Quais são os fundamentos da segurança da informação?

Os esforços de proteção das informações diante de ameaças internas e externas podem ser fundamentais para a saúde de uma empresa. Eles minimizam as possibilidades de captura de dados sigilosos por pessoas e softwares não autorizados, evitando danos para o andamento das operações e até prejuízos financeiros. Estes esforços estão contemplados na Segurança da Informação (SI).

Fundamentos da segurança da informação

Conheça os três princípios básicos da segurança da informação: confidencialidade, integridade e disponibilidade.

Confidencialidade

Uma boa estratégia de segurança da informação prevê garantir que as informações corporativas não serão acessadas e utilizadas por pessoas não autorizadas. Portanto, impõem limitações aos milhares de dados exclusivos e sigilosos que as empresas produzem em seu cotidiano operacional.

Sem esse princípio, as empresas ficam vulneráveis a espionagens industriais, roubos de informações confidenciais, prejuízos financeiros, utilização de dados e transações de seus clientes e até danos à imagem da marca.

Integridade

O princípio da integridade diz respeito à manutenção das condições em que as informações são produzidas e armazenadas. Em outras palavras: somente as pessoas devidamente autorizadas podem acessar e modificar os dados imputados nos sistemas. Ele prevê também as mudanças acidentais.

Quando a segurança da informação é tratada estrategicamente, há também processos e ferramentas para recuperação de informações danificadas ou “perdidas”.

Disponibilidade

As informações corporativas devem estar sempre seguras e disponíveis para serem acessadas a qualquer momento pelos profissionais autorizados. Na hora de gerar um relatório para uma auditoria, por exemplo, os dados precisam ser facilmente encontrados e processados. Esse é o princípio da disponibilidade.

Segurança da Informação nas empresas: um assunto cada vez mais sério

No final de 2014, o Gartner, uma das maiores empresas de consultoria do mundo, previu um aumento considerável de ameaças à segurança de dados corporativos em 2015. Em entrevista à revista Live Magazine, produzida pela Cisco, o diretor de pesquisas da consultoria, Lawrence Pingree, declarou que neste ano haveria um processo de “democratização das ameaças à segurança” em todo o mundo. Para ele, a crescente utilização da tecnologia móvel por meio de tablets e smartphones, aliada à adoção da Cloud Computing, seria a mola propulsora desse fenômeno.

Um estudo realizado pela McAfee, gigante norte-americana do mercado de segurança da informação, também prevê que 2015 deve finalizar batendo todos os recordes em ataques cibernéticos em nível global. Falando do Brasil, o cenário também é preocupante: de acordo com o Relatório Anual sobre Ameaças à Segurança na Internet, produzido pela Symantec, já somos o 8° país em origem de fraudes virtuais.

Principais ameaças

Tudo que pode provocar danos aos dados corporativos é considerado uma ameaça. Ou seja, tudo que venha a causar prejuízos mediante uma vulnerabilidade pode ameaçar a sustentação do negócio. Essas ameaças podem ser divididas em duas categorias:

• Ameaças externas: tentativas de ataques e apropriações de dados vindos de uma fonte externa, uma pessoa que não faz parte do grupo de profissionais da empresa.
• Ameaças internas: erros intencionais ou não causados pelos usuários de sistemas e hardwares corporativos, tornando-os vulneráveis ao acesso externo. Entra nessa categoria a intenção dos usuários de repassar informações a fontes externas (outras empresas, hackers, jornalistas etc.).

Vulnerabilidades

• De pessoas: os usuários dos sistemas podem causar danos aos dados corporativos utilizando um sistema de uma maneira errada, omitindo acontecimentos suspeitos da equipe de TI etc.
• De hardwares: defeitos de fábrica, erros de configuração etc. podem tornar os equipamentos passíveis de invasão ou danificação dos dados corporativos;
• De softwares: erros de implementação ou configuração e até defeitos de programação podem deixar os sistemas e aplicativos da empresa vulneráveis a ataques;
• De armazenamento: desde a utilização das mídias (discos rígidos, fitas magnéticas etc.) até a opção por uma nuvem externa, tudo precisa ser tratado de uma forma estratégica e seguindo boas práticas amplamente testadas e reconhecidas;
• De comunicação: a forma com que os dados circulam dentro da empresa e até como são entregues a servidores externos precisa ser pensada para evitar extravio ou roubo. Isso contempla desde a escolha do meio de transmissão (rádio, satélite, fibra ótica etc.) até as pessoas autorizadas a efetuar o tráfego das informações.

Segurança da informação é diferente de segurança de TI

Nem sempre as empresas estão seguras somente pelo fato de investirem em antivírus ou pela utilização de sistemas e aplicações licenciadas, por exemplo. Segurança da informação contempla não somente as máquinas e tecnologias, mas abrange os processos e normas que delimitam o que pode e o que não pode ser feito com os dados corporativos.

Por outro lado, a segurança de TI também não abrange as informações que não são armazenadas em formatos digitais. Há inúmeros documentos impressos (contratos, anotações pessoais dos executivos etc.) que precisam ser protegidos. Portanto, Segurança de TI e Segurança da Informação são conceitos que precisam trabalhar juntos e não podem ser confundidos.

Agora que você já conhece os fundamentos da Segurança da Informação, responda rápido: como ela é tratada em sua empresa? Você tem mais alguma dúvida? Deixe seu comentário!