A segurança da informação se constitui de medidas que controlam e tratam informações, criam e sistematizam sistemas e políticas de segurança de informações, tornando-as acessíveis às pessoas autorizadas, protegendo-as de ataques diversos, espionagens, falhas, erros de armazenagem, entre outros.
QUAL O PRINCIPAL OBJETIVO DA SEGURANÇA DA INFORMAÇÃO?
Evitar perdas de informações ou danos as empresas. Ou seja, evitar que problemas ocorram, tais como:
- vulnerabilidade;
- ameaças;
- riscos de perda/dano;
- interferência no mercado competitivo;
- vazamento de informação confidencial;
- mal uso entre outros.
A elaboração de uma política de segurança da informação
Criar um política de segurança da informação não é tão fácil e para que a mesma funcione adequadamente, diversos fatores decisivos tem que estar de acordo:
a estrutura organizacional, as normas, regulamentos da empresa, a forma de monitoria, avaliação e controle da si, os sistemas tecnológicos utilizados e a colaboração de todo pessoal da organização, além disso uma política tem que ser construída com base na missão, objetivos e valores da organização.
O documento que institui a Política de Segurança dentro da organização deve ser aprovado
pelas autoridades devidas da empresa, publicado e divulgado a todos.
A Norma ISO/IEC 17799 (2000) traz as orientações básicas que deve conter numa Política de Segurança
E também: seguir alguns seguir alguns princípios básicos: Confidencialidade. Disponibilidade. Integridade.
Ver* ABNT NBR ISO/IEC 17799:2005
Fonte: Apontamentos do artigo:
FERREIRA, Carla Lopes. A importância do uso de estratégias de segurança da informação nas organizações.
A Prática da segurança como estratégia de gestão da informação.
Estratégia
Na visão de Ferreira (1994), estratégia é a arte militar de planejar e executar movimentos e operações que visam alcançar ou manter posições relativas e potenciais bélicos favoráveis a futuras incursões de exércitos. Assim, a estratégia como atitude lógica e engenhosa cujo objetivo é privilegiar uma organização específica se
origina da necessidade militar de sobrepor interesses e posições de vantagem de uma armada sobre outra. Ainda que não haja guerras no mercado além das comerciais, a estratégia é utilizada pelas corporações no mesmo sentido, procurando vantagens sobre seus concorrentes.
A gestão estratégica de informações e dados
É fundamental para as organizações, uma vez que “possibilita tomadas de decisão que sustentam outros processos de gestão e outros processos estratégicos” (Gimenez, Pelisson, Krüger e Hayashi, 1999, p.69). Não por acaso Kodama (1991) destaca a necessidade de dados e informações para o estabelecimento de estratégias. Assim, passa-se a discorrer acerca da importância da informação nos processos estratégicos.A importância da Informação nos Processos Estratégicos
A informação, na visão de Rezende e Abreu (2000), é o dado com uma interpretação lógica ou natural agregada pelo usuário. A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e, conseqüentemente, necessita ser adequadamente protegido (NBR ISO/IEC 17799, 2003). Como salienta DIAS (2003), a informação é o principal patrimônio da empresa e está sob constante risco.
O domínio da informação sempre teve fundamental importância para as corporações do ponto de vista estratégico e empresarial. Dispor da informação correta, na hora adequada, significa tomar uma decisão de forma ágil e eficiente. Com a evolução dos sistemas de informação, ganhou-se mobilidade, inteligência e real capacidade de gestão.
A informação é substrato da inteligência competitiva e deve ser administrada em seus particulares, diferenciada e salvaguardada. Ela funciona como um recurso essencial para a definição de estratégias alternativas e para a constituição de uma organização flexível, onde o aprendizado é constante.Boran (1996), Wadlow (2000) e Abreu (2001) classificam a informação em níveis de prioridade, respeitando a necessidade de cada empresa assim como a importância da classe de informação para a manutenção das atividades da empresa:
• Pública. Informação que pode vir a público sem maiores conseqüências danosas ao
funcionamento normal da empresa, e cuja integridade não é vital.
• Interna. O acesso livre a este tipo de informação deve ser evitado, embora as
conseqüências do uso não autorizado não sejam por demais sérias. Sua integridade é
importante, mesmo que não seja vital.
• Confidencial. Informação restrita aos limites da empresa, cuja divulgação ou perda
pode levar a desequilíbrio operacional, e eventualmente, a perdas financeiras ou de
confiabilidade perante o cliente externo.
• Secreta. Informação crítica para as atividades da empresa, cuja integridade deve ser
preservada a qualquer custo e cujo acesso deve ser restrito a um número reduzido de
pessoas. A segurança desse tipo de informação é vital para a companhia.
Independente da relevância ou do tipo da informação, a gestão dos dados organizacionais é estratégica porque possibilita a tomada de decisões em qualquer âmbito institucional.A divulgação das informações confidenciais ou secretas pelos elementos que participam da organização constitui-se em uma falta ética e moral grave, conforme Sá (2001).
Os conceitos que envolvem a Engenharia da Informação – que é um conjunto de disciplinas voltado ao fornecimento da informação correta para a pessoa certa no tempo exato, conforme Martin (1991) e Feliciano Neto, Furlan e Higo (1988) – já mostravam a importância da segurança da informação para as instituições. Conforme afirma Deresky (2004, p. 25), “a segurança passa a ser crítica na gestão da informação organizacional”. Assim sendo, é necessário valorizar o uso de sistemas de segurança como estratégia para a gestão da informação e dos dados organizacionais.
Critérios para Segurança da informação
É evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam proporcionar confidencialidade, integridade e disponibilidade. Segundo Albuquerque (2002) e Krause (1999) há três princípios básicos para garantir a segurança da informação:
• Confidencialidade. A informação somente pode ser acessada por pessoas
explicitamente autorizadas. É a proteção de sistemas de informação para impedir que
pessoas não autorizadas tenham acesso.
• Disponibilidade. A informação deve estar disponível no momento em que a mesma for
necessária.
• Integridade. A informação deve ser recuperada em sua forma original (no momento
em que foi armazenada). É a proteção dos dados ou informações contra modificações
intencionais ou acidentais não-autorizadas.
Alguns autores defendem que para que uma informação seja considera segura, o sistema que o administra ainda deve respeitar os seguintes critérios: Autenticidade.Não repúdio.Legalidade.Privacidade.Auditoria.
A todas estas ponderações acerca de critérios para a segurança da informação soma-se outra como estratégia de gestão da informação: a veracidade. Isto é, a informação deve estar calcada em acontecimentos verídicos ou argumentos lógicos compatíveis com a necessidade da organização. Nesse sentido, não basta que a informação seja autêntica, pois sua fonte pode ser desonesta. Não basta a confiabilidade, mas também deve existir veracidade.
A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais organizado, proporcionando maior controle sobre os recursos de informática e viabilizando o uso de aplicações de missão crítica.Conclusões
O elo mais fraco de um processo de segurança é a pessoa (ou grupos de pessoas), que por sua vez, é a responsável por garantir a fidelidade da informação. No planejamento estratégico da informação é vital a participação do Analista ou Gestor de Negócio, que é quem tem competência para avaliar o valor da informação.
A melhor forma de garantir a segurança da informação estratégica é atuar junto às pessoas que de alguma forma manipulam a informação (conscientizando-as através, por exemplo, de treinamentos) e utilizar termos de confidencialidade.
Enfim, as práticas da Segurança da Informação garantem que a informação certa esteja disponível na hora certa, para que a pessoa certa possa tomar a decisão estrategicamente adequada.
Fonte: Apontamentos do artigo:
LAUREANO,Marcos Aurelio Pchek; MORAES, Paulo Eduardo Sobreira. Segurança como estratégia de gestão da informação. Revista Economia & Tecnologia , vol. 8, Fasc. 3, p. 38-44, 2005.
Nenhum comentário:
Postar um comentário