A informação é um dos ativos mais preciosos da sua empresa! “Ah Marcus Paulo, é claro que estou seguro, ninguém nunca invadiu meus servidores”.
Meu caro, a segurança da informação vai muito além disso!
Deve ser cuidada e tratada, principalmente internamente, através de políticas e orientações que iremos abordar neste artigo. Vamos avaliar alguns conceitos básicos mas de extrema importância para garantir a segurança das informações dentro da sua organização.
Para abordarmos a segurança da informação, primeiramente precisamos saber, o que é isso. Então vamos lá!
“A informação, independentemente de seu formato, é um ativo importante da organização. Por isso, os ambientes e os equipamentos utilizados para seu processamento, seu armazenamento e sua transmissão devem ser protegidos”. Campos, André. “Sistema de segurança da informação.” Controlando os Riscos (2007).
Você já parou pra pensar que a informação é o recurso que move o mundo, e além disso nos dá conhecimento de como o universo está caminhando? Se você parar pra pensar, somos o que somos por que transformamos informação em vida!
A informação é muito mais do que um conjunto de dados ordenados. A informação parte da ordenação desses dados e a extração de algo valioso daquele conjunto que traga algum tipo de benefício pessoal ou profissional, por isso que a informação se trata de um ativo tão valioso dentro da organização.
O que seria de qualquer negócio sem informações de mercado, concorrência, financeiras entre outros tipos. O que seria dos profissionais que trabalham em uma determinada empresa sem as informações prévias que adquiriram durante a graduação por exemplo? Seriam apenas dados dispersos sem valor! O trabalho em cima dos dados que nos fornece a informação.
Ah Marcus, beleza entendi que informação é bacana, mas e aí?
Como que é essa tal segurança da informação que você falou?
Vem com a gente que vou explicar um pouco mais sobre esse assunto!
O que é segurança da informação?
Quando trabalhamos ou temos uma organização, devemos lembrar que a informação é um bem e deve ser cuidada por meio de políticas e regras, da mesma maneira que os recursos financeiros e materiais são tratados. Com isso podemos chegar ao ponto que a informação é um ativo de valor (e de muito valor!). A segurança da informação tem três pilares, que são a essência dela, esses pilares são:
Além desses pilares existem outros conceitos importantíssimos como a Legalidade, Auditabilidade e Não Repúdio de autoria, que também serão abordados.
Já parou pra pensar o que aconteceria se esses pilares e conceitos não funcionassem em perfeita harmonia? Seria uma bagunça né? Vamos abordar eles separadamente para entendermos melhor do que cada um se trata!
Confidencialidade
Conceitualmente podemos dizer que a informação deve ser acessada e utilizada exclusivamente pelos que necessitam dela para a realização de suas atividades profissionais na organização.
“Ah, então agora eu tenho que guardar segredo dos meus funcionários e colegas de trabalho!”
Não, você está confundindo transparência com confidencialidade.
A informação ser confidencial significa que ela não é necessária para o colega do lado fazer o trabalho dele. Não quer dizer que ele não possa saber, quer dizer que ele não precisa saber. É a informação ser utilizada pela pessoa certa na hora certa.
Isso também entra em expor informações da empresa em um ambiente impróprio, naquela roda de bar, você contar sobre informações sensíveis da organização, você vai estar quebrando a confidencialidade da organização e isso pode causar grandes impactos.
Disponibilidade
Levando diretamente ao conceito, disponibilidade pode ser escrita como a informação estar acessível para o funcionamento da organização para o alcance de seus objetivos e missão.
Isso pode parecer um pouco semelhante ao conceito de confidencialidade, mas veja bem: a confidencialidade é mais ligada às pessoas enquanto a disponibilidade é mais ligada à organização como um todo. Uma informação confidencial, pode estar disponível para as partes interessadas, mesmo que essa parte não necessite diretamente dessa informação para a realização do seu trabalho.
Integridade
Conceitualmente, a informação deve estar correta, ser verdadeira e não estar corrompida.
O conceito de integridade é extremamente importante, se uma informação não é íntegra, ela é perdida, pois não apresenta valor. Ela deixa de ser informação e volta a ser apenas dados desordenados e sem valor, isso nos melhores casos! Quando falta a integridade de uma informação ela pode se tornar errada o que pode causar danos irreparáveis para a organização.
Agora que já conhecemos os três pilares da segurança da informação, vamos analisar outros três conceitos muito importantes.
Legalidade
O uso da informação deve estar de acordo com as leis aplicáveis, regulamentos, licenças e contratos, bem como com os princípios éticos seguidos pela organização e desejados pela sociedade.
A legalidade é o que garante que a organização trabalha dentro da lei e de maneira ética perante a sociedade. Isso é fundamental, pois garantimos que não teremos nenhum problema com a justiça por alguma falha se a organização se preocupar com esse conceito.
Auditabilidade
O acesso e o uso da informação devem ser registrados, possibilitando a identificação de quem fez o acesso e o que foi feito com a informação.
Essa auditabilidade reflete diretamente à rastreabilidade do trabalho exercido dentro da organização, garantindo que a informação foi trabalhada de maneira correta e seguindo os pilares de maneira eficiente.
Não repúdio de autoria
O usuário que gerou ou alterou a informação (arquivo de texto, mensagem de e-mail dentre outros tipos de informação) não pode negar o fato, pois existem mecanismos que garantem sua autoria.
Como vimos no conceito de auditabilidade, isso garante uma rastreabilidade do fluxo das informações e com os mecanismos corretos o autor de uma determinada ação, não pode negar que executou aquilo.
“Tá bom Marcus, entendi o básico de segurança da informação, e agora?”
E agora? Agora pratique isso! Existem diversos frameworks e práticas que ajudam a garantir a segurança da informação. Os aspectos que foram abordados aqui são um apanhado básico desse tema que extremamente extenso e complexo! Mas como qualquer melhoria, começa com o primeiro passo!
Oriente seus colegas, oriente seus funcionários, proteja esse ativo que é tão importante!
Agora uma perguntinha rápida…
Já revisou sua PSI (Política de Segurança da Informação) hoje?
Se não, é uma boa ideia verificar se ela está sendo cumprida não acha?
Nós aqui da Arkmeds valorizamos muito nossas informações e as protegemos o tempo todo e isso reflete em nossas soluções!
*Referência: Campos, André. “Sistema de segurança da informação.” (2007).
Iremos explicar como a segurança da informação é aplicada do setor da saúde em um outro post.
Quer receber esse artigo em primeira mão?
Então assine nossa newsletter que avisamos sempre que um novo material é lançado!
