Ao pensarmos nos avanços tecnológicos, com suas complexas estruturas e os formidáveis benefícios gerados para a sociedade, lembramos que a força que movimenta todo esse avanço é a humanidade, que por sua vez, é mais complexa e necessita incessantemente relacionar-se consigo mesma e com o ambiente que a cerca. A Tecnologia da Informação possibilitou as comunicações a longas distâncias e desde as primeiras gerações de computadores as informações empresariais eram armazenadas em arquivos digitais. Lembrando que essas informações anteriormente eram salvas em documentos de papel datilografados ou até manuscritos, guardadas em gavetas ou armários (arquivos de ferro) onde a segurança era apenas física e circunscrita a uma sala restrita ou até a um cofre. Mas, hoje, o profissional de Tecnologia da Informação tem um grande desafio, passou a dar muita atenção à segurança da informação, pois a informação agora é digital e pode ser acessada de qualquer lugar.

Informação: Ativo cada vez Mais Valorizado

Bem-vindo às redes convergentes, onde a informação é um ativo empresarial. As mudanças e novidades são uma constante, aparecem no mercado e provocam alterações o tempo todo. Pesquisas, conceitos, experimentos unidos a novos métodos empurram a inovação a se renovar constantemente.

Até meados do século 18 a sociedade era basicamente agroexportadora, produtores consumiam o que produziam e praticavam comércio de forma limitada à sua região de alcance. No século 19 a Inglaterra domina a Revolução Industrial e vem seguida por Alemanha, França, Rússia e Itália. Nessa fase o emprego do aço, a utilização da energia elétrica e dos combustíveis derivados do petróleo, a invenção do motor a explosão, da locomotiva a vapor e o desenvolvimento de produtos químicos foram as principais inovações desse período que é considerado como sendo “Primeira e Segunda fases da Revolução Industrial”.  A partir do século 20 começa a fase da Revolução Industrial em que o computador, telefones, satélites assumem papel de destaque e impulsionam de forma exponencial a competitividade e transmissão de informação proporcionada por empresas multinacionais, a informação sempre esteve presente na gestão dos negócios.

Olhando para nossa história recente as empresas independentemente de setor de mercado em que atuam, sempre utilizaram dos benefícios da informação, objetivando melhorar a produtividade, redução de custos, aumento de agilidade, competitividade e apoio à tomada de decisão. Lembrando que um ativo é tudo aquilo que tem valor para uma empresa, e tudo que tem valor para o negócio deve ser protegido.

Crescimento da Dependência

A internet que conhecemos hoje já passou por quatro fases desde sua criação.  O Departamento de Defesa dos Estados Unidos (ARPA - Advanced Research Projects Agency) com o intuito de facilitar a troca de informações e evitar ataques oriundos da inteligência soviética, criou um sistema capaz de compartilhar informações entre várias entidades geograficamente distantes, com o objetivo de facilitar as estratégias de guerra. Esse sistema foi ativado em 29 de outubro de 1969 entre a Universidade da Califórnia e o Instituto de Pesquisa de Stanford e é considerado o primeiro protótipo da internet , mas o grande disparo da internet aconteceu no fim dos anos 1980 e começo dos anos 1990.

A primeira fase é representada pela conectividade das redes, marcando o início da digitalização da informação com o acesso a e-mail, navegadores da web e pesquisas.

Na segunda fase, iniciam-se os negócios na rede, digitalizam-se os processos das empresas, surgindo as primeiras lojas on-line , e-commerce , cadeias de fornecimentos digital e colaborações, porém com baixa interatividade social.

A terceira fase é marcada pela digitalização das interações tanto no âmbito comercial como social, surgindo as várias plataformas de interação social como Facebook, Twitter, Instagram, entre outras, seguidas da mobilidade das conexões móveis e das facilidades do armazenamento nas nuvens de servidores distribuídos pelo mundo.

Estamos presenciando hoje a quarta fase que representa a digitalização das conexões do mundo, da plena interação entre pessoas, dos processos, dados e coisas, ou seja, a Internet das Coisas (IoT).

Numa visão ascendente, cada fase teve um efeito mais profundo nos negócios e na sociedade determinando a total dependência do mundo contemporâneo em relação à Tecnologia da Informação.

Visão Holística do Risco

Uma visão holística significa uma visão ampla e abrangente capaz de mostrar toda a vizinhança de eventos e fatores que podem influenciar a tomada de decisão. Pensando no risco de perder a informação, devemos perceber que a vida das empresas é a própria informação. A informação está distribuída por todos os processos do negócio alimentando-os, por sua vez esses processos gerenciam diversos ativos, ambientes e tecnologias. Sendo assim, fica fácil perceber como o nível de risco tem crescido, pois as redes corporativas ganharam performance e capilaridade, passaram a representar o mais importante canal de distribuição de informações internas e externas. Com toda a interligação desses ambientes e processos a integração dos parceiros da cadeia produtiva é um fato.

Podemos citar o exemplo dos serviços prestados pelas redes bancárias, há alguns anos o correntista precisava ir a uma agência, a fim de movimentar sua conta devido às informações estarem parcialmente compartilhadas e só eram acessíveis através dos caixas ou terminais de autoatendimento, podemos dizer que nessa época a informação era mais centralizada e o nível de segurança também era centralizado.

Atualmente, não somos mais obrigados a ir até uma agência para movimentar nossa conta, pois essas informações estão plenamente compartilhadas com os correntistas em aplicativos em seus smartphones na ponta dos nossos dedos. Claramente essas novas condições elevaram o risco das empresas a níveis nunca vistos antes, pois o nível de segurança exigido agora é totalmente descentralizado, necessitando de mecanismos de controle e defesa que permitam reduzir o risco e tornar a informação disponível, mas administrável.

Atualmente, no mundo corporativo, outros processos de tratamento do risco estão amadurecidos. Podemos citar modelos para o risco jurídico, risco de crédito, risco financeiro, risco de pessoal, entre tantos, com a evolução das tecnologias ainda há muito a desenvolver no campo do risco da informação.

Ciclo de vida da Informação

Após discorrer algumas características da informação, mostrando sua importância para o negócio, nosso próximo passo é compreender um pouco do ciclo de vida da informação, lembrando que como qualquer ativo a informação também possui um ciclo de vida.

Toda informação é influenciada por três propriedades principais: Confidencialidade, Integridade e Disponibilidade, juntamente com os aspectos sobre Autenticidade, Legalidade que complementam essa influência. Podemos dividir o ciclo de vida da informação em quatro fases distintas: manuseio, armazenamento, transporte e descarte.

Confidencialidade é a propriedade que garante que a informação seja acessada somente por aqueles que têm permissão de acessá-la, ou seja, somente as pessoas autorizadas podem ter acesso àquela informação. A Confidencialidade vai diretamente ao encontro de dois tipos de acessos: os acessos físicos e os acessos lógicos. Definir “quem pode" e "até onde pode" envolve toda uma parametrização que deve ser bem pensada e analisada, pela equipe de segurança da informação.

A confidencialidade ou a privacidade garantem que o conteúdo da informação não seja visível para outras pessoas além dos destinatários pretendidos ou autorizados. A criptografia é comumente usada para conseguir isso. A confidencialidade ou a capacidade de ocultar o significado das informações de pessoas não autorizadas é provavelmente o elemento funcional mais básico no qual todos os outros elementos funcionais se baseiam.

Integridade é a propriedade que garante que os métodos de processamento somente podem ser alterados através de ações planejadas e autorizadas. A informação nunca poderá sofrer alterações, desde o seu envio até o seu armazenamento, caso isso ocorra a informação não tem mais a integralidade e perde todo seu valor. Podemos acrescentar que a integridade da informação se refere à condição de que a informação recebida não seja alterada acidentalmente no caminho em comparação com a informação enviada originalmente.

Disponibilidade é a propriedade que garante aos usuários autorizados ter acesso à informação sempre que for necessário. A Tecnologia da Informação tem que garantir a "alta disponibilidade", ou seja, que as informações possam ser acessadas em quase 100% do tempo, com exceções aos períodos de manutenção, onde se determinam janelas de processamento, manutenção para indisponibilidades programadas.

Autenticidade é o aspecto da informação relacionada ao não repúdio, ou à não recusa. A garantia de autenticidade da fonte, ou seja, que o emissor de uma mensagem é quem realmente diz ser, é quando não podemos negar a autoridade e a autoria de uma informação. O não repúdio garante que o remetente é um remetente legítimo da mensagem recebida e que o remetente não pode contestar posteriormente o envio da mensagem. Às vezes, o não repúdio é estendido para aplicar-se também ao receptor.

Legalidade é o aspecto da informação relacionado à situação de conformidade com as leis e/ou obrigações contratuais, ou seja, estar em conformidade com leis e regulamentos externos e internos da empresa.

Ciclo de Vida da Informação

Uma informação permanece disponível por um tempo necessário, após um período, ao perder a utilidade é descartada, a isso chamamos de ciclo da vida da informação. Esse ciclo é formado por quatro etapas:

Manuseio

Está relacionado à criação da informação e de como esta é manipulada. Exemplos:

• Digitar informações em aplicativos na Internet.
• Utilizar sua senha de acesso para autenticação.
• Inserção de dados em plataformas ERP.

Armazenamento

Momento em que a informação é armazenada em banco de dados compartilhados ou não.

Transporte

Relativo ao transporte da informação, como a mesma é passada adiante, por exemplo quando é encaminhada pelos meios digitais por correio eletrônico (e-mail), ou ao se postar um documento em aplicativos ou meios sociais, ou ao ainda passar informações confidenciais por ligações telefônicas ou mensagens de texto.

Descarte

Última fase do ciclo de vida da informação, momento em que a informação é descartada, excluída e eliminada. Como a informação é um ativo, a forma de descartá-la é tão importante quanto o momento em que foi criada, caso seja confidencial o descarte deve garantir que a mesma não poderá ser reutilizada, causando constrangimentos para o negócio e abrindo brechas de vulnerabilidade.

A gestão da segurança da informação visa, como o próprio nome diz, gerenciar as técnicas e processos envolvidos na segurança da informação. As vulnerabilidades quando são descobertas são alvos fáceis de ataques por hacker . Uma infraestrutura de segurança e sua gestão não é só necessária, mas obrigatória, deve abranger além do orçamento financeiro, um planejamento, uma gerência e uma metodologia bem definida.

Identificando e Conhecendo os Riscos para Informação

Nos últimos anos, com o aumento das guerras cibernéticas, os ataques são frequentes e diferenciados e já fazem parte do cotidiano empresarial. Nesse ambiente hostil o alvo principal é a informação.

Hackers têm se especializado em abordagens sociais e agora também estão utilizando entidades com inteligência artificial, que facilmente aprendem o comportamento de uma rede e simulam táticas para passarem invisíveis pelos firewalls.

A informação, conforme figura a seguir, permeia toda a empresa e alimenta todos os processos de negócio. Infelizmente a informação está sujeita a muitas ameaças e vulnerabilidades. As corporações estão se tornando complexas malhas de comunicações integradas, pelas quais os fluxos de informações são distribuídos e compartilhados interna e externamente.

Conforme essa complexidade aumenta, conseguimos entender que não existe segurança total e que cada empresa deverá buscar um equilíbrio no nível de segurança exigido. Caso aumente demais o nível de segurança poderá ter perda de velocidade em algumas transações, gerando assim uma burocracia nos processos, desagradando os clientes, mas por outro lado se o nível de segurança baixar muito a informação ficará vulnerável, e o risco de ter uma informação vazada ou comprometida aumenta. A equação de equilíbrio não é fácil, muito pelo contrário, é tão complexa quanto mais complexa for a malha por onde a informação circula, sendo assim uma coisa é fato: é impossível operar com risco zero. Sempre haverá um risco, que deverá ser assumido e mitigado pela Gestão de Risco da segurança da Informação.

A figura a seguir mostra de modo simples a relação entre as funcionalidades e o nível de segurança em empresas aéreas e negócios distintos. Quanto mais funcionalidade se deseja o fator risco aumenta e quanto mais segurança se deseja o fator risco diminui, note que o traço da função nunca será linear, mas seguirá uma forma definida por cada negócio, sendo assim a avaliação do risco de uma empresa pode até ser similar a outra, mas nunca será exatamente igual.

Visão Corporativa e a Conscientização do Corpo Executivo

Como a informação é um ativo empresarial, o corpo executivo deve tratar a questão de segurança da informação com a mesma prioridade dada à gestão de patrimônios.

Os ativos da informação são os elementos que a segurança da informação deverá proteger devido à sua importância para a corporação. Eles evoluíram e deixaram de ser apenas bens, como imóveis, terrenos, máquinas, para serem bens intangíveis como marcas, processos, tecnologias e a informação. O corpo executivo deve pensar em um Plano Diretor de Segurança, pois a segurança de uma empresa está diretamente associada à segurança do elo mais fraco da cadeia. É preciso ter uma visão corporativa que viabilize ações consistentes e amplas, para que a corporação atinja o nível de segurança adequado à natureza do seu negócio. Algumas perguntas poderiam ajudar a melhorar o nível de conscientização corporativa para segurança da informação, por exemplo:

• Os investimentos realizados em segurança estão alinhados com os objetivos estratégicos da empresa?
• Os investimentos em segurança podem propiciar um melhor retorno sobre o investimento?
• As ações corporativas estão orientadas por um Plano Diretor de Segurança?
• As ações corporativas continuam surgindo de acordo com demandas reativas para cobrir emergências pontuais?
• A empresa está operando em alto risco, seguindo mecanismos de controle que lhe dão uma falsa sensação de segurança?

Além do que foi dito, ainda muitos são os erros normalmente praticados nos projetos de segurança da informação, causados pela visão equivocada do problema, gerando assim uma percepção distorcida, por exemplo:

• Atribuir unicamente à área tecnológica da informação a segurança da informação;
• Posicionar hierarquicamente a equipe de segurança abaixo da diretoria de TI;
• Definir investimentos para segurança apenas pensando na diretoria de TI, cometendo o erro de subestimar o investimento;
• Elaborar planos de ação orientados à reatividade;
• Não perceber a conexão direta da segurança com o negócio e, por fim, com toda a cadeia de serviços dentro da empresa;
• Tratar as atividades relativas à segurança da informação como despesa e não como investimento;
• Adotar ferramentas pontuais como medida paliativa;
• Ficar satisfeito com a segurança provocada por ações isoladas, dando uma falsa sensação de que está tudo bem;
• Não divulgar nem propagar ações que cultivem corporativamente a mentalidade de segurança;
• Tratar a segurança sempre como um projeto e não como um processo, lembrando que projeto tem um começo, um meio e um fim, já o processo deve ser contínuo e sempre ser aperfeiçoado.

Retorno sobre o Investimento

Quando pensamos em investimentos para segurança da informação, temos algumas dificuldades para justificar o retorno.  ROI (Return of Investments), Retorno sobre o investimento, é uma ferramenta utilizada pelos empreendedores para avaliar o tempo de retorno de certo investimento, é um instrumento essencial para apoiar a tomada de decisão nas ações de executivos. Existem várias formas e várias abordagens para se utilizar o ROI.

Resumidamente, o objetivo principal dessa ferramenta é equacionar de forma equilibrada a relação custo/benefício , e adequá-la ao negócio. Independentemente da abordagem que a empresa utilize para o ROI, alguns pontos são importantes para a sua análise e justificativa:

• Estimar o que a organização poderá perder em um ano, por exemplo, sempre levando em consideração o impacto e a probabilidade das ameaças se concretizarem. Lembrando que esse cálculo é uma estimativa passível de equívocos. Comumente se comete o erro de calcular a probabilidade baseada em dados atuais não pensando em expectativas futuras de ocorrências para determinados incidentes. Uma boa prática que ajuda a diminuir o erro da estimativa é estar sempre monitorando as estatísticas de crescimento ou diminuição dos ataques que estamos considerando;
• Avaliar se as soluções disponíveis para resolver ou amenizar o problema vão compensar financeiramente. Em primeiro plano estimam-se as perdas a que a organização ainda estará sujeita após a implantação, assim, será possível chegar a um percentual que a proteção ajudará a reduzir. Com esse percentual pronto comparam-se os custos associados à implantação da ferramenta, treinamento, manutenção e de perda de produtividade causada pelo uso da proteção. Caso esses custos sejam maiores do que se esperava economizar o investimento será inviável e a implementação da proteção não será uma boa escolha administrativa;
• Analisar impactos indiretos, ou seja, custos relacionados à movimentação de equipes para solucionar problemas relacionados à falta de segurança, como remover vírus dos computadores da rede ou o tempo para reconstruir arquivos ou ainda recuperar backup ;
• Avaliar os custos intangíveis e incalculáveis do impacto de uma invasão, seja ela externa ou interna, gerando roubo de informação que coloca em risco a continuidade do negócio por indisponibilidade de sistemas, gerando custosos prejuízos, podemos exemplificar lojas on-line ficando indisponíveis um dia apenas, a quantidade de vendas perdidas causaria prejuízos em larga escala.

Um ponto importante que devemos ressaltar também é que todo investimento possui um ponto de inflexão, ou seja, um ponto na curva de retorno do investimento onde o retorno já não é mais proporcional ao esforço empregado. Sendo assim, chega-se à situação não desejada, onde o investir em segurança gera um montante maior do que o próprio bem a ser protegido. Para entendermos esse ponto é só pensarmos na utilização de seguros veiculares, podemos nos perguntar se realmente compensa ou não renovar o seguro veicular em dado ano, visto o valor do carro.

Os desafios atuais para a gestão da segurança da informação estão ligados diretamente ao aumento da exposição. Com a explosão da internet , a mobilidade pelos meios de comunicação e a interação da informação atingiram níveis globais de uma forma nunca vistos antes. À medida que as empresas começaram a se conectar à rede e fazer uso dela para os negócios os problemas de segurança da informação explodiram. Saímos de uma situação em que a informação era sigilosa, disponível apenas em papel e protegida por cofre, para uma rede mundialmente conectada, pela qual as informações podem ser interceptadas a qualquer momento.

Fazendo um breve resumo histórico: nos anos 1970 e 1980 o ambiente era circunscrito a Mainframes, cujo objetivo era apenas proteger os dados e o foco principal era a confidencialidade. O corpo de informática tinha uma posição de retaguarda.

Já nos anos 1980 e 1990 os primeiros Mainframe começaram a transmitir seus dados pelas recém-criadas redes de informação, o objetivo agora era a proteção de dados mais as informações, sendo assim o foco principal agora, além da confidencialidade, era a integridade. Nesse momento, dados e informações circulavam pela rede e o corpo de informática ainda estava na retaguarda, mas já passava a ter uma posição de administração e operação.

Somente a partir dos anos 1990 os Mainframes em rede passaram a usufruir da tecnologia IP, que dominou as próximas décadas até os dias atuais, a proteção agora são os dados, a informação e o conhecimento. O foco principal não é restrito apenas à confidencialidade e à integridade, agora se acrescentou o item disponibilidade, pois as portas para os negócios virtuais estão abertas mudando completamente a posição do corpo de informática que obrigatoriamente volta seus olhos para a nova modalidade. A seguir, apresentamos um resumo, mostrando a periodização da evolução recente da segurança da informação:

Posicionamento Hierárquico

Diante dos amplos desafios associados à segurança da informação tornou-se fundamental criar ou adequar a estrutura hierárquica das empresas para suprir as recentes demandas de segurança para os negócios.

Um dos erros mais comuns visto ultimamente é associar as atividades e responsabilidades da gestão de segurança à área de tecnologia da informação. Muitas empresas associam o orçamento para as ações de segurança ao plano diretor de informática ou ao plano estratégico de TI, mostrando assim uma visão equivocada do valor do ativo informação.

Modelo de Gestão Corporativa

O modelo de gestão corporativa adequado não consiste apenas em criar um departamento ou unidade administrativa e chamá-la de comitê corporativo de segurança da informação. É necessário muito mais, é imprescindível levar em consideração os desafios corporativos que a segurança impõe e formalizar os processos que darão vida e articulação à gestão.

Um Modelo de Gestão Corporativa de Segurança da Informação deve ser formado pelas seguintes etapas:

Comitê Corporativo de Segurança da Informação

Dentro do modelo de gestão corporativa de segurança da informação o comitê corporativo ocupa um lugar centralizado. No ciclo de etapas o comitê é o único que se relaciona com todas, as principais funções do comitê são:

• Garantir o sucesso da implementação do modelo de gestão corporativa de segurança da informação;
• Promover a consolidação do modelo de gestão corporativa e segurança da informação como processo dinâmico;
• Orientar ações corporativas de segurança e todas as etapas do modelo;
• Alinhar o plano de ação às diretrizes estratégicas do negócio;
• Coordenar os agentes de segurança em seus comitês entre os departamentos.

Mapeamento de Segurança

Conhecer a topologia da segurança consiste em ter um mapeamento da segurança e é essencial para nortear os caminhos do modelo. As principais funções dessa etapa são:

• Identificar as relações relevantes diretas e indiretas entre os diversos processos do negócio;
• Inventariar todos os ativos físicos, tecnológicos e humanos que sustentam a operação da empresa;
• Conhecer o cenário atual relativo às ameaças, vulnerabilidades e impactos possíveis para o negócio;
• Mapear as necessidades e as relações da empresa associada aos itens básicos do ciclo de vida da informação, ou seja, manuseio, armazenamento, transporte e descarte;
• Organizar as demandas de segurança do negócio.

Estratégia de Segurança

A estratégia utilizada para colocar os planos de ação em linha com o negócio é fundamental para a segurança da informação. As principais funções dessa etapa são:

• Definir um plano de ação que considere particularidades estratégicas, táticas operacionais, além das questões físicas, tecnológicas e humanas;
• Criar sinergia entre os cenários presente e o futuro, harmonizar as expectativas do corpo de executivos.

Planejamento de Segurança

As principais funções dessa etapa são:

• Elaboração da Política de Segurança da Informação considerando as particularidades e características de cada processo do negócio;
• Apontar as melhores práticas envolvendo o ciclo de vida da informação, manuseio, armazenamento, transporte e descarte, minimizando o risco;
• Organizar os comitês entre os departamentos, definindo responsabilidades, posicionamento e escopo de atuação;
• Capacitação do corpo executivo em técnico, deixando claros os desafios para atingir os resultados;
• Caso necessário, realizar ações corretivas e emergenciais.

Implantação de Segurança

A fase de implantação de segurança é mais importante, pois é nesse momento que tudo o que foi planejado e abordado pela estratégia do negócio será efetivamente colocado em prática, as funções dessa etapa são:

• Implementar mecanismos de controles de acesso físico e lógico, abordando várias tecnologias que permitirão a eliminação das vulnerabilidades;
• Divulgar corporativamente a política de segurança, tornando-a o instrumento oficial de conhecimento de todos na empresa;
• Capacitar os usuários, referente ao ciclo de vida da informação, deixando claro os riscos no manuseio, armazenamento, transporte e descarte da informação.

Administração de Segurança

As funções da administração da segurança são cíclicas e são retroalimentadas pelas fases de planejamento da segurança e implementação da segurança, as funções dessa etapa são:

• Monitorar os diversos controles implementados medindo as variáveis que interferem no nível de risco do negócio;
• Projetar a situação do Retorno Sobre o Investimento, permitindo identificar resultados alcançados e viabilizar novas necessidades que surgirem por demanda;
• Garantir a adequação de conformidades do negócio com normas, regras e legislação;
• Manter planos estratégicos para contingência e recuperação de desastres;
• Administrar os controles implementados, garantindo que suas regras de operação sigam os critérios definidos na Política de Segurança.

Segurança na Cadeia Produtiva

A segurança na cadeia produtiva tem como único objetivo equilibrar as medidas de segurança aos processos de negócio.

Agregando valor ao Negócio

Todos os pontos anteriormente salientados reforçam o Modelo de Gestão Corporativo de Segurança, agregando valor às atividades executadas pelo corpo de segurança da informação.

O Quadro 1.1 mostra os benefícios de uma gestão integrada, que dividimos pelas várias ações que agregam valor ao negócio utilizando os verbos: Valorizar, Consolidar, Aumentar, Reduzir e Preparar.

Conforme apresentado a Segurança da Informação é fundamental para o negócio, deixou de ser tratada como assunto exclusivamente da área técnica de informática e está associada à área estratégica da empresa, visto ser o ativo mais valioso. Por exemplo, qualquer incidente num servidor corporativo que acarrete a indisponibilidade de serviços pode paralisar toda uma linha de produção, ou uma cadeia de atividades relacionadas com vendas, compras etc. Existe uma relação intrínseca entre o negócio e a informação de que quanto maior o grau de integração dos sistemas corporativos, quanto maior o volume de dados e informações associadas aos níveis de complexidade dos negócios, maior também é a dependência da Segurança da Informação.

Conceitos sobre Segurança da Informação

Há uma grande diferença entre Dados e Informações, vamos entender qual é essa diferença, vejamos as seguintes definições:

• Dados : são conteúdos concretos (conjuntos de bits) administrados pelo sistema, porém não associados a um contexto.
• Informação : é a interpretação humana dos dados observados, ou seja, quando o dado foi associado a um contexto.
• Conhecimento : o dado associado a um contexto se transforma em informação que por sua vez, nos leva ao conhecimento.

Exemplos da diferença entre Dados e Informação.

O 22: é um número. Quando sozinho e não associado a um contexto, é simplesmente um Dado .

Entretanto:

22 de abril de 1500: o número 22 foi associado a um contexto, esse é o dia em que  Pedro Álvares Cabral descobriu o Brasil, logo, passou a ser uma Informação .

O que é Segurança?

Segurança é proteção, um estado, uma qualidade ou condição de se sentir seguro, protegido contra adversários, aqueles que causariam dano, intencional ou não ao objetivo final da segurança. Segurança é uma certeza, firmeza, convicção de estar seguro, livre de risco, protegido. Uma organização bem-sucedida deve ter várias camadas de segurança para proteger suas operações, infraestrutura física, pessoas, funções, comunicações e informações .

• Segurança das comunicações visa à proteção de todos os meios de comunicação, tecnologia e conteúdo.
• Segurança de rede é um subconjunto de segurança das comunicações visando a proteção dos componentes, conexões e conteúdo da rede de voz e da rede de dados.
• Segurança da Informação tem como objetivo a proteção de três princípios básicos: Confidencialidade, Integridade e Disponibilidade dos ativos de informação, seja em armazenamento, processamento ou transmissão, através da aplicação de políticas, educação, treinamento, conscientização e tecnologia.

Informação

No dicionário encontramos o significado de Informação como sendo “conjunto de dados que tem como efeito informar”. A informação está presente em todos os lugares, pode ser transferida ou manipulada. No decorrer da história, vemos diferentes formas de armazenamento da informação, na antiguidade em pedras e papiros, na Idade Média em bibliotecas com livros manuscritos. Com a chegada da imprensa a Informação passou a ser transmitida de forma mais rápida sendo acessível a um número maior de pessoas. No século passado, com a chegada dos meios de comunicação de massa, como televisão, rádio, telefone, internet, a informação passou a ser distribuída de forma exponencial.

As informações podem ser públicas, sigilosas, confidenciais, reservadas. Podem ser transmitidas de forma escrita, falada, por meios eletrônicos etc. Toda informação tem um ciclo de vida que determina o tempo necessário para essa informação ser manuseada, armazenada, transportada e descartada.

Ativo

Ativo de uma empresa é tudo aquilo que tenha valor, sendo assim necessita de proteção. A informação é o ativo mais importante da empresa, pois está na classe de ativos intangíveis e possui valor econômico e contábil.

Aspectos da Segurança da Informação

O valor da informação depende das características que esta possui, quando uma característica da informação é alterada, o valor dessa informação também muda, podendo aumentar ou diminuir. Dependendo das circunstâncias, algumas características afetam o valor da informação para alguns usuários mais do que para outros.

Características Críticas da Informação

• Exatidão é um atributo da informação que garante que os dados estão livres de erros e possuem o valor que o usuário espera.
• Autenticidade é um atributo da informação, que descreve quão genuínos e originais são os dados, garante que eles não foram copiados de outro lugar ou fabricados.
• Disponibilidade é o atributo da informação que descreve como os dados são acessíveis e formatados corretamente para uso sem interferência ou obstrução.
• Confidencialidade é o atributo da informação que descreve como os dados são protegidos contra divulgação ou exposição a indivíduos ou sistemas não autorizados.
• Integridade é o atributo da informação, que descreve como os dados são completos e foram corrompidos.
• Informações de identificação pessoal (PII) é o conjunto de informações que podem identificar exclusivamente um indivíduo.
• Posse é o atributo da informação que descreve como a propriedade ou o controle dos dados é legítimo ou autorizado.
• Utilitário é um atributo da informação que descreve como os dados têm valor ou severidade para um objetivo final.

Ameaças e Vulnerabilidades

• Risco : “é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios” (SÊMOLA, 2003, p. 50).
• Ameaças : “são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização” (SÊMOLA, 2003, p. 47). Quando uma ameaça se concretiza passa a ser chamada de incidente .  As ameaças têm praticamente duas origens:

○ Ambiental - causadas por fenômenos da natureza. São ameaças acidentais. Podemos citar o caso de terremotos, furacões, ou ainda eventos como incêndios, desastres.

○ Humana – causadas diretamente pela ação de pessoas, podendo ser de caráter acidental/involuntárias, onde não houve a intenção, inconscientes, causadas pelo desconhecimento, ignorância, ingenuidade, falta de treinamento. Podem também ser de caráter intencional/voluntárias, quando houve a intenção de prejudicar.

• Vulnerabilidades : são fraquezas que existem na estrutura dos ativos de informação, que podem ser exploradas por uma ameaça, resultando na quebra de um dos princípios da segurança da informação (confidencialidade, integridade e disponibilidade). Para que uma vulnerabilidade provoque um incidente (cause impacto), ela necessita de um agente causador ou uma condição favorável, que são as ameaças.