Conceito de Segurança da Informação Organizacional

Figura 1 – Conceito de Segurança da informação

O que é Segurança da informação?

O Conceito de Segurança da Informação são as medidas administrativas, tecnológicas e físicas adotadas com o intuito de  preservar a confidencialidade, a integridade e a disponibilidade da informação considerada importante para uma organização, durante todo seu ciclo de vida: criação, manipulação, armazenamento, transporte e descarte.

O que é informação?

Por informação, entendem-se, neste contexto, todos os dados armazenados e manipulados em meios eletrônicos, em papel, micro-filmes, ou qualquer outro meio, que quando contextualizados geram informações e conhecimentos de valor para a organização.

[ads1]

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida.

 A informação pode existir em diversas formas.

Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas.

Ciclo de Vida da Informação

 Manuseio

Momento em que a informação é criada e manipulada, seja ao folhear um maço de papéis, ao digitar informações recém-geradas em uma aplicação Internet, ou, ainda, ao utilizar sua senha de acesso para autenticação, por exemplo.

Armazenamento

 Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo de aço, ou, ainda em uma mídia de disquete depositada na gaveta da mesa de trabalho, por exemplo.

Transporte

Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico, ao postar um documento via aparelho de fax ou correios, ou, ainda, ao falar ao telefone uma informação, por exemplo.

Descarte 

Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD ROM usado que apresentou falha na leitura.

A informação deve ser protegida durante todo seu ciclo de vida.

Neste ciclo de vida os requisitos de segurança podem variar, e normalmente variam, devendo, portanto, ser investido esforço adequado à proteção que se fizer necessário em cada fase da vida da informação.

“Como exemplo podemos citar informações de um determinado produto, que durante sua fase de desenvolvimento tais informações devem ser tratadas como confidenciais, devido sua natureza e dos investimentos que estão sendo feitos para o desenvolvimento do produto. Após o término do desenvolvimento, se for o caso, realiza-se o registro da patente, momento em que boa parte das informações do produto passam a ser públicas.”

Neste caso, não faria mais sentido continuar a tratar todas as informações do produto como confidencial, podendo reduzir o investimento a partir da reclassificação dos mesmos, mantendo como confidencial apenas aquelas que forem realmente necessárias.

Conceito de Segurança da informação

Podemos conceituar Segurança da Informação como sendo as medidas administrativas, tecnológicas e físicas adotadas com o intuito de  preservar a confidencialidade, a integridade e a disponibilidade da informação considerada importante para uma organização.

A manutenção dos pilares da segurança da informação depende da existência de integração entre segurança física e do ambiente, da segurança tecnológica e da segurança em pessoas.

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas de segurança, procedimentos, estruturas organizacionais, processos seguros  e funções de software e hardware.

Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para garantir que os objetivos de segurança da organização sejam atendidos.

Objetivos da Segurança da Informação

A segurança da informação tem dois objetivos principais:

• o primeiro é preservar as informações da organização, de seus clientes, colaboradores e parceiros;
• o segundo é garantir a continuidade do negócio em caso de incidente com a informação, minimizando os impactos decorrentes deste incidente.

A segurança da informação não deve ser vista como um projeto, com prazo definido para término e sim como um processo, e como tal deve ser contínuo, cíclico, monitorado, revisado e evoluído permanentemente, sob pena de se tornar obsoleto e de perder seu valor  ao longo do tempo.

Classificação das Informações

Nem toda informação é crucial ou essencial a ponto de merecer medidas especiais de segurança, motivo pelo qual as informações devem ser  analisadas e  classificadas de acordo com suas características  e grau de criticidade para o bom andamento dos negócios da organização.

Pública 

São informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da organização, e cuja integridade não é vital;

Interna 

O acesso a esse tipo de informação deve ser evitado, embora as conseqüências do uso não  autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital;

 Confidencial

Informação restrita aos limites da organização, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente;

Secreta

Informação crítica para as atividades da organização, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas.

A manipulação desse tipo de informação é vital para a organização.

Política de segurança da Informação

É um conjunto de diretrizes e  normas que traduz as necessidades e práticas  da organização quanto à segurança da informação, objetivando a normalização das ações necessárias para levar a organização a um nível de segurança da informação aceitável.

Objetivos da Política de Segurança da Informação

•  Alinhar as ações em segurança da informação com as estratégias de negócio da organização;
• Explicitar a visão da alta direção em relação à segurança da informação;
• Exprimir o comprometimento da alta direção com a manutenção da segurança da informação;
• Direcionar e normatizar as ações referentes à segurança da informação;
• Alinhar as ações em segurança da informação com as Leis e Regulamentações pertinentes;
• Buscar conformidade com Normas externas e cláusulas contratuais;
• Instruir sobre procedimentos relativos à segurança da informação;
• Delegar responsabilidades;
• Definir requisitos de Conscientização, Educação e Treinamentos;
• Definir ações disciplinares; dentre outros.

Sistema de Gestão da Segurança da Informação

Um Sistema de Gestão da Segurança da Informação é um sistema de gerenciamento utilizado para estabelecer a política e os objetivos da segurança da informação baseado em uma abordagem de análise de risco, com o intuito de definir, implementar, operar, monitorar, manter e melhorar a segurança da informação.

O Sistema de Gestão da Segurança da Informação deve abranger:

• Infra-estrutura organizacional da política de segurança;
• segurança organizacional;
• classificação e controle dos ativos de informação;
• segurança pessoal;
• segurança física e do ambiente;
• gerenciamento das operações e comunicações;
• controle de acesso;
• desenvolvimento e manutenção de sistemas;
• gestão da continuidade dos negócios;
• aspectos legais e de conformidade.

A gestão da segurança da informação deve ser feita com visão estratégica para que esteja alinhada aos planos estratégicos da organização e que sirva de apoio para estes.

Programa Nacional de Proteção do Conhecimento Sensível

A ABIN (Agência Brasileira de Inteligência), possui um programa de apoio a proteção de conhecimento sensíveis denominado  Programa Nacional de Proteção do Conhecimento Sensível – PNPC,  considerado pela ABIN como um instrumento preventivo para a proteção e salvaguarda de conhecimentos sensíveis de interesse da sociedade e do Estado brasileiros. 

O PNPC destina-se às instituições nacionais, públicas ou privadas, que geram ou custodiam conhecimentos sensíveis para o Brasil,maiores informações podem ser obtidas no site da ABIN.

Conclusão

Em se tratando de Segurança  da Informação, a conscientização do pessoal envolvido é peça chave na implementação e manutenção do programa de segurança da informação.

As pessoas devem estar cientes e conscientes da necessidade da segurança das informações, bem como do valor dessas informações, assim como o risco e o impacto que a violação da segurança poderá causar à organização e conseqüentemente para as pessoas que nela trabalham.

Contribua com o artigo deixando seu comentário logo abaixo, ele é muito importante para o “Nosso Blog”!

Curta e compartilhe as publicações com seus colegas pelas redes sociais, assim estará colaborando para o fortalecimento e reconhecimento da importância da área de segurança.

Navegue em “Nosso Blog” e descubra outros artigos interessantes e úteis para o seu aprimoramento.

Obrigado pela visita e sucesso na sua carreira profissional!

José Sérgio Marcondes – Autor Artigo

[ads2]