas ou roubadas por um funcionário que está chateado com a empresa? Por outro lado, conchecemos verdadeiramente as políticas de segurança de dados, confidencialidade da informação e sigilo estatístico que essas empresas aplicam. Se você acreditasse que porque sua pesquisa está hospedada em servidores localizados nos Estados Unidos, e que a empresa fornecedora é americana, que em teoria é regida por leis rígidas, saiba bem que a Wikileaks surgiu justamente nos Estados Unidos e que essa organização roubou todos os tipos de informações, incluindo documentos secretos da Casa Branca e do Pentágono.

2. Hackers que querem violar a segurança dos servidores da empresa contratada.

A segunda possibilidade de que a segurança de sua pesquisa on-line estivesse comprometida, pode ser devido a um hacker anônimo que tem acesso aos servidores onde sua pesquisa está sendo hospedada, ele pode penetrar no banco de dados e copiar seus dados e os transferir para seu próprio computador. Embora os servidores atuais sao mais inteligentes e menos difíceis de invadir, estão surgindo cada vez mais novos métodos para hacking e roubo de credenciais, então não podemos descartar esse cenário. Muitas empresas como a Rotator Software preferem não usar bancos de dados comerciais ou estruturas de dados fáceis de entender, além de aplicar mecanismos de criptografia aos seus dados, incluindo HASH, MD5, entre outros.

Políticas de segurança de dados de alguns fornecedores de Pesquisa Online

A maioria das empresas que fornecem software de pesquisa no âmbito do SAS (Software como serviço) mantém políticas rígidas para o processamento das informações de seus clientes, especialmente em relação aos funcionários, sejam eles empregados diretos ou indiretos, que têm acesso aos dados do seu Estudo. No caso da Rotator Software, nossos funcionários assinam um contrato que é renovado anualmente para proteger a confidencialidade e a segurança dos dados coletados por nossos clientes. Abaixo mostramos as declarações e políticas de privacidade e segurança das informaçoes de algumas empresas que fornecem ferramentas, sistemas e software de pesquisa que encontramos na Internet.