Dentre todos os ativos de uma organização, não corremos o risco de errar ao afirmarmos que a informação é um dos mais preciosos. Equipamentos, pessoas, carteira de clientes, acionistas e imagem institucional são afetados diretamente pelas informações que a empresa coleta, armazena, processa, transmite e, principalmente, deixa de controlar.
O controle sobre a informação pressupõe a observância de alguns fundamentos, também chamados de “pilares”. A ABNT NBR ISO/IEC 27001:2013 (Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão de Segurança da Informação – Requisitos) descreve em suas primeiras linhas alguns desses pilares:
“O sistema de gestão da segurança da informação preserva a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados.”
Esta visão foi estabelecida em 2013 e apresenta 3 fundamentos: confidencialidade, integridade e disponibilidade. Ocorre que as ameaças sobre a segurança da informação progrediram rapidamente, e conceitos mais modernos incluem outras preocupações, que vão além da perda de confidencialidade, perda de integridade e indisponibilidade das informações. Estes pilares adicionais estão relacionados fundamentalmente à origem das informações: autenticidade e irretratabilidade.
A seguir uma descrição das principais características de cada fundamento. Vale o lembrete de que a segurança da informação não se restringe a informações digitais, sendo que todos os princípios se aplicam também a informações em meio físico (arquivos, formulários, documentos, etc):
Confidencialidade
A confidencialidade é fundamento dos fundamentos da segurança da informação, já que restringe o acesso às informações apenas aos autorizados. Sejam informações corporativas ou dados pessoais, a organização deve tomar providências para garantir a sua confidencialidade em níveis adequados à sua classificação. A confidencialidade é também fundamento para o estabelecimento de legislação que regula a proteção de dados pessoais, sendo a LGPD (Lei Geral de Proteção de Dados) no Brasil e a GDPR (General Data Protection Regulation) na Europa os principais regulamentos relacionados a este tema.
Controles de acesso, métodos seguros de autenticação e criptografia são exemplos de controle aplicados à informação para garantir a sua Confidencialidade.
Integridade
A preservação, consistência, exatidão e confiabilidade das informações são reflexo da preocupação com a sua Integridade.
A integridade das informações pode ser obtida através da aplicação de controles como backups, controle de acesso, antimalwares (antivírus, firewall, antispyware, etc), segurança física dos servidores, backups, etc.
Disponibilidade
A disponibilidade de uma informação é essencial para a manutenção do seu valor. Ela deve estar disponível onde e quando é necessária, e para isso é necessário gerenciar diversos cenários de risco, incluindo aqueles relacionados à indisponibilidade de energia, desastres naturais (terremotos, incêndios, descargas atmosféricas), ataques cibernéticos (sequestro de informação), falhas de serviço, etc.
Manutenções preventivas, ambientes controlados, planos de contingência, redundâncias, backups e monitoramento são exemplos de controles que visam garantir a disponibilidade de informação.
Autenticidade
O pilar da Autenticidade visa garantir que os usuários que originam as informações são conhecidos e autorizados, de modo que possam se passar por terceiros. Seu fundamento reside na garantia da autenticidade da autoria, e os principais controles são a autenticação biométrica, assinaturas (físicas e digitais) e controle de acesso.
Irretratabilidade
A Irretratabilidade é a impossibilidade de negação de que uma pessoa que tenha sido autora de uma determinada informação de modo que quaisquer responsabilizações serão atribuídas aos seus autores reais. Autenticidade e irretratabilidade são conceitos complementares e conectados, na medida em que um permite a consecução do outro.
Os controles tipicamente aplicáveis a esse pilar são a autenticação biométrica, assinaturas (físicas e digitais), certificação e controle de acesso.
A adoção de normas de gestão associadas à segurança da informação como a ABNT NBR ISO/IEC ISO 27001 (comumente chamada apenas de ISO 27001) e a ABNT NBR ISO/IEC 27701 (comumente chamada apenas de ISO 27701) permite que a organização estruture um sistema de que permite a sustentação dos 5 pilares descritos acima.
Flavio Oliveira
Confira mais imagens:
