O que é Segurança da informação?
Índice
- O que é Segurança da informação?
- O que é informação?
- Conceito de Segurança da informação
- Objetivos da Segurança da Informação
- Classificação das Informações
- Política de segurança da Informação
- Objetivos da Política de Segurança da Informação
- Sistema de Gestão da Segurança da Informação
- Programa Nacional de Proteção do Conhecimento Sensível
- Conclusão
O Conceito de Segurança da Informação são as medidas administrativas, tecnológicas e físicas adotadas com o intuito de preservar a confidencialidade, a integridade e a disponibilidade da informação considerada importante para uma organização, durante todo seu ciclo de vida: criação, manipulação, armazenamento, transporte e descarte.
O que é informação?
Por informação, entendem-se, neste contexto, todos os dados armazenados e manipulados em meios eletrônicos, em papel, micro-filmes, ou qualquer outro meio, que quando contextualizados geram informações e conhecimentos de valor para a organização.
A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida.
A informação pode existir em diversas formas.
Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas.
Ciclo de Vida da Informação
Manuseio
Momento em que a informação é criada e manipulada, seja ao folhear um maço de papéis, ao digitar informações recém-geradas em uma aplicação Internet, ou, ainda, ao utilizar sua senha de acesso para autenticação, por exemplo.
Armazenamento
Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo de aço, ou, ainda em uma mídia de disquete depositada na gaveta da mesa de trabalho, por exemplo.
Transporte
Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico, ao postar um documento via aparelho de fax ou correios, ou, ainda, ao falar ao telefone uma informação, por exemplo.
Descarte
Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD ROM usado que apresentou falha na leitura.
A informação deve ser protegida durante todo seu ciclo de vida.
Neste ciclo de vida os requisitos de segurança podem variar, e normalmente variam, devendo, portanto, ser investido esforço adequado à proteção que se fizer necessário em cada fase da vida da informação.
“Como exemplo podemos citar informações de um determinado produto, que durante sua fase de desenvolvimento tais informações devem ser tratadas como confidenciais, devido sua natureza e dos investimentos que estão sendo feitos para o desenvolvimento do produto. Após o término do desenvolvimento, se for o caso, realiza-se o registro da patente, momento em que boa parte das informações do produto passam a ser públicas.”
Neste caso, não faria mais sentido continuar a tratar todas as informações do produto como confidencial, podendo reduzir o investimento a partir da reclassificação dos mesmos, mantendo como confidencial apenas aquelas que forem realmente necessárias.
Conceito de Segurança da informação
Podemos conceituar Segurança da Informação como sendo as medidas administrativas, tecnológicas e físicas adotadas com o intuito de preservar a confidencialidade, a integridade e a disponibilidade da informação considerada importante para uma organização.
Pilares da Segurança da Informação |
Confidencialidade: Garantia de que o acesso às informações seja obtido somente por pessoas autorizadas. |
Integridade: Garantia de que as informações serão protegidas contra alterações não autorizadas. |
Disponibilidade: Garantia de que as informações estarão disponíveis onde e quando as pessoas autorizadas necessitarem, com total segurança. |
A manutenção dos pilares da segurança da informação depende da existência de integração entre segurança física e do ambiente, da segurança tecnológica e da segurança em pessoas.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas de segurança, procedimentos, estruturas organizacionais, processos seguros e funções de software e hardware.
Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para garantir que os objetivos de segurança da organização sejam atendidos.
Objetivos da Segurança da Informação
A segurança da informação tem dois objetivos principais:
- o primeiro é preservar as informações da organização, de seus clientes, colaboradores e parceiros;
- o segundo é garantir a continuidade do negócio em caso de incidente com a informação, minimizando os impactos decorrentes deste incidente.
A segurança da informação não deve ser vista como um projeto, com prazo definido para término e sim como um processo, e como tal deve ser contínuo, cíclico, monitorado, revisado e evoluído permanentemente, sob pena de se tornar obsoleto e de perder seu valor ao longo do tempo.
Classificação das Informações
Nem toda informação é crucial ou essencial a ponto de merecer medidas especiais de segurança, motivo pelo qual as informações devem ser analisadas e classificadas de acordo com suas características e grau de criticidade para o bom andamento dos negócios da organização.
Pública
São informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da organização, e cuja integridade não é vital;
Interna
O acesso a esse tipo de informação deve ser evitado, embora as conseqüências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital;
Confidencial
Informação restrita aos limites da organização, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente;
Secreta
Informação crítica para as atividades da organização, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas.
A manipulação desse tipo de informação é vital para a organização.
Política de segurança da Informação
É um conjunto de diretrizes e normas que traduz as necessidades e práticas da organização quanto à segurança da informação, objetivando a normalização das ações necessárias para levar a organização a um nível de segurança da informação aceitável.
Objetivos da Política de Segurança da Informação
- Alinhar as ações em segurança da informação com as estratégias de negócio da organização;
- Explicitar a visão da alta direção em relação à segurança da informação;
- Exprimir o comprometimento da alta direção com a manutenção da segurança da informação;
- Direcionar e normatizar as ações referentes à segurança da informação;
- Alinhar as ações em segurança da informação com as Leis e Regulamentações pertinentes;
- Buscar conformidade com Normas externas e cláusulas contratuais;
- Instruir sobre procedimentos relativos à segurança da informação;
- Delegar responsabilidades;
- Definir requisitos de Conscientização, Educação e Treinamentos;
- Definir ações disciplinares; dentre outros.
Sistema de Gestão da Segurança da Informação
Um Sistema de Gestão da Segurança da Informação é um sistema de gerenciamento utilizado para estabelecer a política e os objetivos da segurança da informação baseado em uma abordagem de análise de risco, com o intuito de definir, implementar, operar, monitorar, manter e melhorar a segurança da informação.
O Sistema de Gestão da Segurança da Informação deve abranger:
- Infra-estrutura organizacional da política de segurança;
- segurança organizacional;
- classificação e controle dos ativos de informação;
- segurança pessoal;
- segurança física e do ambiente;
- gerenciamento das operações e comunicações;
- controle de acesso;
- desenvolvimento e manutenção de sistemas;
- gestão da continuidade dos negócios;
- aspectos legais e de conformidade.
A gestão da segurança da informação deve ser feita com visão estratégica para que esteja alinhada aos planos estratégicos da organização e que sirva de apoio para estes.
Programa Nacional de Proteção do Conhecimento Sensível
A ABIN (Agência Brasileira de Inteligência), possui um programa de apoio a proteção de conhecimento sensíveis denominado Programa Nacional de Proteção do Conhecimento Sensível – PNPC, considerado pela ABIN como um instrumento preventivo para a proteção e salvaguarda de conhecimentos sensíveis de interesse da sociedade e do Estado brasileiros.
O PNPC destina-se às instituições nacionais, públicas ou privadas, que geram ou custodiam conhecimentos sensíveis para o Brasil,maiores informações podem ser obtidas no site da ABIN.
Conclusão
Em se tratando de Segurança da Informação, a conscientização do pessoal envolvido é peça chave na implementação e manutenção do programa de segurança da informação.
As pessoas devem estar cientes e conscientes da necessidade da segurança das informações, bem como do valor dessas informações, assim como o risco e o impacto que a violação da segurança poderá causar à organização e conseqüentemente para as pessoas que nela trabalham.
Contribua com o artigo deixando seu comentário logo abaixo, ele é muito importante para o “Nosso Blog”!
Curta e compartilhe as publicações com seus colegas pelas redes sociais, assim estará colaborando para o fortalecimento e reconhecimento da importância da área de segurança.
Navegue em “Nosso Blog” e descubra outros artigos interessantes e úteis para o seu aprimoramento.
Obrigado pela visita e sucesso na sua carreira profissional!
José Sérgio Marcondes – Autor Artigo
Quero parabenizar pelo trabalho que esta mim propondo ai ver este site fiquei muito interessado porque tem muitas dicas importantes. Sempre imprime e manda para os meus companheiros que trabalha n o setor de segurança onde faço parte a um bom tempo. Pode mandar amigo para o meu e-mail.
Olá José Sewverino! fico muito feliz por saber que acompanha os meus artigos no site e que compartilha com seus colegas, são pessoas como você que precisamos para elevar nossa categoria profissional, parabéns!!! vou cadastrar seu e-mail e todo as vez que um artigo novo for publicado você será avisado por e-mail.
Forte abraço e sucesso na sua carreia profissional.
Muito obrigado e os meus agradecimentos sinceros, foi muito útil esta informação e calhou-me um trabalho sobre o assunto e vou tirar o maior proveito dele.
Olá Firmino!fico muito feliz em saber que meu artigo será de grande utilidade pra você.
Forte abraço e sucesso na sua carreira!
MUITO OBRIGADO
Bom dia.
Atuo como líder de TI e esse assunto de Segurança da Informação está sendo levado muito a sério aqui na empresa, diria que estamos com 50% da implantação da PSI e ainda há muito o que se fazer.
Já é possível percebermos as mudanças de hábitos de todos através das campanhas de conscientização que realizamos internamente. Esta é uma área bem ampla e que pode trazer inúmeros benefícios para as organizações, auxiliando inclusive a TI para que atue mais junto a área estratégica e deixei de atuar tão reativamente.
Belo artigo José S. Marcondes!
Abraço
Olá Fabiano Coan!
Obrigado pelo seu comentário reforçando a importância da segurança da informação e parabéns ai na empresa pela dedicação ao assunto.
Forte abraço e sucesso na sua carreira!
Trabalho na Segurança desde os tempos do Executo, e já são mais de 25 anos na Segurança Privada, e nesses mais de 30 anos, nunca vi um blog tão responsável, parabéns pelo trabalho, atualmente estou terminando o curso de Gestão em Segurança Privada, e fico muito feliz em poder constatar que pessoas como você, se preocupa em dividir informação de qualidade, para um mercado que necessita estar atualizado.
Olá Francisco Amorim !
Obrigado pelo seu comentário.
Forte abraço e sucesso na sua carreira!