O tema Segurança da Informação desperta o interesse de toda as pessoas. Isto ocorre, principalmente, porque a termo segurança cobre diversas áreas, tais como: segurança física, segurança de infraestrutura tecnológica, segurança de aplicações entre outros, cada uma delas com seus próprios riscos, ameaças potenciais, controles aplicáveis e soluções de segurança que podem minimizar o nível de exposição ao qual a empresa está exposta, com o objetivo de garantir segurança para o seu principal patrimônio de todas as organizações: a informação.

Normalmente, quando o assunto segurança da informação é discutido, as pessoas associam o esse tema a hackers e vulnerabilidades em sistemas, onde o principal entendimento é de que a empresa para se manter segura precisa apenas de um bom antivírus, um firewall e ter todos os seus “patches” aplicados sempre atualizados. Não há dúvida de que são questões importantes, porém a Segurança da Informação não está limitada a somente esses pontos.

Um Gestor de Segurança da Informação, também deve estar atento a itens como: ambiente, tecnologia, processos e pessoas. Em cada uma dessas vertentes surgem diversas iniciativas, por exemplo, Políticas, Normas e Procedimentos, Controle de Acesso (Físico e Lógico), Auditoria, Questões Legais, Criptografia, Gerenciamento de Incidentes, Segurança da Rede, Conscientização dos Usuários, dentre outros.

Antes de iniciar um plano para manter suas informações sobre máxima segurança é necessário entender o que este tipo de segurança se refere à proteção sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto às informações corporativas quanto às pessoais.

Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta.  Podem ser estabelecidas métricas para a definição do nível de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tais informações.

A Confidencialidade, Integridade e Disponibilidade representam os princípio que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Podemos pensar na segurança da informação de uma forma simples:

Controles físicos: São barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação) que a suporta, como Portas / trancas / paredes / blindagem / guardas / etc.

Controles lógicos: São barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado. Existem mecanismos de segurança que apoiam os controles lógicos como firewall, switches, anti-spam, anti-malwares e etc.

Políticas de segurança: De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

As ameaças à segurança da informação estão relacionadas diretamente à perda de uma de suas 3 características da segurança da informação, como:

Perda de Confidencialidade: Seria quando há uma quebra de sigilo de uma determinada informação permitindo com que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.

Perda de Integridade: Acontece quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário.

Perda de Disponibilidade: Acontece quando a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento.

Leave a Reply

Your email address will not be published.

Comment

Name

Email

Url


× Como podemos ajudar?