Menu
Muito se fala sobre a segurança da informação, uma das grandes preocupações das empresas e profissionais de TI, suas estratégias e processos para garantir que dados e informações circulem de maneira segura e controlada dentro de uma empresa, evitando possíveis vazamentos e/ou acessos indesejados. No entanto, na prática poucos sabem como efetivamente proteger seus dados. Então, como assegurar a seguridade de suas informações?
A norma NBR ISO/IEC 17799 nos norteia quanto a isso. Segundo ela, a segurança da informação deve basear-se em três pilares: confidencialidade, integridade e disponibilidade, como será abordado a seguir.
Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, para que haja limitação do acesso e uso apenas pelas pessoas para quem elas são destinadas. Quando uma informação fica disponível para uma pessoa não autorizada, intencionalmente ou não, ocorre o que é chamado de “quebra de sigilo”. Poderíamos ilustrar a quebra de sigilo com uma descoberta de senha, acesso a documentos restritos, dentre outras situações.Uma técnica muito utilizada para a obtenção de informações confidenciais é a engenharia social, que ocorre quando um indivíduo utiliza métodos de sugestão e convencimento para induzir uma pessoa a quebrar um protocolo ou procedimento de segurança. Hoje muitos programas de treinamento e conscientização da importância da informação são adotados pelas empresas a fim de evitar que informações importantes caiam em mãos erradas.
O princípio da integridade consiste na ideia de que toda informação deve ser protegida contra alterações indevidas, intencionais ou acidentais. A integridade é mantida quando a informação acessada está completa, sem alterações e confiável. Se esta for propositalmente adulterada ou o meio de armazenamento violado (mídias, cofre, papel, registros em banco de dados), é configurado um incidente de segurança em que há quebra de integridade. A validação das informações, portanto, é de suma importância para que haja certeza de que as informações estão intactas e inalteradas.
O pilar da disponibilidade afirma que toda informação gerada deve estar disponível aos usuários autorizados, no momento em que os mesmos delas necessitem. Uma interrupção nos serviços que deveriam estar ativos caracteriza uma diminuição da disponibilidade. Para manter a disponibilidade das informações, as empresas adotam os chamados Acordos de Níveis de Serviço, ou SLA (Service Level Agreement), em que são especificados em contrato, com as devidas multas, quais são os níveis de disponibilidade a serem cumpridos para seus serviços.
Diante das potenciais fraquezas e pontos de observância, conclui-se que é imprescindível para as empresas a visão de que a segurança da informação é um fator crítico para o seu sucesso e de seus projetos e processos. Por isso, devem ser adotadas boas práticas de proteção à informação, de maneira a se defender contra ameaças, melhorar a confiabilidade dos dados e reduzir riscos.