O contexto de globalização atual, marcado pelo avanço acelerado do uso de recursos tecnológicos, das expectativas de clientes e da competitividade empresarial, criou um cenário onde as principais decisões das organizações estão intrinsecamente relacionadas ao fluxo de dados e informações que elas detêm.
Se hoje muito se fala sobre informação como o ativo de maior relevância para as empresas, é sempre bom lembrar que ela é proporcionalmente o mais vulnerável também.
Desenvolver controles de segurança sobre os recursos tecnológicos, físicos e humanos é tratar as falhas de segurança como inevitáveis. Esperar que sistemas, pessoas e infraestrutura falhem é a melhor maneira de garantir que, mesmo diante de situações críticas, a organização possa dispor de seus dados e possa manter seu perfeito funcionamento. O objetivo é o combate a qualquer exposição a riscos aos quais os dados, aplicativos e sistemas críticos da organização estejam sujeitos. Não se trata apenas da prevenção contra ameaças intencionais causadas por agentes externos como violação e sabotagem de dados, se trata também de coibir tudo que afete a acessibilidade da infraestrutura, isso inclui falhas de hardware, de softwares, humanas e outros acontecimentos imprevistos, como desastres naturais.
Instituir controles efetivos de proteção que se contraponham rapidamente às atividades fraudulentas que possam prejudicar a empresa é uma tarefa complexa, principalmente se levar-se em conta a crescente incidência de riscos. Os requisitos de segurança da informação adotados por qualquer instituição devem obedecer a um conjunto de práticas fundamentadas no tripé da segurança da informação conhecido pela sigla CIA: confidencialidade, integridade e disponibilidade.
Confidencialidade: se refere ao empenho das organizações para resguardar o sigilo dos dados de forma que apenas as pessoas autorizadas possam acessá-los; esse é o princípio da segurança que visa identificar tentativas não autorizadas de acesso e inibi-las. Alguns dos meios mais comuns usados para gerenciar a confidencialidade incluem listas de controle de acesso e criptografia.
Integridade: visa garantir a consistência dos dados, o que significa mantê-los em seu estado íntegro e sem alterações indevidas. São implementadas soluções de controle de acesso que identificam quem modificou determinada informação e garantem que a pessoa que acessou é realmente quem ela diz ser e ainda que, quando uma pessoa autorizada fizer uma alteração que não deveria ter sido feita, o dano possa ser revertido.
Disponibilidade: visa assegurar que os dados estejam sempre acessíveis. Ao mesmo tempo que eles não devem ser acessados por usuários não autorizados, é imprescindível garantir que eles possam ser acessados por aqueles a quem o acesso é permitido. Esse princípio visa gerenciar falhas de hardware, de software, humanas e contornar interrupções causadas por eventos naturais.
Como não há um modelo padrão para gerir os processos de proteção de dados, ao longo do tempo surgiram discussões sobre as limitações da tríade CIA para atender às mudanças cada vez mais rápidas de tecnologia e de requisitos de negócios. Foram propostos então outros 2 novos conceitos como complementos ao tripé já conhecido, são os conceitos de autenticidade e legalidade.
Autenticidade: diz respeito ao empenho de certificar que o autor da informação é legítimo. Um exemplo rotineiro do princípio de autenticidade da informação: quando um indivíduo precisa acessar seu e-mail de um dispositivo que o servidor não reconhece, é comum que ele receba um código via SMS para confirmar se o autor do acesso é realmente ele.
Legalidade: ao longo dos anos o volume de informações coletadas, armazenadas e utilizadas pelas empresas cresceram substancialmente. Paralelo a isso surgiram normas de proteção para salvaguardar dados pessoais e sensíveis. O princípio da legalidade da segurança da informação estabelece uma série de regras para as empresas, visando garantir que o uso desses dados estejam em concordância com regulamentos previstos por lei.
Idealmente, os ativos de uma empresa deveriam ser resguardados observando todos os princípios da segurança da informação. Mas o fato é que não raro, é preciso escolher quais deles enfatizar, o que requer uma avaliação cuidadosa. Informações médicas de um paciente requer uma ênfase na confidencialidade, por exemplo; um banco por sua vez, além da confiabilidade deve garantir que as contas de seus clientes não tenham sua integridade violada e assim por diante. Em suma, as medidas de segurança adotadas por uma instituição devem sempre condizer com o valor que os dados representam para ela e estar alinhadas às necessidades e especificidades estratégicas do negócio.
Ainda é importante ressaltar que todos os esforços de implementação e execução de medidas de segurança corporativa só serão justificados se houver empenho por parte da empresa em mantê-las. Por isso, ao adotar uma política de segurança deve-se observar questões como: reavaliação regular, flexibilidade para melhorias contínuas e principalmente a possibilidade de melhoramentos conforme o surgimento de novas ameaças.
A Tecnews.NET desenvolve serviços de segurança de acordo com a necessidade de cada cliente, para os quais temos parceiros líderes de mercado nesta área, como por exemplo: Microsoft, Kaspersky, Fortinet e Acronis. Consulte um de nossos especialista.
Referências:
Fontes:
https://www.bitsight.com/blog/cybersecurity-vs-information-security
https://www.geeksforgeeks.org/information-classification-in-information-security/?ref=rp
