A informação é um dado com alguma interpretação que faça sentido para o usuário e pode representar grande valor pra quem a possui. (REZENDE E ABREU, 2000).
A informação está cada vez mais valorizada pelas organizações, pois essas informações que ela detém podem ser seu grande diferencial em relação aos concorrentes para destacar-se no mercado, e é tida como um patrimônio da empresa. Com a crescente dependência dos sistemas de informações as empresas passaram a dar mais atenção à segurança de seus dados. Como outro bem qualquer, a informação deve ser bem preservada contra terceiros que possam utilizá-las para prejudicar a empresa de alguma forma.
As organizações fazem um alto investimento em Segurança da Informação, mas apesar disso, não há garantias de que não serão vítimas de algum incidente. A maior preocupação é no caso de algum acontecimento inesperado, poder agir da maneira mais prudente possível para evitar o agravamento da situação.
Boas medidas de Segurança detêm o controle os ativos físicos, tecnológicos e humanos, para que os riscos sejam minimizados, diminuindo assim suas vulnerabilidades e os impactos sofridos. Deve ser levada em conta a importância do risco, definindo o que pode ser feito e avaliando principalmente o custo-benefício, pois nem sempre o investimento é compatível com o valor da informação.
O grande problema de Segurança da Informação é que os executivos e gerentes não dão a devida importância ao prejuízo que a falta de segurança pode causar. A figura 1 mostra os obstáculos da Segurança da Informação:
As informações podem ser classificadas em:
· Pública – Informação que pode ser conhecida pelo publico, cuja integridade não é vital;
· Interna – Informação que deve ser evitado o acesso, porem o acesso não autorizado não traz serias conseqüências. A sua integridade é importante, mas não vital;
· Confidencial – Deve ficar restrita na empresa. Sua exposição pode causar prejuízos financeiros, ou dar margem a vantagem ao concorrente;
· Secreta – Informação de extrema importância para as atividades da empresa, e deve ser preservada a qualquer custo. Seu acesso deve ser restrito a poucas pessoas.
A segurança das informações custa bastante dinheiro, mas a falta de segurança pode custar muito mais. A maior parte dos prejuízos causados pelos incidentes não podem ser contabilizados, pois dependendo do incidente, comprometem documentos e ativos importantes, como mostra a figura 2:
A informação tem quatro momentos no seu ciclo de vida, que devem ser protegidos para que não haja interferência de pessoas mal intencionadas:
· Manuseio – Período em que a informação é manipulada, seja adicionando dados a algum documento, ou seja, folheando documentos, por exemplo.
· Armazenamento – Ocasião em que a informação é armazenada, seja em arquivo de metal, seja bando de dados on line ou mídia removível, por exemplo.
· Transporte – Momento em que a informação é movimentada, seja por e-mail, falar ao telefone, ou transporte de mídias, por exemplo.
· Descarte – Ocasião em que a informação é descartada, seja jogando fora papeis com documentos importantes, ou deletando arquivos no computador, ou mesmo descartando alguma mídia com defeito. (LAUREANO, 2005).
Nenhum sistema é totalmente seguro, sendo ele da área de informática ou não, portanto, toda e qualquer precaução nunca é demais. A maior parte dos incidentes nas empresas é causada por funcionários insatisfeitos, como mostra a figura 3:
A informação deve ser protegida ao máximo, para que mantenham os três princípios da segurança da informação:
· Confidencialidade – Manter o acesso somente a pessoal autorizado. Um aspecto muito importante é garantir identificação e autenticação das partes envolvidas.
· Integridade – Os dados não podem ser criados, alterados ou removidos sem autorização. Garante que a informação não seja adulterada.
· Disponibilidade – Deixar a informação disponível ao usuário quando for necessário.
“O item integridade não pode ser confundido com confiabilidade do conteúdo (seu significado) da informação. Uma informação pode ser imprecisa, mas deve permanecer integra.” (LAUREANO, 2005 P.12)
Para que uma informação seja considerada segura, deve o sistema deve respeitar alguns critérios:
· Autenticidade – Garante que o usuário ou a informação é legítimo.
· Não repúdio – Não é possível negar a autoria de alguma troca de informações no sistema.
· Legalidade – Adere o sistema a legislação vigente.
· Privacidade – Uma informação privada somente será disponibilizada e poderá ser modificada pelo seu dono.
· Auditoria - A auditoria aumenta a credibilidade da empresa, pois adéqua às políticas legais. (LAUREANO E MORAES, 2005)
As ameaças presentes no contexto corporativo exploram as vulnerabilidades presentes nos ativos que detêm informações, e causam impacto nos negócios da empresa. As principais ameaças são mostradas a seguir, na figura 4:
Nenhum comentário:
Postar um comentário