Segurança Da Informação

Segurança da Informação

É o conjunto de ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.

O termo – ações – induz o raciocínio para a amplitude e o alcance do que se pretende com a segurança da informação e comunicações.

Dentre os significados possíveis, destaca¬-se o termo ação para designar modo de proceder: comportamento ou atitude.

Por se tratar de comportamento ou atitude, observa se que segurança da informação e comunicações não é uma atividade a ser executada somente por profissionais habilitados. Ela faz parte da conduta de cada componente de uma organização.

O que exige capacitação e especialização é a gestão de segurança da informação e comunicações. O objetivo das ações também é importante destacar.

Dois verbos: viabilizar e assegurar foram utilizados para direcionar as ações. Viabilizar tem o sentido de conquistar algo que ainda não se tem, pressupondo esforço organizacional no sentido de executar uma série de ações com a finalidade de conquistar e construir sua própria segurança da informação e comunicações e não adaptar ou copiar modelos de outras organizações.

O verbo assegurar pressupõe que a segurança da informação e comunicações é uma conquista que a cada dia deve ser mantida na organização e para isso também existem ações a serem executadas por todos aqueles que compõem tal organização.

Dessa forma, as ações de segurança da informação e comunicações são realizadas com dois propósitos:

*primeiro para conquistar

*segundo para assegurar um conjunto de quatro propriedades essenciais para as informações, quais sejam:

Disponibilidade

Integridade,

Confidencialidade

Autenticidade.

O mecanismo para facilitar a memorização do conceito é “DICA”, sendo: Disponibilidade Integridade Confidencialidade Autenticidade.

Entender o significado de cada propriedade que integra a DICA é essencial para entender o conceito de segurança da informação e comunicações.

•

Disponibilidade

Disponibilidade é a “propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física, por um órgão ou sistema” (IN01 GSIPR, 2008).

Na disponibilidade ainda pode ser acrescentado o princípio da oportunidade de acesso à informação. Não basta ter acesso para utilizar uma informação na medida em que a ela perde seu valor ou até seu significado se não for disponibilizada no momento certo. Isto é oportunidade.

Uma série de ações ou de boas práticas é necessária para manter a disponibilidade. Destacam-se as seguintes:

Uso de “backups”; cópias de segurança; redundância de sistemas; eficácia no controle de acesso; e eficiente gestão de continuidade de negócios (GCN).

A eficácia do controle de acesso é uma variável muito difícil de ser avaliada, pois tem como contrapeso a confidencialidade, que tende a não tornar disponível a informação.

Entretanto a disponibilidade de acesso á informação em organizações governamentais deve ser observada como regra, enquanto as medidas de controle de acesso da confidencialidade devem ser utilizadas como exceções.

Sabe-se que não existe garantia total de plena disponibilidade, pois existem múltiplas variáveis que podem interromper um serviço.

Por isso, a disponibilidade é uma propriedade de altíssima relevância para segurança da informação e comunicações com a preocupação de estabelecer relações de confiança. A gestão de continuidade do negócio (GCN) é um processo fundamental para atender tal demanda.

Integridade

Integridade é a “propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental” (IN01 GSIPR, 2008).

Nota-se que o conceito de integridade é mais complexo e justifica-se pela necessidade de tornar bem claro no ambiente das organizações governamentais o que significa completeza e exatidão da informação.

Para destruição de uma informação nas organizações governamentais é importante observar normas que regulamentam tal procedimento. Além disso, é importante observar que o termo integridade também pode dizer respeito ao comportamento de quem trata a informação.

Desejável é o comportamento ético, responsável e sustentado em bases legais. Integridade, dessa forma, é uma atitude da pessoa compromissada com a legalidade, a justiça e a ética através das ações no cotidiano.

A integridade pode ser analisada sob diversos aspectos, entretanto, para segurança da informação e comunicações, tal propriedade estaria relacionada com o processo de gestão de riscos. A gestão de riscos garante a identificação de ações, que possam comprometer a existência da informação.

Confidencialidade

Confidencialidade é a propriedade de que a informação não esteja disponível a quem não tem autorização nem esteja credenciado. A questão do credenciamento relaciona-se com a necessidade de conhecer.

A confidencialidade envolve a classificação em graus de sigilo, o credenciamento de acesso e medidas de proteção e de acesso em geral.

A confidencialidade, na maioria das vezes, é apresentado sob enfoque de sigilo, o que não deixa de estar correto, porém existe outro aspecto a considerar que é a ética de preservar ou guardar um informação nem sempre classificada como sigilosa.

Isto significa que nem sempre a informação tenha de receber um grau de sigilo para justificar a necessidade de medidas de proteção.

O principal instrumento da confidencialidade é a classificação em graus de sigilo das informações. A norma do governo brasileiro que regulamenta a classificação de informações sob o aspecto de sigilo é o Decreto nº. 4553, de 22 de dezembro de 2002.

...