Vivemos em um mundo, onde a Informação, independente do seu formato, é uns dos maiores patrimonios, sendo vital para qualquer empresa que deseja manter-se competitiva no mercado. Considerada um ativo importantíssimo para a realização do negócio a informação deve ser protegida e gerenciada.
Nos últimos anos as tecnologias de informação e comunicação estão evoluído de forma extremamente rápida, sendo assim as organizações necessitam maior eficiência e rapidez nas tomadas de decisões. Assim a importância de se utilizar mecanismos de segurança e de armazenamento das informações, é crucial para a sobrevivência destas organizações.
Espionagem, erros nos procedimentos, falhas técnicas, ou simples falta de atenção, podem acarretar em milhões em prejuízos, sem contar o desgaste da imagem de uma organização após um incidente.
Por exemplo imagine uma situação, em que um vendedor externo tem seu notebook furtado, contendo todos os dados de clientes, que podem ter suas informações divulgadas, ou usadas de maneira indevida.
“A sua empresa tem a responsabilidade de informar os empregados sobre como pode ocorrer um erro sério quando informações não públicas são tratadas da forma errada. Uma política de segurança bem desenvolvida, combinada à educação e treinamento adequados, aumenta bastante a consciência do empregado sobre o tratamento correto das informações comerciais corporativas. Uma política de classificação de dados ajuda você a implementar os controles adequados para a divulgação das informações. Sem uma política de classificação de dados, todas as informações internas devem ser consideradas confidenciais, a menos que seja especificado o contrário.”
MITNICK – A arte de enganar (Kevin D. Mitnick & Willian L. Simon)
O que é uma política de segurança? Por que ter uma?
[ política: conjunto dos princípios e dos objetivos que servem de guia a tomadas de decisão e que fornecem a base da planificação de atividades em determinado domínio. ] – Dicionário da Língua Portuguesa
Politica de Segurança, é a formalização de todas as regras de utilização dos recursos e informações, através de normas e procedimentos que devem ser seguidos e que visam conscientizar e orientar os funcionários, clientes, parceiros e fornecedores para o uso seguro do ambiente, com informações sobre como gerenciar, distribuir e proteger seus dados.
O principal propósito de uma política de segurança é informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançado. Outro propósito é oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos.
Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurança na ausência de pelo menos uma política de segurança implícita não faz sentido.
A segurança da informação objetiva proteger a informação de diversos tipos de ameaça, para garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio.
A informação pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas.
Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.
Portanto os atributos básicos, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:
a) Confidencialidade, que é a garantia de que a informação é acessível somente a pessoas com acesso autorizado;
b) Integridade, que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
c) Disponibilidade, que é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.
Veja mais (ISO – IT Security techniques )
Classificação da Informação
Estas normas para o gerenciamento de Segurança da Informação , contem alguns exemplos de melhores praticas, como por exemplo, o gerenciamento do ciclo de vida destas informações e o estabelecimento, de rótulos para classificação destas informações:
Cada nível de classificação é criado visando a um tipo de informação, temos que desenvolver critérios para avaliar uma informação:
Exemplos de Rótulos
Existem dois principais modelos de categorização:
– Modelo Governamental e Militar
Ultra-Secreto – Dados com grande probabilidade de causar graves danos caso sejam divulgadas a pessoas não autorizadas.
Secreto – Dados com probabilidade razoável de causar sérios danos se revelados a terceiros e pessoas não autorizadas.
Confidencial – Dados de probabilidade razoável de causar danos se divulgados.
Reservado – Dados que poderiam causar constragimento, mas não constituem uma ameaça a segurança caso sejam revelados.
– Modelo Organizacional
Confidencial – Informações organizacionais confidenciais, que devem ser protegidos com cuidado.
Privado – Dados que devem ser mantidas em segredo e cuja exatidão deve ser intacta.
Restrita – Dados que poderiam causar constragimento, mas não constituem uma ameaça a segurança caso seja revelados.
Público – Informações disponibilizadas ao público, sem restrições de acesso.
E quais seriam os benefícios que estas atividades trariam a organização?
Conscientização – O Programa de Classificação da Informação requer o envolvimento de praticamente de todas as pessoas dentro da organização. Esse envolvimento faz com que as pessoas tenham uma dimensão maior das dificuldades de proteger os ativos de informação e da infinidade de situações que podem comprometer essa proteção.
Responsabilidades – A Classificação da Informação necessita de uma divisão e atribuição de responsabilidades para poder trabalhar. Essas responsabilidades dizem a respeito a quem deve classificar, quem deve proteger e que cuidados os usuários devem tomar, entre outras coisas. A definição desses papeis distribui o peso da proteção entre os colaboradores de uma organização, fazendo com que todos fiquem responsáveis por ela.
Níveis de proteção – A atribuição de responsabilidades e melhora da consciência dos colaboradores faz com que eles mesmos tragam situações que demandam proteção e que , muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteção. Ninguém conhece melhor o fluxo das informações que as pessoas que fazem uso delas.
Tomadas de decisões – Quando as informações são bem categorizados no ponto de vista da segurança, o processo de tomada de decisões, sejam relacionadas ‘a Gestão de SI ou ‘a própria organização, é extremamente beneficiado.
Uso dos recursos –Recursos desperdiçado em um controle normalmente faz em falta em um outro lugar no qual, a organização terá uma situação inversa, isto é , falta de controle de informações criticas que estão armazenadas junto com outras que não precisam de proteção.
Autor: Octavio Campanol – octaviocn@gmail.com
Mto interessante….. tenho certeza que vai sanar várias dúvidas por ai…. Parabéns fera… é um orgulho para nos poder trabalhar contigo e parabéns ao site que disponibilizou a matéria reconhecendo que ao mundo a fora existe várias pessoas que tem capacidades de elaborar um ótimo artigo com a experiência de trabalho e o estudo que não pode parar nunca… Pois a tecnologia não corre ela voa…. Será que sua empresa também pensa assim?!
Matéria muito boa! parabens!
Otima matéria! Muito interessante e explicativa. Parabens
Grande abraço
Muito bom
Otima visão em relaçao ao assunto, conceitos e informações completas.
E o uso de um trecho do livro Mitnick, se encaixou perfeitamente,
Parabens!
Dificil encontrar toda essas informações em apenas um Post, facilitou muito o trabalho de quem procura um bom material em relação ao assunto.
Ótimo material desenvolvido pelo profissional.
Meus Parabens!
Amanda Ferreira
OTIMAS CITAÇÕES, SIMPLIFICANDO BASTANTE O ASSUNTO.
POR PALAVRAS DE QUEM ENTENDE DO ASSUNTO
PARABENS E OBRIGADO